O Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST) lançou na segunda-feira uma atualização de seu padrão de pontuação de vulnerabilidade CVSS como parte de uma tentativa de fornecer mais dados e remover ambigüidades na classificação da gravidade dos problemas downstream.
O padrão atualizado, usado pelas organizações para avaliar a gravidade de falhas de software conhecidas, oferece granularidade mais fina nas métricas básicas para os consumidores, remove a ambiguidade da pontuação downstream e simplifica as métricas de ameaças, disse a FIRST.
O coletivo sem fins lucrativos, que inclui mais de 650 organizações de mais de 100 países, disse que várias métricas suplementares para avaliação de vulnerabilidade foram adicionadas para sinalizar bugs que podem ser Automatizáveis (wormable), Recuperação (resiliência), Densidade de Valor, Esforço de Resposta à Vulnerabilidade e Urgência do provedor.
“Um aprimoramento importante do CVSS v4.0 é também a aplicabilidade adicional a OT/ICS/IoT, com métricas e valores de segurança adicionados aos grupos de métricas Suplementares e Ambientais”, afirmou o grupo.
O padrão CVSS fornece uma maneira de capturar as principais características de uma vulnerabilidade de segurança e produz uma pontuação numérica que reflete [a vulnerability’s] severidade técnica para informar e fornecer orientação a empresas, prestadores de serviços, governo e público.
A pontuação numérica pode ser representada como uma classificação de gravidade qualitativa (como baixa, média, alta e crítica) para ajudar as organizações a avaliar e priorizar adequadamente os seus processos de gestão de vulnerabilidades e a preparar defesas contra ataques cibernéticos.
“Este último lançamento marca um avanço significativo com recursos adicionais cruciais para equipes que têm a importância de usar inteligência de ameaças e métricas ambientais para uma pontuação precisa em seu núcleo”, disse o grupo.