Больше материалов: Boosty

• Упрощённые метрики угроз: Временная оценка

была переименована в Threat Metric Group и теперь
включает только один показатель – зрелость
• Новая дополнительная группа метрик: группа
введена для улучшения внешних атрибутов,
дающих дополнительное представление о
характеристиках уязвимости
• Изменения в векторной строке: Векторная строка
была обновлена и теперь начинается с CVSS: 4.0, а
не с CVSS: 3.1. Хотя в векторную строку не
вносились никакие другие изменения, CVSS версии
4.0 содержит изменения в определении некоторых
значений метрик и в формулах
• Улучшенное руководство: CVSS v4.0
предоставляет улучшенные рекомендации
аналитикам для получения согласованных оценок,
рекомендации по оценке уязвимостей в библиотеках
ПО и поддерживает несколько оценок CVSS для
одной и той же уязвимости, которая затрагивает
разные платформы или операционные системы
• Повышенная ясность и простота: CVSS 4.0
нацелен на обеспечение более упорядоченного
I. ВВЕДЕНИЕ процесса расчёта, и снижения субъективности за
Общая система оценки уязвимостей (CVSS) версии 4.0 счёт более конкретизации по метрикам
представляет собой последнюю итерацию стандартной • Акцент на отказоустойчивость: CVSS 4.0 вновь
отраслевой системы количественной оценки критичности и уделяет внимание отказоустойчивости, особенно на
воздействия уязвимостей программного обеспечения. ранних стадиях эксплойта, решая растущие
CVSS v4.0 вносит несколько существенных изменений проблемы, связанные с безопасностью
и улучшений по сравнению с предыдущей версией (v3.1), операционных технологий (OT), промышленных
чтобы обеспечить более детальную, точную и систем управления (ICS) и Интернета вещей (IoT)
всестороннюю оценку уязвимостей. • Переименование ключевых метрик: Временные
В анализе ниже будут рассмотрены различные аспекты метрики в CVSS 3.1 были переименованы в метрики
CVSS версии 4.0, включая улучшенные показатели, угроз в CVSS 4.0
введение новых категорий и последствия, которые эти
• Взаимодействие с пользователем: CVSS 4.0
изменения имеют для специалистов по кибербезопасности
сделала показатель взаимодействия с пользователем
и организаций. Анализируя спецификацию CVSS версии
более детализированным. В то время как в CVSS 3.1
4.0, будет представлено качественное резюме, в котором
для этого метрики были заданы значения None (N)
собраны основные улучшения и модификации по
или Required (R), в CVSS 4.0 параметры были
сравнению с её предшественником, CVSS версии 3.1, что
расширены до Active, Passive и None
позволит читателям лучше понять её влияние на процессы
управления уязвимостями. Благодаря тщательному • Новые базовые метрики и значения: CVSS 4.0
изучению платформы CVSS версии 4.0 наряду с выводами вводит новые базовые метрики и значения,
экспертов по кибербезопасности, этот анализ направлен на обеспечивая более детальную и точную оценку
то, чтобы предоставить чёткое руководство по уязвимостей
эффективному использованию CVSS версии 4.0 для
повышения уровня безопасности организации. • Оценка воздействия на уязвимые и последующие
системы: CVSS 4.0 обеспечивает более точное
II. КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ представление о воздействии уязвимостей как на
Основные обновления в CVSS версии 4.0: уязвимую систему, так и на последующие системы

• Новые базовые метрики и значения: вводятся • Упрощение метрик угроз: Метрики угроз были
новые базовые метрики, которые отражают упрощены, чтобы сфокусироваться только на
дополнительные аспекты риска, такие как зрелости эксплойтов
потенциальные последствия успешной атаки, • Новая дополнительная группа метрик: CVSS 4.0
включая оценку воздействия на уязвимую систему представляет новую дополнительную группу
(VC, VI, VA) и последующие системы (SC, SI, SA) метрик
 Больше материалов: Boosty
• Требования к атаке: CVSS 4.0 вводит новую версия содержит более конкретные рекомендации и
базовую метрику "Требования к атаке", которая определения метрик, которые должны привести к
получает значение "Присутствует", если есть более точному подсчёту рейтинга
условие предварительной атаки
