CVSS 4.0 поможет вернее оценивать уязвимости, в том числе real-time
Главная » Новости

CVSS 4.0 поможет вернее оценивать уязвимости, в том числе real-time

Татьяна Никитина 14 Июля 2023 - 18:59
...
CVSS 4.0 поможет вернее оценивать уязвимости, в том числе real-time

Обновление CVSS нацелено на повышение точности расчетов, на результаты которых полагаются безопасники и пользователи софта. Расширенный набор параметров позволит исключить разночтения в оценке уязвимостей и успешнее бороться с такими угрозами.

Четвертая версия стандарта CVSS была в прошлом месяце представлена как превью на 35-й конференции FIRST в Монреале. В настоящее время система проходит тестирование в режиме реального времени, публичный запуск ожидается позже, но в этом году.

По словам кураторов проекта, новый релиз должен существенно изменить подход к оценке уязвимостей, их ранжированию при патчинге и к защите от кибератак. В спецификации добавлены возможности, очень важные для киберразведки (threat intelligence), а также контекстные метрики — параметры среды пользователя, позволяющие понять, какие данные или операции представляют наибольший риск для организации.

В список вспомогательных атрибутов, которые можно использовать для определения уровня опасности уязвимости, добавлены несколько позиций:

  • Automatable — возможность автоматизации эксплойта;
  • Recovery — способность системы к восстановлению после атаки;
  • Value Density — количество системных ресурсов, к которым можно получить доступ через эксплойт;
  • Vulnerability Response Effort — трудоемкость реагирования;
  • Provider Urgency — рейтинг от провайдера;
  • Safety — функциональная безопасность (показатель, важный для OT/ICS/IoT).

Обновлена также система именования результатов расчета. Перечень возможных количественных оценок теперь выглядит следующим образом:

  • CVSS-B — базовая оценка;
  • CVSS-BT — базовая оценка + оценка степени угрозы;
  • CVSS-BE — базовая оценка + контекстная метрика;
  • CVSS-BTE — базовая оценка + степень угрозы + контекстная метрика.

Предыдущая, третья версия системы оценки уязвимостей, которой сейчас пользуется большинство разработчиков софта и специалистов по ИБ, вышла в 2015 году. Через четыре года появилась CVSS 3.1 — улучшенный вариант без дополнений, упростивший использование фреймворка.

«Последние 18 лет систему CVSS усиленно развивали, и каждая версия учитывала возможности держать кибероборону, — комментирует Крис Гибсон (Chris Gibson), руководитель сообщества групп реагирования на компьютерные инциденты (FIRST). — Меня восхищают трудолюбие и самоотдача команды CVSS-SIG, проявленные при подготовке версии 4.0. Очень своевременный результат: количество угроз во всем мире продолжает стремительно расти».

Следующая главная новость »
AM LiveКибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Let's Encrypt может отказать МАКС в TLS-сертификате из-за санкций
Екатерина Быстрова 15 Июня 2026 - 15:26
Общее
Let's Encrypt может отказать МАКС в TLS-сертификате из-за санкций

У российского мессенджера МАКС назревает новая техническая проблема. На форуме сообщества Let's Encrypt развернулась дискуссия о том, может ли сервис продолжать выдавать TLS-сертификаты для официального сайта проекта. Поводом стали санкции США.

Представитель Let's Encrypt напомнил, что домен связан с компанией «Коммуникационная платформа», которая фигурирует в американских санкционных списках.

А поскольку Let's Encrypt работает под юрисдикцией США, организация обязана соблюдать соответствующие ограничения.

«Let's Encrypt находится под юрисдикцией США, поэтому не может выдавать сертификаты организациям, находящимся под санкциями», — говорится в комментарии представителя удостоверяющего центра.

Ситуация выглядит особенно любопытно на фоне того, что МАКС уже менял поставщика сертификатов. Ранее сайт использовал сертификат японского удостоверяющего центра GlobalSign, однако затем перешёл на Let's Encrypt.

Пока никаких официальных заявлений об отзыве сертификата нет. Более того, действующий сертификат сайта МАКС остаётся активным до 4 сентября. Однако сама позиция Let's Encrypt намекает, что в будущем у владельцев ресурса могут возникнуть сложности с продлением.

Если сертификат всё же будет отозван или его не удастся перевыпустить, разработчикам придётся искать альтернативный удостоверяющий центр либо переходить на российские сертификаты. В противном случае пользователи могут начать видеть предупреждения браузеров о проблемах с безопасностью соединения.

Пока сайт МАКС работает в штатном режиме. Но если международные центры сертификации окончательно закроют двери для российских проектов под санкциями, вопрос доверенных TLS-сертификатов может стать для них не менее важным, чем разработка самого сервиса.

AM LiveКибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!
В Ubuntu нашли опасный путь к root через штатные компоненты
Новость
В Ubuntu нашли опасный путь к root через штатные компоненты
Мошенники продают билеты на фейковые шоу с распаковкой авто
Новость
Мошенники продают билеты на фейковые шоу с распаковкой авто
В Москве не будет мобильного интернета на майские праздники
Новость
В Москве не будет мобильного интернета на майские праздники

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.