Nos últimos dias, a FIRST¹ (Forum of Incident Response and Security Teams) lançou o CVSS 4.0, uma versão atualizada de uma das principais metodologias de classificação de vulnerabilidades, em que funções foram corrigidas e novas funcionalidades foram lançadas.
Mas o que exatamente mudou? Leia esse artigo até o fim para entender as principais diferenças entre a versão 3.1 e 4.0 do CVSS.
O que é o CVSS?
O CVSS (Common Vulnerability Scoring System)² é um sistema de avaliação de vulnerabilidades que, com base nas principais características, produz uma pontuação numérica para representar a gravidade dela (baixa, média, alta ou crítica).
A partir disso, a equipe de TI consegue estabelecer uma ordem de prioridade na etapa de correção, garantindo maior agilidade na mitigação de vulnerabilidades de maior risco.
Nos últimos anos, o CVSS tem utilizado sua versão 3.1, porém ela foi criticada diversas vezes, especialmente pela falta de flexibilidade e por sua alta complexidade.
O CVSS é o melhor sistema de priorização de vulnerabilidades?
O CVSS não é o único critério de análise de criticidade de vulnerabilidades usado para avaliar e priorizar o processo de mitigação de riscos.
Na verdade, esse sistema já recebeu diversas críticas, por focar na exploração da vulnerabilidade e desconsiderar outros fatores importantes.
Isso porque a criticidade (baixa, média, alta ou crítica) não é o único fator que influencia na probabilidade de uma vulnerabilidade ser explorada.
Por exemplo, uma vulnerabilidade pode ser grave, mas ter baixíssimas chances de ser explorada, por ser complexa demais, enquanto uma de baixa criticidade por ser mais fácil de se aproveitar.
Ou aquela vulnerabilidade não representa graves riscos para o negócio, devido às suas particularidades ou prioridades.
Esses também são fatores que devem ser levados em consideração. O EPSS, por exemplo, é um sistema que leva em consideração esse tipo de informação ao classificar a vulnerabilidade.
Mas foi com base nisso, e nos pontos fracos da versão 3.1, que a FIRST lançou o CVSS 4.0: uma versão mais simples, flexível e precisa do que a anterior, facilitando sua usabilidade. Venha entender tudo que mudou!
CVSS 3.1 x 4.0
Imagem: Principais mudanças no CVSS 4.0
- Métricas claras e simplificadas
Para acabar com o problema de ser um sistema complexo, o CVSS 4.0 agora conta com métricas mais claras e processos simplificados. Isso fica evidente na alteração das métricas de Complexidade de Ataque e Requisitos de Ataque.
- Maior flexibilidade
Agora, é possível adaptar essas métricas às particularidades de cada negócio, trazendo resultados mais precisos.
- Análise de risco
Agora, o CVSS também considera métricas de probabilidade de ataque e de suas consequências, de acordo com as particularidades de cada negócio.
- Ajustes no framework
Todos os ajustes também causaram mudanças no framework, uma vez que métricas foram substituídas, renomeadas ou excluídas.
- Novas métricas e conceitos
Confira as principais métricas e conceitos que foram adicionais ou renomeados no CVSS 4.0:
- Complexidade de ataque (Attack Complexity)
- Requisitos de ataque (Attack Requirements)
- Automatizável
- Recuperação
- Esforço de remediação
- Threat metric group
- Nível de remediação
- Maturidade da exploração
- Combinações: Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), e Base + Threat + Environmental.
Todas essas melhorias foram feitas pensando em tornar o CVSS 4.0 um sistema mais claro e simplificado, assim como mais preciso e eficiente – levando em consideração os pontos como a probabilidade do ataque na prática e os riscos que representa.
Aqui na Vantico, nossa prioridade é entender o impacto que cada ameaça pode representar para o cliente, de acordo com suas particularidades e necessidades, usando as principais metodologias – como o CVSS e o EPSS – a favor de cada teste de segurança executado.
Clique aqui para entender como e conheça nossa metodologia exclusiva!
²CVSS