Le Forum des équipes de réponse aux incidents et de sécurité (FIRST) a publié lundi une actualisation de sa norme de notation de vulnérabilité CVSS dans le cadre d’une tentative de fournir plus de données et de lever les ambiguïtés dans l’évaluation de la gravité des problèmes en aval.
La norme mise à jour, utilisée par les organisations pour évaluer la gravité des failles logicielles connues, offre une granularité plus fine dans les mesures de base pour les consommateurs, supprime l’ambiguïté de la notation en aval et simplifie les mesures des menaces, a déclaré FIRST.
Le collectif à but non lucratif, qui comprend plus de 650 organisations de plus de 100 pays, a déclaré que plusieurs mesures supplémentaires pour l’évaluation des vulnérabilités ont été ajoutées pour signaler les bogues qui peuvent être automatisés (versables), de récupération (résilience), de densité de valeur, d’effort de réponse aux vulnérabilités et Urgence du fournisseur.
“Une amélioration clé de CVSS v4.0 est également l’applicabilité supplémentaire à OT/ICS/IoT, avec des mesures et des valeurs de sécurité ajoutées aux groupes de mesures supplémentaires et environnementales”, a déclaré le groupe.
La norme CVSS fournit un moyen de capturer les principales caractéristiques d’une vulnérabilité de sécurité et produit un score numérique reflétant [a vulnerability’s] rigueur technique pour informer et fournir des conseils aux entreprises, aux prestataires de services, au gouvernement et au public.
Le score numérique peut être représenté sous la forme d’un indice de gravité qualitatif (tel que faible, moyen, élevé et critique) pour aider les organisations à évaluer et prioriser correctement leurs processus de gestion des vulnérabilités et à préparer des défenses contre les cyberattaques.
“Cette dernière version marque une avancée significative avec des fonctionnalités supplémentaires cruciales pour les équipes, l’importance d’utiliser les renseignements sur les menaces et les mesures environnementales pour une notation précise étant au cœur de leur travail”, a déclaré le groupe.
En rapport: Les scores CVSS sont souvent trompeurs pour les vulnérabilités ICS
En rapport: FIRST annonce la version 3.1 de CVSS
En rapport: TLP 2.0 apporte des améliorations de formulation et des modifications d’étiquette
2023-11-02 03:09:44
1698885533
#publie #norme #notation #des #vulnérabilités #CVSS