• Поддержка нескольких оценок – Новая платформа
• Изменения области применения: Функция предназначена для поддержки нескольких оценок
"Области применения" из CVSS версии v3.1 была CVSS для одной и той же уязвимости, когда она
удалена и заменена понятием "Уязвимая система" затрагивает разные платформы или операционные
системы, обеспечивая более полную оценку
• Поддержка нескольких оценок: CVSS 4.0
предназначен для поддержки нескольких оценок • Акцент на отказоустойчивость – уделяется
CVSS для одной и той же уязвимости, которая внимание отказоустойчивости, особенно на ранних
затрагивает разные платформы, операционные стадиях эксплойта, что становится все более
системы и т.д. важным для безопасности операционных
технологий (OT), промышленных систем
• Рекомендации для других секторов: CVSS 4.0 управления (ICS) и Интернета вещей (IoT)
Расширение рамок CVSS в отношении других
отраслей, например, автомобилестроение. • Предоставляемая поставщиком оценка
критичности и воздействия – теперь
III. ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ CVSS ВЕРСИИ 4.0 интегрируется предоставляемую поставщиком
ПО СРАВНЕНИЮ С ПРЕДЫДУЩИМИ ВЕРСИЯМИ оценку критичности и воздействия, учитывая более
CVSS v4.0 улучшает оценку уязвимостей за счёт широкий спектр точек зрения и более точно
внедрения детального и точного представления рисков, согласовывая процесс оценки с реальными
связанных с уязвимостями программного обеспечения: сценариями

• Более детализированные базовые метрики – • Повышенная точность оценки уязвимостей – The

CVSS версии 4.0 включает новые базовые метрики Целью CVSS версии 4.0 является обеспечение
и значения, которые отражают дополнительные повышенной точности оценки уязвимостей для
аспекты риска, такие как потенциальные отрасли и общественности, включая различные
последствия успешной атаки. Это включает в себя усовершенствования для повышения точности
чёткую оценку воздействия на Уязвимую систему оценки уязвимостей
(VC, VI, VA) и Последующие системы (SC, SI, SA),
IV. ДЕТАЛИЗИРОВАННЫЕ МЕТРИКИ И ПРОЦЕСС ПОДСЧЁТА
что позволяет получить более подробное
РЕЙТИНГА
представление о воздействии уязвимости
CVSS v4.0 вводит несколько более детализированных
• Интеграция анализа угроз – Группа метрик угроз метрик для обеспечения более детального понимания
в CVSS версии 4.0 регулирует критичность технических характеристик уязвимостей. Одним из
уязвимости на основе факторов реального времени, ключевых изменений является более детальная разбивка
таких как доступность кода, подтверждающего базовых метрик, которая включает новые значения для
концепцию, или активное использование. Такая взаимодействия с пользователем, классифицируемые как
интеграция анализа угроз гарантирует, что оценка Пассивные или Активные. Метрика взаимодействия с
отражает текущий ландшафт угроз и вероятность пользователем (UI) в CVSS версии 4.0 обеспечивает
атаки большую детализацию требуемого объёма взаимодействия.
• Метрики окружения – уточняют оценку Кроме того, CVSS версии 4.0 вводит новую метрику
критичности для конкретной вычислительной требований к атаке, которая обеспечивает большую
среды. Учитываются такие факторы, как наличие детализацию при описании предварительных условий,
мер по смягчению последствий и критичность позволяющих атаковать.
затронутой системы в среде пользователя для CVSS версии 4.0 упрощает процесс оценки несколькими
проведения более индивидуальной оценки рисков способами. Метрики угроз, ранее известные как временные
• Упрощённые метрики угроз – Группа метрик метрики, были упрощены и переименованы, чтобы
угроз, ранее известная как Временные метрики, подчеркнуть важность оценки уязвимостей в режиме
была упрощена, чтобы сосредоточиться на наиболее реального времени. Уровень исправления (RL) и
важном аспекте оценки уязвимостей в режиме достоверность отчёта (RC) были удалены, а срок действия
реального времени - зрелости эксплойтов. Это "Кода" эксплойта был переименован в срок действия
упрощение помогает пользователям лучше эксплойта (E). Временные метрики были упрощены, чтобы
понимать риск уязвимостей помочь потребителям лучше понять риск уязвимостей.
