最后更新于2023年8月18日(星期五)21:30:10 GMT

通用通用漏洞评分系统(CVSS)版本4的未决更新.0, 获得了大量的文章, 博客文章和饮水机(现在被称为Slack和Zoom)的播放时间. 社区的反应是积极的, 人们普遍认为这接近于“实际”.”

CVSS为评估漏洞的潜在严重性(以及在许多情况下的影响)提供了一种标准化的方法,因此组织可以就如何响应特定的安全问题做出明智的决定. 它的基本原理已被供应商广泛采用, 研究人员, 学者, 和 vulnerability analysts.


随着时间的推移,该标准在2月发布了v1. 2005, v2 in June 2007, 和 v3 in June 2015. 的 current version (v3.1) debuted in June 2019. 第4版定于2023年10月1日发布.

So, what’s new in CVSS v4?

CVSS v4引入了一些有意义的改进,这些改进包裹在一点细微的复杂性中, 特别是如果你是一个供应商或威胁研究人员,负责提供基本分数. As far back as CVSS v1, 标准已经认识到像时间这样的东西, value of the target, exploit activity, 特定的操作环境都会影响与特定漏洞相关的风险数量. 在最近的CVSS版本的开发中寻求了完整性和易用性之间的平衡.

时间和环境度量旨在提供业务上下文,以帮助影响权衡决策. 然而, these metrics were “可选” in v3, 采用率停滞不前,从未真正超越基本指标的使用. 现实反映了这一观察结果,部分原因是由于评估者的解释造成了分数的主观性。, 人类的偏见, 但最重要的事实是,计算“可选的”度量标准需要组织在其他领域投入的资源和时间.

下面的总结是在每个评分系统v4组中依次呈现的:

Base Metric Groups 和 Definitions

通过引入四(4)组来提高精度和准确性,而到目前为止只有一组在实际使用中. 的 specification document also emphasizes that Base Metrics, provided by vendors 和 研究人员, represent intrinsic qualities. Threat 和 Environmental groups, 提供业务和情景上下文的目的是什么, 和 can only be, provided by end user organizations.

  • 明确CVSS-B的设计目的是衡量漏洞的严重程度,不应单独用于评估风险, 而CVSS-BTE更接近于风险.
  • CVSS-B - Base metrics plus….. [现在常用的,由基本公制组组成]
  • CVSS-BT - Base 和 威胁指标
  • CVSS-BE - Base 和 Environmental Metrics
  • CVSS-BTE -基础,威胁,环境指标
  • more on the Supplemental Metric Group later

图1. CVSS v.4 Metric Groups, FIRST.org (2023)

Exploitability Metric provides clarification 改进经常被引用的缺乏粒度的问题

  • 攻击向量 (physical/logical location) - {Network, Adjacent, Local, Physical}
  • Attack Complexity (consideration for mitigating controls) - {低,高}
  • Attack Requirements (利用/攻击成功的依赖关系)- {没有,现在},
  • Privileges Required (needed prior to attempted exploit) - {None, 低,高}
  • User Interaction (is participation necessary) - {None, Passive, Active}

影响指标 澄清Impact衡量攻击后的后果, 还提供了使用指南(带有示例),并考虑了跨机密性(C)的易受攻击(主要)和后续(次要)系统。, 完整性(I)和可用性(A)维度来改进应用程序和使用, 这些度量取代了v3中经常被批评和误用的Scope度量.x.

  • Vulnerable System Confidentiality (授权用户以外的资料披露)- {高, 低, None}
  • Vulnerable System Integrity (资料丧失信任或准确性)- {高, 低, None}
  • Vulnerable System Availability (无法访问计算资源)- {高, 低, None}
  • Subsequent System Confidentiality (授权用户以外的资料披露)- {高, 低, None}
  • Subsequent System Integrity (资料丧失信任或准确性)- {高, 低, None}
  • Subsequent System Availability (无法访问计算资源)- {高, 低, None}

Threat Metric Group 和 Definition


Previously called Temporal Metrics in v3.x, 威胁指标 旨在提供特定CVE被攻击的“可能性”, 在得出“开发成熟度”值时,应评估三(3)个组成部分{未定义、攻击、概念验证、未报告},其责任在于受影响的组织.

  • Current state of exploit techniques (ex. consider advances with ML alongside the 斜接丙氨酸&CK ttp)
  • Exploit code availability (ex. is there a POC on Github)
  • Active, observable exploitation (ex. 威胁分析师或TIP告诉你什么?

Environmental Metric Group


Like the Threat Metric Group, 这组评估旨在由受影响的组织派生,并允许分析师进一步为受影响的资产/系统的用例定制任何一个CVSS分数. 我们回到安全基本的“CIA三合一”作为修改或定制整体CVSS v4分数的措施。.

