Diễn đàn các nhóm ứng phó và bảo mật sự cố (FIRST) đã chính thức công bố CVSS v4.0, thế hệ tiếp theo của tiêu chuẩn hệ thống chấm điểm lỗ hổng phổ biến, hơn tám năm sau khi phát hành CVSS v3.0 vào tháng 6 năm 2015.
FIRST cho biết : “Phiên bản CVSS 4.0 mới nhất này nhằm mục đích cung cấp độ chính xác cao nhất về đánh giá lỗ hổng cho cả ngành và công chúng”.
CVSS là một khung tiêu chuẩn để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật phần mềm được sử dụng để ấn định điểm số hoặc biểu thị định tính (chẳng hạn như thấp, trung bình, cao và nghiêm trọng) dựa trên khả năng khai thác, tác động đến tính bảo mật, tính toàn vẹn, tính khả dụng và các đặc quyền bắt buộc, với mức cao hơn điểm biểu thị các lỗ hổng nghiêm trọng hơn.
Một trong những bản cập nhật cốt lõi của CVSS v3.1, được phát hành vào tháng 7 năm 2019, nhằm nhấn mạnh và làm rõ rằng “CVSS được thiết kế để đo lường mức độ nghiêm trọng của lỗ hổng và không nên sử dụng riêng nó để đánh giá rủi ro”.
CVSS v3.1 cũng bị chỉ trích vì thiếu tính chi tiết trong thang điểm và không thể hiện đầy đủ các hệ thống kiểm soát công nghiệp, an toàn con người và sức khỏe.
Bản sửa đổi mới nhất của tiêu chuẩn nhằm giải quyết một số thiếu sót này bằng cách cung cấp một số số liệu bổ sung để đánh giá lỗ hổng, chẳng hạn như An toàn (S), Tự động hóa (A), Phục hồi (R), Mật độ giá trị (V), Nỗ lực ứng phó với lỗ hổng bảo mật (RE) ) và Mức độ khẩn cấp của nhà cung cấp (U).
Bên cạnh đó, tiêu chuẩn này cũng giới thiệu một số thuật ngữ mới để liệt kê điểm CVSS bằng cách sử dụng kết hợp các mức độ nghiêm trọng Cơ sở (CVSS-B), Cơ sở + Đe dọa (CVSS-BT), Cơ sở + Môi trường (CVSS-BE) và Cơ sở + Đe dọa + Môi trường (CVSS-BTE)
FIRST cho biết mục đích của việc sử dụng thuật ngữ mới của CVSS v4.0 là để nhấn mạnh rằng điểm CVSS của một lỗ hổng không chỉ phụ thuộc vào mức độ nghiêm trọng cơ bản của lỗ hổng (Base score), mà còn phụ thuộc vào các yếu tố khác như mối đe dọa từ kẻ tấn công và môi trường nơi lỗ hổng tồn tại. Do đó, FIRST khuyến nghị rằng các tổ chức nên sử dụng thuật ngữ mới này bất cứ nơi nào giá trị CVSS số được hiển thị hoặc truyền đạt, chẳng hạn như trong các bản báo cáo bảo mật, các công cụ quản lý lỗ hổng và các thông báo công khai.
Diễn đàn lưu ý “Điểm cơ sở CVSS nên được bổ sung bằng việc phân tích môi trường (Số liệu môi trường) và các thuộc tính có thể thay đổi theo thời gian (Số liệu mối đe dọa)”.
