什么是新的CVSS v4

Last updated at Fri, 18 Aug 2023 21:30:10 GMT

的 pending update to the Common Common 脆弱性 Scoring System (CVSS), version 4.0, has garnered a noticeable volume of articles, blog posts 和 watercooler (now known as Slack 和 Zoom) air time. Reaction from the community has been positive, with general sentiment pinned somewhere near “practical.”

CVSS为评估漏洞的潜在严重性(以及在许多情况下的影响)提供了一种标准化的方法，因此组织可以就如何响应特定的安全问题做出明智的决定. Its fundamentals have been widely adopted by vendors, 研究人员, 学者, 脆弱性分析专家.

的 st和ard has been improved over time with the release of v1 in Feb. v2在2007年6月，v3在2015年6月. 当前版本(v3.1) 2019年6月首次亮相. Version 4 is slated for release on October 1, 2023.

所以，什么是新的CVSS v4?

CVSS v4 ushers in some meaningful improvements wrapped in a bit of nuanced complexity, 特别是如果你是一个供应商或威胁研究人员，负责提供基本分数. 追溯到CVSS v1, the st和ard has recognized that things like time, 目标值, 利用活动, 特定的操作环境都会影响与特定漏洞相关的风险数量. 在最近的CVSS版本的开发中寻求了完整性和易用性之间的平衡.

时间和环境度量旨在提供业务上下文，以帮助影响权衡决策. 然而, 这些指标在v3中是“可选的”, 和 adoption stagnated 和 never really grew beyond use of Base Metrics. 现实反映了这一观察结果，部分原因是由于评估者的解释造成了分数的主观性。, 人类的偏见, 但最重要的事实是，计算“可选的”度量标准需要组织在其他领域投入的资源和时间.

下面的总结是在每个评分系统v4组中依次呈现的:

基本度量组和定义

通过引入四(4)组来提高精度和准确性，而到目前为止只有一组在实际使用中. 的 规范文档 也强调了基本指标, 由供应商和研究人员提供, 代表内在品质. 威胁与环保组织, which provide business 和 situational context are intended to be, 只能是, 由最终用户组织提供.

• 明确CVSS-B的设计目的是衡量漏洞的严重程度，不应单独用于评估风险, while CVSS-BTE much more closely approximates risk.
• CVSS-B -基础指标加上….. [what’s commonly used today 和 composed of the Base Metric Group]
• CVSS-BT -基础和威胁度量
• CVSS-BE -基础和环境指标
• CVSS-BTE - Base, Threat, Environmental metrics
• more on the 补充度量组 later
  

图1. CVSS v.4度量组，第一.org (2023)

可利用性指标 提供澄清 to improve upon the often cited lack of granularity

• 攻击向量 (物理/逻辑位置)- {网络，相邻，本地，物理}
• 攻击的复杂性 (consideration for mitigating controls) - {低,高}
• 攻击的需求 (dependencies for exploit/attack to be successful) - {没有,现在},
• 权限要求 (在企图利用之前需要)- {没有，低，高}
• 用户交互 (是否需要参与)- {无，被动，主动}

影响指标 clarification that Impact measures consequences post attack, 还提供了使用指南(带有示例)，并考虑了跨机密性(C)的易受攻击(主要)和后续(次要)系统。, Integrity (I) 和 Availability (A) dimensions to improve application 和 usage, these measures replace the often criticized 和 misused Scope metric in v3.x.

• 易受攻击的系统机密性 (data disclosure beyond authorized users) - {高，低，无}
• 脆弱的系统完整性 (loss of trust or accuracy of the data) - {高，低，无}
• 易受攻击的系统可用性 (loss of accessibility to compute resources) - {高，低，无}
• 后续系统机密性 (data disclosure beyond authorized users) - {高，低，无}
• 后续系统完整性 (loss of trust or accuracy of the data) - {高，低，无}
• 后续系统可用性 (loss of accessibility to compute resources) - {高，低，无}

威胁度量组和定义

以前在v3中称为时态度量.x, 威胁指标 are intended to provide the ‘likelihood’ of a particular CVE being attacked, 在得出“开发成熟度”值时，应评估三(3)个组成部分{没有定义, Attacked, Proof-of-Concept, Unreported}, responsibility for which lies with the affected organization.

• 利用技术的现状(例如. 考虑机器学习的进步 斜接丙氨酸&CK ttp)
• 利用代码可用性(例如. Github上有POC吗?
• 主动的、可观察到的剥削(例如. what’s the threat analyst or your TIP tell you)

环境测量组

比如威胁度量组, 这组评估旨在由受影响的组织派生，并允许分析师进一步为受影响的资产/系统的用例定制任何一个CVSS分数. 我们回到安全基本的“CIA三合一”作为修改或定制整体CVSS v4分数的措施。.