Система оценки в CVSS версии 4.0 проще и гибче по
• Повышенная ясность и простота – CVSS 4.0 сравнению с предыдущими версиями, цель которой -
направлена на уменьшение двусмысленностей и обеспечить универсальную основу для оценки различных
несоответствий в оценках уязвимостей, которые уязвимостей.
были распространены в предыдущих версиях. Новая
 Больше материалов: Boosty
V. СПИСОК МЕТРИК воздействия отражают прямые последствия успешного
Общая система оценки уязвимостей (CVSS) версии 4.0 эксплойта. Базовые метрики помогают определить
состоит из четырёх групп метрик: базовые, метрики угрозы, начальную оценку критичности уязвимости. В CVSS
окружения и дополнительные. версии v3.1 базовая группа метрик состояла из четырёх
основных метрик: вектор атаки (AV), Сложность атаки
Базовая группа метрик представляет собой (AC), Требуемые привилегии (PR) и взаимодействие с
внутренние характеристики уязвимости, которые остаются пользователем (UI). В CVSS 4.0 введён показатель,
постоянными с течением времени и в разных называемый Требованиями к атаке (AT), для повышения
пользовательских средах. Базовый балл рассчитывается по детализации системы подсчёта рейтинга
специальной формуле, которая учитывает такие факторы,
как влияние уязвимости на целостность, 2) Влияние на оценку
конфиденциальность, доступность, возможность Базовые метрики дают оценку в диапазоне от 0 до 10,
использования и масштаб. которую затем можно изменить, оценив метрики угрозы и
окружения. Базовая оценка отражает техническую
Группа метрик угроз, ранее известная как группа критичность уязвимости только при рассмотрении ее
временных метрик, предоставляет дополнительный отдельно. Важно отметить, что базовый балл является лишь
контекст для базовых метрик. Однако метрики угроз не отправной точкой для построения полной картины риска,
оказывают существенного влияния на итоговую оценку связанного с уязвимостью.
CVSS.
3) Использование
Группа метрик окружения представляет Базовая группа метрик используется для оценки
характеристики уязвимости, которые являются фундаментальных качеств уязвимости, которые сохраняют
уникальными для среды пользователя. Эти метрики своё постоянство с течением времени. Он используется для
позволяют организациям настраивать метрики CVSS на оценки критичности уязвимостей и их влияния на
основе их конкретной среды. Однако метрики состояния организации без учёта временных метрики или окружения
окружения определяются пользователями и напрямую не
влияют на общедоступные оценки CVSS, которые 4) Расчёт
основаны исключительно на Базовой оценке. Базовые метрики делятся на метрики
эксплуатируемости и метрики воздействия. Когда аналитик
Дополнительная группа метрик — это новое присваивает этим базовым метрикам значения, они дают
дополнение в CVSS версии 4.0. В неё входят метрики, оценку в диапазоне от 0.0 до 10.0.
