CVSS 4.0 正式发布，增强安全漏洞评估标准

关键要点

论坛事件响应与安全团队（FIRST）于11月1日正式发布了，该版本引入了更细致的基础指标，特别针对操作技术（OT）、工业控制系统（ICS）和物联网（IoT）进行了调整。

CVSS（当前漏洞评分系统）的技术严重性评分标准于2005年2月首次发布。如今，几乎所有安全团队都在使用
分数，以合理评估和优先处理其漏洞管理流程，并加强对网络攻击的防御。

Viakoo 首席执行官 Bud Broomhead 表示：“CVSS 4.0 进一步关注了弹性这一点，而这一点在攻击的初始阶段常常被忽视，同时也开始着眼于
，该领域的攻击数量不断创下新纪录。关注物联网、操作技术及工业控制系统攻击面为重中之重，组织需要以 CVSS 作为基础加以扩展。”

Critical Start 的网络威胁研究高级经理 Callie Guenther 补充道，CVSS 4.0最显著的变化在于其命名法，增加了对基本得分、基础 + 威胁和基本 + 环境得分的重视。Guenther表示，基础指标组的关键修改包括用户交互指标的精细化和范围指标的去除。

Guenther 还提到：“时间指标被恰当地重新命名为威胁指标，强调实时漏洞的存在。这一框架对威胁情报的重视显而易见。在 CVSS的发展历程中，跟踪其变化的过程给人以启发。随着网络威胁环境的复杂性和规模的增长，进化不仅是必要的，更是迫在眉睫的。”

Qualys 的威胁研究经理 Mayuresh Dani 指出 CVSS 4.0 存在的两个挑战：首先，要真正发挥 CVSS 4.0 的作用，Dani认为组织需要维护资产管理数据库（用于环境指标值）和威胁情报数据（用于威胁指标值）。如果缺乏这两项数据，漏洞在客户环境中的真实影响将无法体现。

其次，尽管新计算器功能强大且复杂，但五个新指标中，基础和补充指标必须由供应商提供，其余三个指标（环境指标（修改后的基础指标）、环境（安全要求）和威胁指标）则依赖最终用户提供。

Dani 指出：“除非组织具备人力来添加这些数据用于漏洞管理流程，否则这些字段将会被忽视，结果只会依赖于供应商提供的分数。”

通过这次 CVSS 4.0 的更新，各组织在漏洞评估中必须更加积极主动，以适应不断变化的网络安全环境。