Het wereldwijd gehanteerde scoresysteem voor kwetsbaarheden krijgt na acht jaar een nieuwe versie. In CVSS 4.0 is er onder meer aandacht voor de cybersecurity van OT, ICS en IoT.
CVSS 4.0 is officieel vrijgegeven door het Forum of Incident Response and Security Teams (FIRST). Het scoresysteem draagt voluit de benaming Common Vulnerability Scoring System en moet aanduiden hoe dringend een kwetsbaarheid aandacht verdient. De schaal loopt hiervoor op tot een maximum score van 10.
Security-experten kunnen patches niet altijd onmiddellijk installeren door tijdsnood of productieverlies. De score die de CVSS voor een kwetsbaarheid hanteert kan voor hun als een gids dienen om de volgorde waarin gepatcht wordt te bepalen of bepaalde patches te prioriteren.
Dat is niet het enige gebruiksdoeleinde voor het scoresysteen, maar wellicht de meest gebruikte optie. De CVSS kan hiernaast nog dienen voor het inschatten van een real-time dreiging en de mogelijke impact als de dreiging uitgroeit tot een hack.
Uitbreiding behandelde domeinen
De belangrijkste verbetering aan het systeem is de uitbreiding van de gebieden waarvoor de CVSS zich nuttig bewijst. De vierde versie breidt dit uit met aandacht voor OT, ICS en IoT.
In het algemeen leveren de aanpassingen verschillende voordelen op, volgens FIRST: “De herziene standaard biedt een fijnere granulariteit in de basisstatistieken voor consumenten, neemt de dubbelzinnigheid van de downstreamscores weg, vereenvoudigt de dreigingsstatistieken en verbetert de effectiviteit van het beoordelen van omgevingsspecifieke beveiligingsvereisten en het compenseren van controles.”
De organisatie vermeldt hierin al kort dat de wijze waarop het risico van een kwetsbaarheid wordt ingeschat, werd aangepast. Specifiek gaat het om een vernieuwde inschatting van de risico’s omtrent de mogelijkheid tot automatisatie van uitbuiting van het risico. Dat zou hackers in staat stellen de kwetsbaarheid op een eenvoudige en snelle manier grondig te misbruiken, wat ongetwijfeld zal zorgen voor een grotere dringenheid bij het patchen. Verder neemt de vierde versie de volgende zaken mee in de beoordeling: herstelmogelijkheid, waardedichtheid, de nodige inspanningen voor het dichten van de kwetsbaarheid en de urgentie die de provider van de patch oplegt voor het herstellen van software.
Het systeem deed zijn intrede in 2005. Achttien jaar later geeft FIRST de vierde versie uit. De vorige aanpassingen dateerden van acht jaar geleden. “Als ledenorganisatie is het ons doel om onze leden en de sector sterker te maken, leiderschap te tonen en ervoor te zorgen dat we ons voortdurend inzetten om de manier waarop we samenwerken te verbeteren om mensen over de hele wereld te beschermen tegen cyberaanvallen”, besluit Chris Gibson, CEO van FIRST.
Cybersecurity evolueert snel
Het lijkt ons niet meer dan logisch dat na acht jaar een uitbreiding van het aantal domeinen waarover de CVSS handelt aan de orde is. In termen van cybersecurity lijkt acht jaar immers al een eeuw geleden. De digitale onderdelen van een bedrijf zijn de voorbije vijf jaar bijvoorbeeld al enorm uitgebreid als gevolg van de pandemie. In het dreigingslandschap heeft de opkomst van artificiële intelligentie bedrijven en security-providers dan weer een nieuwe trend bezorgd om het hoofd over te breken. Daar spreken we dus zelfs over significante veranderingen in het afgelopen jaar alleen.
Lees ook: Cybersecurity in 2023: is het vijf voor of vijf over twaalf?
Het wereldwijd gebruikte scoresysteem CVSS houdt vanaf nu rekening met OT, ICS en IoT. Gebieden die in de afgelopen acht jaar waarin het systeem geen aanpassingen kreeg significante veranderingen doormaakte. Daarnaast zijn er nieuwe gebieden die mee bepalend zijn voor de hoogte van de uiteindelijke score, al merken we wel op dat AI-dreigingen nog niet bij name genoemd worden binnen het systeem.
17 uur geleden
