CVSS 4.0: o que muda com a nova atualização?

Picture of vantico

vantico

Thumb - CVSS 4.0

Nos últimos dias, a FIRST¹ (Forum of Incident Response and Security Teams) lançou o CVSS 4.0, uma versão atualizada de uma das principais metodologias de classificação de vulnerabilidades, em que funções foram corrigidas e novas funcionalidades foram lançadas.

Mas o que exatamente mudou? Leia esse artigo até o fim para entender as principais diferenças entre a versão 3.1 e 4.0 do CVSS.

O que é o CVSS?

O CVSS (Common Vulnerability Scoring System)² é um sistema de avaliação de vulnerabilidades que, com base nas principais características, produz uma pontuação numérica para representar a gravidade dela (baixa, média, alta ou crítica).

A partir disso, a equipe de TI consegue estabelecer uma ordem de prioridade na etapa de correção, garantindo maior agilidade na mitigação de vulnerabilidades de maior risco.

Nos últimos anos, o CVSS tem utilizado sua versão 3.1, porém ela foi criticada diversas vezes, especialmente pela falta de flexibilidade e por sua alta complexidade.

O CVSS é o melhor sistema de priorização de vulnerabilidades?

O CVSS não é o único critério de análise de criticidade de vulnerabilidades usado para avaliar e priorizar o processo de mitigação de riscos.

Na verdade, esse sistema já recebeu diversas críticas, por focar na exploração da vulnerabilidade e desconsiderar outros fatores importantes.

Isso porque a criticidade (baixa, média, alta ou crítica) não é o único fator que influencia na probabilidade de uma vulnerabilidade ser explorada.

Por exemplo, uma vulnerabilidade pode ser grave, mas ter baixíssimas chances de ser explorada, por ser complexa demais, enquanto uma de baixa criticidade por ser mais fácil de se aproveitar.

Ou aquela vulnerabilidade não representa graves riscos para o negócio, devido às suas particularidades ou prioridades.

Esses também são fatores que devem ser levados em consideração. O EPSS, por exemplo, é um sistema que leva em consideração esse tipo de informação ao classificar a vulnerabilidade.

Mas foi com base nisso, e nos pontos fracos da versão 3.1, que a FIRST lançou o CVSS 4.0: uma versão mais simples, flexível e precisa do que a anterior, facilitando sua usabilidade. Venha entender tudo que mudou!

CVSS 3.1 x 4.0

Melhorias do CVSS 4.0

Imagem: Principais mudanças no CVSS 4.0

  1. Métricas claras e simplificadas

Para acabar com o problema de ser um sistema complexo, o CVSS 4.0 agora conta com métricas mais claras e processos simplificados. Isso fica evidente na alteração das métricas de Complexidade de Ataque e Requisitos de Ataque.

  1. Maior flexibilidade

Agora, é possível adaptar essas métricas às particularidades de cada negócio, trazendo resultados mais precisos.

  1. Análise de risco

Agora, o CVSS também considera métricas de probabilidade de ataque e de suas consequências, de acordo com as particularidades de cada negócio.

  1. Ajustes no framework

Todos os ajustes também causaram mudanças no framework, uma vez que métricas foram substituídas, renomeadas ou excluídas.

  1. Novas métricas e conceitos

Confira as principais métricas e conceitos que foram adicionais ou renomeados no CVSS 4.0:

  • Complexidade de ataque (Attack Complexity)
  • Requisitos de ataque (Attack Requirements)
  • Automatizável
  • Recuperação
  • Esforço de remediação
  • Threat metric group
  • Nível de remediação
  • Maturidade da exploração
  • Combinações: Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), e Base + Threat + Environmental.

Todas essas melhorias foram feitas pensando em tornar o CVSS 4.0 um sistema mais claro e simplificado, assim como mais preciso e eficiente – levando em consideração os pontos como a probabilidade do ataque na prática e os riscos que representa.

 

Aqui na Vantico, nossa prioridade é entender o impacto que cada ameaça pode representar para o cliente, de acordo com suas particularidades e necessidades, usando as principais metodologias – como o CVSS e o EPSS – a favor de cada teste de segurança executado.

Clique aqui para entender como e conheça nossa metodologia exclusiva!

 

¹FIRST

²CVSS

veja também

Outros conteúdos sobre Segurança Cibernética