Il Forum dei team di risposta agli incidenti e di sicurezza (PRIMO) ha segnato un salto significativo nella sicurezza informatica con il rilascio ufficiale di CVSS v4.0, l'ultima iterazione dello standard Common Vulnerability Scoring System. Questa presentazione arriva otto anni dopo l'introduzione di CVSS v3.0, rappresentando un momento cruciale della l’evoluzione delle metodologie di valutazione della minaccia.
CVSS: una panoramica
CVSS funge da quadro standardizzato per valutare la gravità delle vulnerabilità della sicurezza del software. Utilizza punteggi numerici o rappresentazioni qualitative (Basso, medio, alto, e critico) sulla base di fattori come la sfruttabilità, impatto sulla riservatezza, integrità, disponibilità, e privilegi richiesti. Più alto è il punteggio, tanto più grave è la vulnerabilità.
Uno dei principali vantaggi di CVSS è il suo ruolo nel dare priorità alle risposte alle minacce alla sicurezza. Fornisce un metodo coerente per valutare l’impatto delle vulnerabilità, facilitare il confronto dei rischi tra diversi sistemi e software.
“Lo standard rivisto offre una granularità più precisa nelle metriche di base per i consumatori, rimuove l'ambiguità del punteggio a valle, semplifica la misurazione delle minacce, e migliora l'efficacia della valutazione dei requisiti di sicurezza specifici dell'ambiente e dei controlli compensativi,” spiega PRIMA. Inoltre, CVSS v4.0 introduce diversi parametri supplementari per la valutazione della vulnerabilità, compreso automatizzabile (wormable), Recupero (resilienza), Densità di valore, Sforzo di risposta alle vulnerabilità, e Urgenza del fornitore.
Miglioramenti CVSS v4.0
Un notevole miglioramento in CVSS v4.0 è la sua estesa applicabilità alla tecnologia operativa (OT), Sistemi di controllo industriale (ICS), e l'Internet delle cose (IoT). Le metriche e i valori di sicurezza sono stati integrati nei gruppi di metriche supplementari e ambientali.
Introduzione di una nuova nomenclatura, CVSS v4.0 ora è disponibile Base (CVSS-B), Base + Minaccia (CVSS-BT), Base + Ambientale (CVSS-BE), e Base + Minaccia + Ambientale (CVSS-BTE) valutazioni di gravità.
Chris Gibson, CEO di PRIMO, riconosce lo sforzo monumentale dietro CVSS v4.0, sottolineandone l’importanza in un’epoca che assiste a un’impennata delle minacce informatiche. “Il sistema CVSS si è sviluppato rapidamente nel corso del passato 18 anni, con ogni versione basata sulle nostre capacità di difesa dalla criminalità informatica. Sono immensamente orgoglioso del CVSS-SIG per il duro lavoro e la dedizione necessari per produrre la versione 4.0,” Egli afferma.
Questo traguardo segue l'impegno di FIRST per il miglioramento continuo delle pratiche di sicurezza informatica. L'anno scorso, l'organizzazione ha anche introdotto TLP 2.0, l'ultima versione del suo Protocollo semaforico (TLP) standard, dimostrando l'impegno di FIRST nel promuovere strategie di difesa collaborativa di fronte all'evoluzione delle minacce informatiche.