El Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST, por sus siglas en inglés) ha anunciado oficialmente CVSS v4.0, la próxima generación del estándar Common Vulnerability Scoring System, más de ocho años después del lanzamiento de CVSS v3.0 en junio de 2015.
“Esta última versión de CVSS 4.0 busca proporcionar la más alta fidelidad de evaluación de vulnerabilidades tanto para la industria como para el público”, dijo FIRST en un comunicado.
Básicamente, CVSS proporciona una forma de capturar las principales características técnicas de una vulnerabilidad de seguridad y producir una puntuación numérica que denote su gravedad. La puntuación se puede traducir en varios niveles, como bajo, medio, alto y crítico, para ayudar a las organizaciones a priorizar sus procesos de gestión de vulnerabilidades.
Una de las actualizaciones principales de CVSS v3.1, lanzada en julio de 2019, fue enfatizar y aclarar que “CVSS está diseñado para medir la gravedad de una vulnerabilidad y no debe usarse solo para evaluar el riesgo”.
CVSS v3.1 también ha atraído críticas por una falta general de granularidad en la escala de puntuación y por no representar adecuadamente la salud, la seguridad humana y los sistemas de control industrial.
La última revisión de la norma tiene como objetivo abordar algunas de estas deficiencias al proporcionar varias métricas complementarias para la evaluación de vulnerabilidades, como Seguridad (S), Automatizable (A), Recuperación (R), Densidad de Valor (V), Esfuerzo de Respuesta a la Vulnerabilidad (RE) y Urgencia del Proveedor (U).
También estrena una nueva nomenclatura para enumerar las puntuaciones CVSS utilizando una combinación de clasificaciones de gravedad Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), and Base + Threat + Environmental (CVSS-BTE).
La idea, dijo FIRST, es “reforzar el concepto de que CVSS no es solo el puntaje base”, y agregó que “esta nomenclatura debe usarse siempre que se muestre o comunique un valor numérico de CVSS”.
“La puntuación base de CVSS debe complementarse con un análisis del entorno (Métricas ambientales) y con atributos que pueden cambiar con el tiempo (Métricas de amenazas)”, señaló.