揭开CVSS v4.0新规范的神秘面纱
腾讯工程师anakin引领我们走进CVSS 4.0的革新世界,即将在2023年10月31日发布的新标准旨在提升风险评估的精准度,告别旧版的局限。CVSS 4.0的一大亮点是革新了评分体系,特别是引入了CVSS-B, CVSS-BT, CVSS-BE, CVSS-BTE,强调基础分不再单一,而是结合威胁和环境因素全面评估风险。
新规范强调,一次成功的攻击不再只依赖基础分,而是需要考量如下的关键因素:
在CVSS 4.0中,User Interaction被细致划分,如无需交互(N)、有限交互(P)和有意识交互(A),以反映攻击的真实难度。此外,将Attack Complexity拆分为Attack Requirements,更准确地反映漏洞利用的复杂度。
在评估过程中,新标准引入了Safety (S)指标,作为可选补充,以提供更全面的风险评估。例如,IEC 61508电气安全标准,将风险后果分为四级,从Catastrophic(多人死亡)到Negligible(轻伤),而攻击链的四个关键步骤(侦察、武器化、传递和利用)被赋予Y(可自动化)或N(不可)的分类。
高风险情况,如硬件故障和复杂的软件升级,其恢复努力等级(如Low、Moderate、High)将直接影响修复难度。Apache log4j命令执行漏洞和CVE-2014-6271 Bash 'Shellshock'漏洞的CVSS 4.0评分展示了新规范如何更细致地刻画风险。
CVSS 4.0的革新总结如下:
这是一次从单纯基础分向综合风险评估的重大飞跃,提升了风险评估的实用性和准确性。对于架构师和安全专业人员来说,CVSS 4.0是提升安全防护策略的重要工具。
参考资料:
了解更多技术动态,关注【鹅厂架构师】公众号,探索CVSS 4.0评分计算器、用户指南和专业解读内容。