обеспечивающие дополнительный контекст, такие как
автоматизируемость, восстановление, срочность для Калькулятор CVSS версии 4.0, который является
поставщика и усилия по устранению уязвимостей. Однако эталонной реализацией стандарта CVSS, может
дополнительные метрики являются необязательными и не использоваться для генерации оценок на основе значений
оказывают никакого влияния на окончательный расчётный этих метрик. Калькулятор применяет формулу, указанную
балл CVSS. в стандарте CVSS версии 4.0, для получения базового балла
A. Базовые метрики 5) Pопределение приоритетов уязвимостей
Базовые метрики представляют собой неотъемлемые Базовые метрики представляют собой внутренние
качества уязвимости: характеристики уязвимости, которые остаются
постоянными с течением времени и в разных
• Вектор атаки (AV) пользовательских средах. Они включают метрики
• Сложность атаки (AC) возможности использования (такие как вектор атаки,
сложность атаки, требования к атаке, требуемые
• Требуемые привилегии (PR) привилегии и взаимодействие с пользователем) и метрики
• Взаимодействие с пользователем (UI) воздействия на уязвимую систему (такие как
конфиденциальность, целостность и доступность) и
• Область применения последующие метрики воздействия на систему. Базовые
• Метрики воздействия: Конфиденциальность метрики дают оценку в диапазоне от 0 до 10, которая
уязвимой системы (VC), Целостность (VI), отражает техническую критичность уязвимости, если
Доступность (VA) и Системные рассматривать ее изолированно. Этот показатель важен при
Конфиденциальность (SC), Целостность (SI), анализе уязвимости и помогает определить приоритеты
Доступность (SA) уязвимостей на основе присущих им характеристик
1) Цель B. Метрики угроз
Базовая группа метрик представляет собой внутренние Метрики угроз, ранее известные как Временные
качества уязвимости, которые остаются постоянными с метрики, корректируют критичность уязвимости на основе
течением времени. Она состоит из двух наборов метрик: факторов реального времени. К ним относятся:
метрик возможности использования и метрик воздействия.
Метрики эксплуатируемости отражают простоту и • Зрелость использования (E)
технические средства, с помощью которых уязвимость
• Уровень восстановления (RL)
может быть использована, в то время как метрики
 Больше материалов: Boosty
• Достоверность отчета (RC) 5) Определение приоритетов уязвимостей
Метрики угроз, ранее известные как временные
1) Цель метрики, корректируют критичность уязвимости на основе
Цель группы метрик угроз – скорректировать таких факторов, как доступность кода, подтверждающего
критичность уязвимости на основе таких факторов, как концепцию, или активное использование. Эти метрики
доступность кода, подтверждающего концепцию, или отражают характеристики уязвимости, которые меняются с
активное использование. Эта группа отражает течением времени, например, использовалась ли
характеристики уязвимостей, связанные с угрозой, которые уязвимость или существует ли какой-либо
могут меняться с течением времени. подтверждающий концепцию эксплойт. Значения в этой
Например, он включать такую информацию, группе метрик могут меняться с течением времени, и они
использовалась ли уязвимость или существует ли какой- помогают в оценке уязвимости в режиме реального
либо подтверждающий концепцию эксплойт. Значения, времени. Принимая во внимание вероятность
найденные в этой группе метрик, могут меняться с использования и потенциальное воздействие успешной
течением времени, отражая меняющийся ландшафт угроз. атаки, CVSS версии 4.0 стремится предложить более
целостную и точную оценку уязвимостей.
2) Влияние на оценку
Группа метрик угроз влияет на итоговую оценку CVSS, C. Метрики окружения
корректируя критичность уязвимости в зависимости от Метрики окружения позволяют организациям
ландшафта угроз. Отсутствие явных выбранных метрик настраивать метрики CVSS на основе их конкретной среды.
угрозы все равно приведёт к получению балла, но Они включают:
включение “T” в номенклатуру уместно, если какие-либо
метрики угрозы используются для корректировки балла • Измененные Базовые метрики

3) Использование • Потенциальный сопутствующий ущерб (CDP)

Группа метрик угроз используется для уточнения • Метрики требований к безопасности: Требования к
оценки критичности уязвимости на основе применимого конфиденциальности уязвимой системы (CR),
анализа угроз. Он используется в сочетании с группой Требования к целостности уязвимой системы (IR) и
базовых метрик, которая представляет внутренние качества требования к доступности уязвимой системы (AR)
уязвимости, которые остаются постоянными с течением
времени, и группой метрик среды, которая представляет 1) Цель
характеристики уязвимости, уникальные для конкретной Группа метрик среды в CVSS версии 4.0 представляет
вычислительной среды. характеристики уязвимости, уникальные для среды
пользователя. Это позволяет организациям корректировать
4) Расчёт Базовую оценку уязвимости, чтобы отразить ее влияние в
Метрики угроз в Общей системе оценки уязвимостей их конкретном контексте. Эта группа объясняет наличие
(CVSS) версии 4.0 корректируют критичность уязвимости средств контроля безопасности, которые могут смягчить
на основе таких факторов, как доступность кода, некоторые или все последствия уязвимости, и
подтверждающего концепцию, или активное относительную важность уязвимой системы в
использование. Эти метрики отражают характеристики технологической инфраструктуре.
