-
18/08/2021
-
45
-
73 bài viết
Tiêu chuẩn đánh giá lỗ hổng CVSS 4.0 đã được phát hành
Diễn đàn các nhóm bảo mật và ứng phó sự cố (FIRST) đã chính thức phát hành thế hệ tiếp theo của tiêu chuẩn chấm điểm lỗ hổng đó là CVSS v4.0, tám năm kể từ CVSS v3.0.
CVSS là một tiêu chuẩn để đánh giá mức độ nghiêm trọng của các lỗ hổng an ninh phần mềm. Tiêu chuẩn này sử dụng để gán điểm số hoặc biểu diễn mức độ (như thấp, trung bình, cao và nghiêm trọng) dựa trên khả năng khai thác, tác động đến tính bảo mật, tính toàn vẹn, tính khả dụng và các đặc quyền cần thiết. Điểm số càng cao cho thấy các lỗ hổng càng nghiêm trọng.
FIRST cho biết: "Tiêu chuẩn mới sửa đổi có độ chi tiết tốt hơn trong các số liệu cơ bản đối với người dùng, loại bỏ sự mơ hồ, đơn giản hóa các số liệu về mối đe dọa và nâng cao hiệu quả của việc đánh giá các yêu cầu bảo mật cụ thể của môi trường cũng như các biện pháp kiểm soát”.
Ngoài ra, tiêu chuẩn này cũng bổ sung các chỉ số để đánh giá lỗ hổng: tự động hóa (wormable), phục hồi (resilience), mật độ giá trị, nỗ lực ứng phó lỗ hổng và tính cấp bách của nhà cung cấp.
"Một cải tiến quan trọng khác cho CVSS v4.0 là khả năng áp dụng bổ sung cho OT/ICS/IoT với các số liệu và giá trị an toàn được thêm vào cả nhóm chỉ số bổ sung và môi trường".
Phiên bản mới nhất này cũng bổ sung thêm một danh pháp mới, với xếp hạng mức độ nghiêm trọng của Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) và Base + Threat + Environmental (CVSS-BTE).
FIRST đã công bố CVSS 4.0 vào tháng 6, trong hội nghị thường niên lần thứ 35 tại Montréal, Canada, 18 năm sau khi phát hành CVSS phiên bản 1 vào tháng 2 năm 2005.
Năm ngoái, FIRST cũng đã xuất bản TLP 2.0, phiên bản mới nhất của tiêu chuẩn Traffic Light Protocol (TLP) được sử dụng trong cộng đồng nhóm ứng phó sự cố bảo mật máy tính (CSIRT) khi chia sẻ các thông tin nhạy cảm.
FIRST cho biết: "Tiêu chuẩn mới sửa đổi có độ chi tiết tốt hơn trong các số liệu cơ bản đối với người dùng, loại bỏ sự mơ hồ, đơn giản hóa các số liệu về mối đe dọa và nâng cao hiệu quả của việc đánh giá các yêu cầu bảo mật cụ thể của môi trường cũng như các biện pháp kiểm soát”.
Ngoài ra, tiêu chuẩn này cũng bổ sung các chỉ số để đánh giá lỗ hổng: tự động hóa (wormable), phục hồi (resilience), mật độ giá trị, nỗ lực ứng phó lỗ hổng và tính cấp bách của nhà cung cấp.
"Một cải tiến quan trọng khác cho CVSS v4.0 là khả năng áp dụng bổ sung cho OT/ICS/IoT với các số liệu và giá trị an toàn được thêm vào cả nhóm chỉ số bổ sung và môi trường".
Phiên bản mới nhất này cũng bổ sung thêm một danh pháp mới, với xếp hạng mức độ nghiêm trọng của Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) và Base + Threat + Environmental (CVSS-BTE).
Năm ngoái, FIRST cũng đã xuất bản TLP 2.0, phiên bản mới nhất của tiêu chuẩn Traffic Light Protocol (TLP) được sử dụng trong cộng đồng nhóm ứng phó sự cố bảo mật máy tính (CSIRT) khi chia sẻ các thông tin nhạy cảm.
Theo Bleeping Computer