CVSS 40 正式发布，增强安全漏洞评估标准

关键要点

CVSS 40 于11月1日正式发布，侧重于基础指标的更精细化设定新版本特别适用于操作技术OT、工业控制系统ICS和物联网IoT强调了对弹性的关注，以及对威胁智能的重视CVSS 40 提供了更新的命名法，包含基本、基本 威胁和基本 环境等得分实施 CVSS 40 需组织维护资产管理数据库和威胁情报数据

论坛事件响应与安全团队FIRST于11月1日正式发布了 CVSS 40，该版本引入了更细致的基础指标，特别针对操作技术OT、工业控制系统ICS和物联网IoT进行了调整。

CVSS当前漏洞评分系统的技术严重性评分标准于2005年2月首次发布。如今，几乎所有安全团队都在使用 CVSS 分数，以合理评估和优先处理其漏洞管理流程，并加强对网络攻击的防御。

Viakoo 首席执行官 Bud Broomhead 表示：“CVSS 40 进一步关注了弹性这一点，而这一点在攻击的初始阶段常常被忽视，同时也开始着眼于 IoT/OT/ICS 领域，该领域的攻击数量不断创下新纪录。关注物联网、操作技术及工业控制系统攻击面为重中之重，组织需要以 CVSS 作为基础加以扩展。”

Critical Start 的网络威胁研究高级经理 Callie Guenther 补充道，CVSS 40 最显著的变化在于其命名法，增加了对基本得分、基础 威胁和基本 环境得分的重视。Guenther 表示，基础指标组的关键修改包括用户交互指标的精细化和范围指标的去除。

Guenther 还提到：“时间指标被恰当地重新命名为威胁指标，强调实时漏洞的存在。这一框架对威胁情报的重视显而易见。在 CVSS 的发展历程中，跟踪其变化的过程给人以启发。随着网络威胁环境的复杂性和规模的增长，进化不仅是必要的，更是迫在眉睫的。”

Qualys 的威胁研究经理 Mayuresh Dani 指出 CVSS 40 存在的两个挑战：首先，要真正发挥 CVSS 40 的作用，Dani 认为组织需要维护资产管理数据库用于环境指标值和威胁情报数据用于威胁指标值。如果缺乏这两项数据，漏洞在客户环境中的真实影响将无法体现。

其次，尽管新计算器功能强大且复杂，但五个新指标中，基础和补充指标必须由供应商提供，其余三个指标环境指标修改后的基础指标、环境安全要求和威胁指标则依赖最终用户提供。

Dani 指出：“除非组织具备人力来添加这些数据用于漏洞管理流程，否则这些字段将会被忽视，结果只会依赖于供应商提供的分数。”

手机轻蜂加速器

通过这次 CVSS 40 的更新，各组织在漏洞评估中必须更加积极主动，以适应不断变化的网络安全环境。