• Confidentiality | Integrity | Availability Requirement - {没有定义 (insufficient information to choose value), 高 (灾难性的副作用)， 媒介 (严重不良反应)， 低 (不良影响有限)}

修改后的基本指标 环境小组的目标是编纂“缓解措施”，这些措施可能适用于任何漏洞或捕获由于缺乏预期控制而导致风险更大的实例-例如暴露在互联网上的管理UI.

为安全(人类安全)提供的住宿，剥削可能导致伤害或更糟的情况.

补充度量组

An 全新的团队 可选择的措施，以适应广泛的外部因素，可以影响风险决策，包括考虑

• 可自动化的 (can an attacker automate exploitation en masse) - {未定义，否，是}
• 复苏 (ability for a system to resume performance 和 availability after an attack) - {未定义、自动、用户、不可恢复}
• 安全 (degree of impact for predictable injury using IEC 61508后果分类) - {未定义，存在，可忽略}
• 价值密度 (level of resources attacker will gain after a single exploit) - {未定义，扩散，浓缩}
• 提供者的紧迫性 (supplemental urgency rating, available to any supplier in the chain) - {未定义，红色，琥珀色，绿色，透明}
• 漏洞响应工作 (建议补救/缓解所涉及的努力程度(LOE)的补充信息)- {未定义，低，中，高}

这就总结了与用于派生和补充CVSS v4分数的度量相关的更改的摘要. 的re are also several functional accommodations that have been made including:

• 向量的字符串 updates to accommodate all the revised metric definitions 和 versioning, which may be a bit unwieldy in practical use for some, but machine readable has extensible value - 准备好你的解码器环 (ex. CVSS: 4.0 / AV: P /交流:H /: P /公关:H / UI: N / VC: L / VI: H / VA: N / SC: N / SI: H / SA: L / S, P / R: U / RE: M / U:明确的/飞行器:/垫:P / MPR: N /梅:A / MVC: H /本:L / MVA: N / MSC: H / MSI: L / MSA: N / CR: H /红外:米/ AR: L / E: P)[查看 交互式Caclulator]
• 定性和定量改进，创造更大的vuln评分分布和评分结果, improvements to underlying equations to generate scores
• Accommodation for unique Base Scores for multiple product versions, 平台和/或OS(操作系统)
• Guidance to baseline Software Vulnerabilities at ‘合理的最坏的实现场景，并消除关于软件库效果的混淆，例如
• 更有力地倡导将资产管理和脆弱性管理系统的数据关联起来, 只要有可能, to drive adoption 和 use of all four (4) metric groups, similarly to better incorporate 和 optimize the use of threat intelligence
• 和, 最后考虑过渡支持，以便一个漏洞可以容纳两个v4的使用.0分和当前v3.1的分数.

日常影响

我不认为计算和LOE得出的CVSS-B(基本度量)分数会显著增加, 但是，思考过程和底层分析序列将需要对现有过程进行一些更新. 的 bulk of the Base Metric procedural updates will fall to the 通常的嫌疑人和大量的供应商. 的 more interesting impacts will affect the security teams 脆弱性分析专家. It isn’t provocative to suggest that operationalizing the 可选 指标，都在v3中.x 和 in the current proposal, could require a pretty heavy lift. 考虑一个漏洞分析师在一个典型的补丁星期二需要投入的努力，为每个相关的CVE导出威胁度量和环境度量组. 对于每个星期二补丁的每个新vuln和派生都这样做很容易影响到下一个补丁周期, 因此，使用企业级漏洞管理解决方案(如Rapid7 IVM)的自动化将继续成为促进大规模高效漏洞响应的必要条件.

的 preceding scenario is precisely the rationale behind the development 和 release of Rapid7的新风险评分模型. 它将提供风险评估系统的许多核心原则，包括适应组织特定因素的灵活性，如在威胁和环境度量组业务中定义的那些因素，为团队提供修复目标的优先级列表.

Summary

虽然在感知上很复杂, 因此提出CVSS v4是有意义的, 良好的研究和结构化框架，以推进脆弱性管理学科. 正如许多人所认为的, 在……方面还有改进的余地, 现在可以开车了, 评分系统和在网络安全的严谨性和实际使用中所考虑的一切 v4用户指南.

了解社区对采用规模和复杂性的反应将是一件很有趣的事情——所有这些都是一次性的“大爆炸”方法或在更长的时间范围内渐进的变化. Also, how much of the new system is adopted in practice. Regardless, the resulting work 和 effort is impressive both in scale 和 detail. 它将引起网络安全和更广泛的信息技术领域的许多人的共鸣，当然也会给其他人带来一些早该考虑的问题.

的 anonymous public comment period (cvss@first.org)于2023年7月31日关闭. 第一个.org is targeting all feedback to be reviewed 和 addressed by August 31, 2023, with a target official publication date of October 1, 2023.