  • 保密性|完整性|可用性要求 - {没有定义 (insufficient information to choose value), (catastrophic adverse effect), 媒介 (serious adverse effect), (limited adverse effect)}

Modified Base Metrics 环境小组的目标是编纂“缓解措施”,这些措施可能适用于任何漏洞或捕获由于缺乏预期控制而导致风险更大的实例-例如暴露在互联网上的管理UI.

为安全(人类安全)提供的住宿,剥削可能导致伤害或更糟的情况.

Supplemental Metric Group

An entirely new group 可选择的措施,以适应广泛的外部因素,可以影响风险决策,包括考虑

  • 可自动化的 (攻击者可以自动进行大规模攻击吗)- {没有定义, No, Yes}
  • 复苏 (系统在受到攻击后恢复性能和可用性的能力)- {没有定义, Automatic, User, Irrecoverable}
  • 安全 (可预测的伤害使用的冲击程度 IEC 61508 Consequence Categories) - {没有定义, Present, Negligible}
  • 价值密度 (攻击者在一次攻击后获得的资源等级)- {没有定义, Diffused, Concentrated}
  • Provider Urgency (补充紧急等级,可供供应链中的任何供应商使用)- {没有定义, Red, Amber, Green, Clear}
  • 脆弱性 响应 Effort (建议补救/缓解所涉及的努力程度(LOE)的补充信息)- {没有定义, 低, Moderate, 高}

这就总结了与用于派生和补充CVSS v4分数的度量相关的更改的摘要. 还有一些功能上的调整,包括:

  • 向量的字符串 更新以适应所有修订的度量定义和版本控制, 对某些人来说,这在实际使用中可能有点笨拙, 但是机器可读具有可扩展的价值 get your decoder rings ready (ex. CVSS: 4.0 / AV: P /交流:H /: P /公关:H / UI: N / VC: L / VI: H / VA: N / SC: N / SI: H / SA: L / S, P / R: U / RE: M / U:明确的/飞行器:/垫:P / MPR: N /梅:A / MVC: H /本:L / MVA: N / MSC: H / MSI: L / MSA: N / CR: H /红外:米/ AR: L / E: P)[查看 Interactive Caclulator]
  • 定性和定量改进,创造更大的vuln评分分布和评分结果, 改进基础方程以生成分数
  • 适应多个产品版本的独特基础分数, platforms 和/or OS (operating system)
  • 软件漏洞基线指引reasonable worst-case的实现场景,并消除关于软件库效果的混淆,例如
  • 更有力地倡导将资产管理和脆弱性管理系统的数据关联起来, whenever possible, 推动所有四(4)个度量组的采用和使用, 同样,更好地整合和优化威胁情报的使用
  • 和, 最后考虑过渡支持,以便一个漏洞可以容纳两个v4的使用.0 scores 和 current v3.1的分数.

Day to day impacts

我不认为计算和LOE得出的CVSS-B(基本度量)分数会显著增加, 但是,思考过程和底层分析序列将需要对现有过程进行一些更新. 基本度量过程更新的大部分将落在 usual suspects 和 host of vendors. 更有趣的影响将影响安全团队和漏洞分析人员. 这不是挑衅性的建议操作 可选 metrics, both in v3.在目前的提案中,可能需要相当大的提升. 考虑一个漏洞分析师在一个典型的补丁星期二需要投入的努力,为每个相关的CVE导出威胁度量和环境度量组. 对于每个星期二补丁的每个新vuln和派生都这样做很容易影响到下一个补丁周期, 因此,使用企业级漏洞管理解决方案(如Rapid7 IVM)的自动化将继续成为促进大规模高效漏洞响应的必要条件.

前面的场景正是开发和发布的基本原理 Rapid7’s new risk scoring model. 它将提供风险评估系统的许多核心原则,包括适应组织特定因素的灵活性,如在威胁和环境度量组业务中定义的那些因素,为团队提供修复目标的优先级列表.

Summary

While perceptually complex, as proposed CVSS v4 is a meaningful, 良好的研究和结构化框架,以推进脆弱性管理学科. As many have opined, there is room for improvement in the, now old enough to drive, 评分系统和在网络安全的严谨性和实际使用中所考虑的一切 v4用户指南.

了解社区对采用规模和复杂性的反应将是一件很有趣的事情——所有这些都是一次性的“大爆炸”方法或在更长的时间范围内渐进的变化. 此外,新系统在实践中采用了多少. 无论如何,最终的工作和努力在规模和细节上都令人印象深刻. 它将引起网络安全和更广泛的信息技术领域的许多人的共鸣,当然也会给其他人带来一些早该考虑的问题.

匿名公众意见征询期(cvss@first.org) closed on July 31, 2023. 第一个.org的目标是在8月31日之前对所有反馈进行审查和处理, 2023, 计划于10月1日正式发布, 2023.