A otto anni di distanza dalla precedente versione CVSS v3.0 e 18 anni dopo il rilascio della versione 1.0 nel febbraio 2005, il Forum of Incident Response and Security Teams (FIRST) ha rilasciato ufficialmente CVSS 4.0, la nuova generazione dello standard Common Vulnerability Scoring System.

Il CVSS è un framework standardizzato per la valutazione della gravità delle vulnerabilità di sicurezza del software, utilizzato per assegnare punteggi numerici o rappresentazioni qualitative (come basso, medio, alto e critico) in base alla sfruttabilità, all’impatto sulla riservatezza, sull’integrità, sulla disponibilità e sui privilegi richiesti, con punteggi più alti che denotano vulnerabilità più gravi. Aiuta a dare priorità alle risposte alle minacce alla sicurezza perché fornisce un modo coerente per valutare l’impatto delle vulnerabilità e confrontare i rischi tra sistemi e software diversi.

CVSS v4.0 offre una granularità più fine nelle metriche di base per i consumatori, elimina l’ambiguità dei punteggi downstream, semplifica le metriche delle minacce e migliora l’efficacia della valutazione dei requisiti di sicurezza specifici dell’ambiente e dei controlli di compensazione”, ha scritto FIRST nell’annuncio ufficiale. “Inoltre, sono state aggiunte diverse metriche supplementari per la valutazione delle vulnerabilità, tra cui Automatable (wormable), Recovery (resilience), Value Density, Vulnerability Response Effort and Provider Urgency. Un miglioramento fondamentale di CVSS v4.0 è anche l’ulteriore applicabilità a OT/ICS/IoT, con l’aggiunta di metriche e valori di sicurezza ai gruppi di metriche supplementari e ambientali”.

CVSS 4.0

Quest’ultima versione aggiunge inoltre una nuova nomenclatura, con classificazioni di gravità Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) e Base + Threat + Environmental (CVSS-BTE). L’elenco completo di tutti i cambiamenti apportati dallo standard CVSS v4.0, tra cui una granularità più fine grazie alle nuove metriche/valori Base e metriche di impatto migliori, è disponibile qui.

“Il sistema CVSS si è sviluppato rapidamente negli ultimi 18 anni e ogni versione ha migliorato le nostre capacità di difesa dalla criminalità informatica. Sono immensamente orgoglioso del CVSS-SIG per il duro lavoro e la dedizione che ha richiesto la realizzazione della versione 4.0. Ed è tempestiva, in quanto continuiamo a vedere un aumento significativo delle minacce in tutto il mondo” ha dichiarato Chris Gibson, CEO di FIRST. “In qualità di organizzazione associativa, il nostro obiettivo è quello di dare potere ai nostri membri e al settore, dimostrando leadership e assicurando che ci dedichiamo a migliorare continuamente il modo in cui lavoriamo insieme per difendere le persone in tutto il mondo dagli attacchi informatici”.

L’anno scorso FIRST ha pubblicato anche TLP 2.0, l’ultima versione dello standard Traffic Light Protocol (TLP) utilizzato dalla comunità dei CSIRT (Computer Security Incident Response Team) per la condivisione di informazioni sensibili.