Rilasciato il CVSS v4.0 da FIRST dopo otto anni dalla versione 3.0

Il Forum of Incident Response and Security Teams (FIRST) ha rilasciato ufficialmente CVSS v4.0, la prossima generazione del suo standard Common Vulnerability Scoring System, otto anni dopo CVSS v3.0, la versione principale precedente.

CVSS è un quadro standardizzato per valutare la gravità delle vulnerabilità della sicurezza del software utilizzato per assegnare punteggi numerici o rappresentazioni qualitative (come basso, medio, alto e critico) in base alla sfruttabilità, all’impatto sulla riservatezza, all’integrità, alla disponibilità e ai privilegi richiesti, con punteggi più alti che indicano vulnerabilità più gravi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Aiuta a stabilire le priorità delle risposte alle minacce di sicurezza fornendo un modo coerente per valutare l’impatto delle vulnerabilità e confrontare i rischi tra diversi sistemi e software.

“Lo standard rivisto offre una granularità più precisa nelle metriche di base, elimina le ambiguità post-punteggio, semplifica le metriche delle minacce e migliora l’efficacia della valutazione dei requisiti di sicurezza e dei controlli specifici dell’ambiente”, ha detto FIRST.

FIRST ha aggiunto “Inoltre, sono stati aggiunti diversi parametri complementari per la valutazione della vulnerabilità, tra cui Automatizzazione (wormable), Ripristino (resilienza), Densità del valore, Sforzo di risposta alla vulnerabilità e Urgenza del fornitore… Un miglioramento chiave di CVSS v4.0 è anche l’ulteriore applicabilità a OT/ICS/IoT, con metriche e valori di sicurezza aggiunti ai gruppi di metriche supplementari e ambientali”.

Quest’ultima versione aggiunge anche una nuova nomenclatura, con le classificazioni di gravità Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), and Base + Threat + Environmental (CVSS-BTE) severity ratings.

FIRST ha introdotto CVSS 4.0 a giugno, durante la sua 35a conferenza annuale a Montreal, in Canada, come un “gamechanger dell’industria informatica”, 18 anni dopo il rilascio della versione 1 di CVSS nel febbraio 2005.

“Il sistema CVSS si è sviluppato rapidamente negli ultimi 18 anni, e ogni versione si basa sulle nostre capacità di difesa dalla criminalità informatica. Sono immensamente orgoglioso di CVSS-SIG per il duro lavoro e la dedizione necessari per produrre la versione 4.0. È tempestivo poiché continuiamo a vedere un aumento significativo delle minacce in tutto il mondo”, ha affermato Chris Gibson, direttore esecutivo di FIRST.

“Miriamo a dare potere ai nostri membri e al settore dimostrando leadership e assicurandoci di impegnarci a migliorare continuamente il modo in cui lavoriamo insieme per difendere le persone in tutto il mondo dagli attacchi informatici.”. L’anno scorso, FIRST ha anche rilasciato TLP 2.0, l’ultima versione del suo standard Traffic Light Protocol (TLP) utilizzato nella comunità CSIRT (Computer Security Incident Response Team) quando si condividono informazioni sensibili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.