FIRST hat offiziell die neueste Version des Common Vulnerability Scoring System (CVSS v4.0) veröffentlicht

Im Juni 2023 erhielten die Teilnehmer der 35. FIRST-Jahreskonferenz in Montréal, Kanada, einen ersten Einblick in die neue Version 4.0 des Common Vulnerability Scoring System (CVSS). Nach einer zweimonatigen Phase der öffentlichen Kommentierung, gefolgt von einer zweimonatigen Phase der Bearbeitung dieser Kommentare, ist FIRST stolz, die offizielle Veröffentlichung von CVSS Version 4.0 bekannt zu geben.

An der Schnittstelle zwischen Anbietern und Verbrauchern bietet CVSS eine Möglichkeit, die wichtigsten Merkmale einer Sicherheitslücke zu erfassen und einen numerischen Wert zu ermitteln, der den technischen Schweregrad widerspiegelt, um Unternehmen, Dienstleistern, Behörden und der Öffentlichkeit Informationen und Orientierungshilfen zu bieten.

Der numerische Wert kann als qualitativer Schweregrad (z. B. niedrig, mittel, hoch und kritisch) dargestellt werden, um Unternehmen dabei zu helfen, ihre Schwachstellenmanagementprozesse richtig zu bewerten und Prioritäten zu setzen und die Abwehr von Cyberangriffen vorzubereiten.

Darüber hinaus ermöglicht dieses System den Verbrauchern, die Bedrohung und die Auswirkungen in Echtzeit einzuschätzen, so dass sie über wichtige Informationen für die Abwehr eines Angriffs verfügen.

Das Common Vulnerability Scoring System ist ein veröffentlichter Standard, der von Organisationen auf der ganzen Welt verwendet wird, und diese neueste Version von CVSS 4.0 zielt darauf ab, der Industrie und der Öffentlichkeit die bestmögliche Bewertung von Schwachstellen zu bieten.

Der überarbeitete Standard bietet eine feinere Granularität bei den Basismetriken für die Verbraucher, beseitigt nachgelagerte Mehrdeutigkeiten bei der Bewertung, vereinfacht die Bedrohungsmetriken und verbessert die Effektivität der Bewertung von umgebungsspezifischen Sicherheitsanforderungen sowie kompensierenden Kontrollen. Darüber hinaus wurden mehrere zusätzliche Metriken für die Bewertung von Schwachstellen hinzugefügt, darunter Automatisierbarkeit (Wurmfähigkeit), Wiederherstellung (Widerstandsfähigkeit), Wertdichte, Aufwand für die Reaktion auf Schwachstellen und Dringlichkeit für Anbieter. Eine wichtige Verbesserung von CVSS v4.0 ist auch die zusätzliche Anwendbarkeit auf OT/ICS/IoT, wobei Sicherheitsmetriken und -werte sowohl zu den ergänzenden als auch zu den umweltbezogenen Metrikgruppen hinzugefügt wurden.

Dies ist eine wichtige Entwicklung für Cybersicherheits- und Incident-Response-Teams auf der ganzen Welt. Angesichts der immer komplexer werdenden Bedrohungslandschaft wird diese neue Version von CVSS für die Branche ein entscheidender Wendepunkt sein.

Vor 2005 wurden benutzerdefinierte, inkompatible Bewertungssysteme verwendet, um den Schweregrad zu definieren, bevor die Notwendigkeit erkannt wurde, Schwachstellenmessungen über Software und Plattformen hinweg zu standardisieren. CVSS Version 1 wurde im Februar 2005 veröffentlicht und von einer kleinen Gruppe von Pionieren mit dem Ziel einer branchenweiten Einführung entwickelt. Im April dieses Jahres wurde FIRST damit beauftragt, die künftige Entwicklung dieses wichtigen Instruments im Arsenal der Branche voranzutreiben.

Mehr als ein Dutzend FIRST-Mitglieder der CVSS Special Interest Group (SIG) arbeiteten in den Jahren 2006 und 2007 intensiv an der Überarbeitung und Verbesserung von CVSS Version 1, indem sie Hunderte von realen Schwachstellen testeten und erneut testeten und im Juni 2007 Version 2 veröffentlichten.

In einer dritten Version wurde das Tool 2015 weiterentwickelt, indem das Konzept des „Umfangs“ eingeführt wurde, um die Bewertung von Schwachstellen zu ermöglichen, die in einer Softwarekomponente vorhanden sind, sich aber auf eine andere Software-, Hardware- oder Netzwerkkomponente auswirken.

Schließlich wurde im Juni 2019 die Version 3.1 veröffentlicht, die die Version 3.0 präzisierte und verbesserte, ohne neue Metriken oder Werte einzuführen, und die Klarheit der Konzepte verbesserte, um die allgemeine Benutzerfreundlichkeit des Standards zu erhöhen, und das CVSS Extensions Framework hinzufügte.

Diese neueste Version stellt jedoch einen bedeutenden Schritt nach vorn dar und bietet zusätzliche Funktionen, die für Teams von entscheidender Bedeutung sind, da die Verwendung von Bedrohungsdaten und Umgebungsmetriken für eine genaue Bewertung im Mittelpunkt steht.

Eine weitere erwähnenswerte Funktion ist die Nomenklatur. CVSS besteht nicht nur aus dem Base Score, und um dies noch deutlicher zu machen, wurde in Version 4.0 eine neue Nomenklatur eingeführt:

• CVSS-B: CVSS Base Score
• CVSS-BT: CVSS Base + Threat Score
• CVSS-BE: CVSS Base + Environmental Score
• CVSS-BTE: CVSS Base + Threat + Environmental Score

Da Cybersicherheitsprobleme weltweit immer mehr zunehmen, ist eine globale Koordinierung so wichtig wie nie zuvor, um das Internet für alle sicher zu machen, und die Schaffung von Standards wie CVSS 4.0 ist sowohl für die Branche als auch für die Öffentlichkeit von entscheidender Bedeutung.

Chris Gibson, CEO von FIRST, kommentierte: „Das CVSS-System hat sich in den letzten 18 Jahren rasant entwickelt, wobei jede Version unsere Fähigkeiten zur Abwehr von Cyber-Kriminalität verbessert hat.

„Ich bin unheimlich stolz auf die CVSS-SIG für die harte Arbeit und das Engagement, das für die Erstellung der Version 4.0 erforderlich war. Und sie kommt zur rechten Zeit, da wir weiterhin einen deutlichen Anstieg der Bedrohungen auf der ganzen Welt beobachten.

„Als Mitgliederorganisation ist es unser Ziel, unsere Mitglieder und den Sektor zu stärken, Führungsstärke zu demonstrieren und sicherzustellen, dass wir uns der kontinuierlichen Verbesserung unserer Zusammenarbeit widmen, um Menschen auf der ganzen Welt vor Cyberangriffen zu schützen.“

More can be found here: first.org/cvss