FIRST (Forum of Incident Response and Security Teams) 1 Kasım 2023’te, Ortak Güvenlik Açığı Puanlama Sistemi sürüm 3 (CVSS v3)’ün yayınlanmasından sekiz yıl sonra, CVSS v4’ü resmi olarak duyurdu.
FIRST, yaptığı açıklamada, ” CVSS 4.0’ın bu son sürümü, hem endüstri hem de kamu için en yüksek doğrulukta güvenlik açığı değerlendirmesi sağlamayı amaçlıyor.” dedi .
CVSSv4.0’da Yenilikler Neler?
CVSS v4.0 da gerçekleştirilen başlıca yenilikler aşağıdaki gibidir.
İsimlendirme
CVSS çerçevesi 3 metrik gruptan oluşmaktaydı: Base(temel), Temporal(değişken), Environmental(çevresel). Fakat zamanla Base skor, CVSS skoruyla eş anlamlı hale geldi. CVSS’nin yanlızca Temel skor ile ifade edilmediğini vurgulamak için yeni bir isimlendirme yöntemine geçildi.
CVSS-B | Temel metrikler |
CVSS-BE | Temel ve Çevresel ölçümler |
CVSS-BT | Temel ve Tehdit metrikleri |
CVSS-BTE | Temel, Tehdit, Çevresel metrikler |
Ek Metrik Grubu
FIRST “Ek Metrik Grubu” adı verilen yeni metriklerle kullanıcıların risk analizinde onlara yardımcı olacak bilgiler sağlanması amaçlamaktadır. Ek Metrik Grubu isteğe bağlı olarak kullanılabilir ancak CVSS skorunun hesaplanmasında bir etkisinin olmadığı belirtilmektedir.
Safety (Emniyet) | Bu güvenlik açığından yararlanmanın kuruluş üzerinde güvenlik etkisi var mı? |
Automatable(Otomatikleştirilebilirme) | Saldırganlar bu güvenlik açığından yararlanmayı otomatik hale getirebilir mi? |
Recovery (İyileşmek) | Bir saldırı sonrasında sistemler/bileşenler kendilerini kurtarabilir mi? |
Provide Urgency (Aciliyet Sağlama) | Bu güvenlik açığı için satıcının sağladığı derecelendirme nedir? |
Value Density (Değer Yoğunluğu) | Saldırgan tek bir yararlanma olayıyla hangi kaynakların kontrolünü ele geçirecek? |
Yeni Temel Metrik
Attack Requirement (AT)(Saldırı Gereksinimi) metriği, “Saldırı Karmaşıklığı (AC)” metriği tarafından sağlanandan daha fazla ayrıntı düzeyi sağlamayı amaçlamaktadır. Bu yeni ölçüm, saldırıyı mümkün kılan savunmasız sistemin önkoşul dağıtım ve yürütme koşullarını veya değişkenlerini yakalar.
- Saldırı Karmaşıklığı – Savunma veya güvenliği artıran teknolojilerden kaçınmak veya atlatmak için gereken yararlanma mühendisliği karmaşıklığını yansıtır. (Savunma önlemleri)
- Saldırı Gereksinimleri – Savunmasız bileşenin saldırıyı mümkün kılan önkoşul koşullarını yansıtır.
Kaldırılan Temel Metrik
CVSS v3.0 ile tanıtılan Scope (kapsam) metriği kaldırıldı. FIRST kaldırılmanın sebebini kullanımına ilişkin netlik eksikliği olarak açıkladı. Bu durum farklı ürün sağlayıcıları arasında tutarsız puanlamalara yol açmaktaydı. Metriğin kaldırılması sebebiyle etki metrikleri iki set halinde genişletildi.
- Savunmasız Sistem Etkisi – Gizlilik (VC), Bütünlük (VI), Kullanılabilirlik (VA)
- Sonraki Sistem(ler)in Etkisi – Gizlilik (SC), Bütünlük (SI), Kullanılabilirlik (SA)
CVSS 4.0’ın Siber Güvenliğe etkileri nelerdir?
CVSS 4.0 genel olarak sömürü olasılığı ve başarılı bir saldırının potansiyel etkisiyle birlikte geniş bir dizi faktörü göz önünde bulundurarak daha bütünsel ve doğru bir şekilde değerlendirmeler sunmayı hedefler.
Herhangi bir güvenlik açığının teorik etkisi ile gerçek dünyada ortaya çıkardığı risk arasında uyumsuzluk olabiliyorken yeni sürümdeki daha net metriklerle öznelliği azaltarak daha az kritik açıklıklara olan yanlış yönelimi iyileştirmede, güvenlik açıklıklarının daha kolay değerlendirilmesini kolaylaştırmada önemli rol alıyor. Doğru değerlendirmelerle birlikte güvenlik uygulayıcılarının güvenlik açıklıklarını daha iyi önceliklendirmelerinde ve iyileştirmeler için kaynak tahsis etmelerinde önemli etkiler barındırır. Ayrıntılı metrikler ve modüler yaklaşımla kuruluşların puanlama sistemlerini ortamlara daha farklı etkenlere uyarlanmasına olan etkisiyle uyarlanabilirliğine olanak tanımasından dolayı güvenlik açıklıklarının daha doğru risk tanımlanmasının yapılmasıyla sonuçlanır. Bu da güvenlik açıklıklarının risk şiddetine göre alınacak aksiyonların sıralamasının belirlenmesinde etkileyici olur. Genel olarak güvenlik bulgularının temsil ettikleri gerçek tehditlere göre önceliklendirmede belirleyici aktif rol alır.
Kaynak:
https://www.first.org/newsroom/releases/20231101
https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf
https://blog.qualys.com/product-tech/2023/11/02/cvss-v4-is-now-live-and-what-do-you-need-to-know
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.