уязвимости, связанные с угрозой, которые могут меняться с
течением времени. 2) Влияние на оценку
Метрики окружения позволяют аналитикам настраивать
В CVSS версии 4.0 метрики угроз заменили временные оценку CVSS с учётом исходных данных, касающихся
метрики из предыдущих версий, что привело к более важности ИТ-активов и наличия мер по смягчению
конкретным и упрощённым метрикам. Метрики уровня последствий, которые могут увеличить или уменьшить
исправления (RL) и достоверности отчёта (RC), которые критичность уязвимости. Эти метрики являются
были частью временных метрик в предыдущих версиях, модификаторами базовой группы метрик и предназначены
были удалены в CVSS версии 4.0. для учёта аспектов деятельности предприятия, которые
Значения, присвоенные метрикам угрозы, используются могут влиять на критичность уязвимости. Группа метрик
при расчёте окончательной оценки наряду с базовыми окружения влияет на итоговую оценку CVSS, позволяя
метриками и метриками окружения. Если явные значения вносить коррективы в зависимости от конкретной среды, в
метрик угрозы не предоставлены, используются значения которой существует уязвимость.
по умолчанию, которые предполагают наибольшую 3) Использование
критичность. Группа метрик окружения используется для адаптации
Калькулятор CVSS версии 4.0, который является метрики CVSS к уникальной среде организации с учётом
эталонной реализацией стандарта CVSS, может таких факторов, как важность затронутого ИТ-актива и
использоваться для генерации оценок на основе значений эффективность существующих средств контроля
этих метрик. Калькулятор применяет формулу, указанную безопасности. Эти метрики являются модифицированным
в стандарте CVSS версии 4.0, для получения окончательной эквивалентом Базовых метрик и задаются пользователями
оценки, которая включает метрики угрозы. для обеспечения более точной оценки риска, связанного с
уязвимостью, в их конкретном операционном контексте.
 Больше материалов: Boosty
4) Расчёт аспектах уязвимостей, позволяя потребителям глубже
Метрики окружения в Общей системе оценки вникать в конкретные контекстуальные соображения. Они
уязвимостей (CVSS) версии 4.0 предназначены для предназначены для обеспечения более полного понимания
корректировки базовой оценки уязвимости с учётом уязвимостей путём описания и измерения дополнительных
воздействия в конкретном организационном контексте. Эти внешних атрибутов
метрики учитывают цели защиты уязвимой системы и
2) Влияние на оценку
наличие средств контроля безопасности, которые
уменьшают уязвимость. В отличие от основных метрик CVSS, Дополнительные
метрики не участвуют в расчёте рейтинга CVSS. Они не
Метрики рассчитываются путём предварительного оказывают никакого влияния на окончательный расчётный
определения Модифицированных базовых метрик, которые балл CVSS. Вместо этого они служат дополнительной
представляют собой Базовые метрики, скорректированные информацией для более детальной оценки уязвимости.
с учётом наличия мер по смягчению последствий или Затем организации могут присвоить важность и /или
компенсирующих средств управления. Требования эффективное влияние каждой метрике или набору /
безопасности используются для указания важности комбинации метрик, оказывая им большее, меньшее или
затронутого ИТ-ресурса для организации, что может абсолютно нулевое влияние на конечный анализ рисков
усилить или уменьшить критичность в зависимости от
критичности актива. Показатель потенциального 3) Использование
сопутствующего ущерба отражает потенциальный Использование каждой метрики в группе
непрямой ущерб, выходящим за рамки ИТ-активов. дополнительных метрик определяется потребителем
оценки. Эта контекстуальная информация может
Окончательная оценка окружения рассчитывается использоваться по-разному в среде каждого потребителя.
путём объединения модифицированных базовых метрик с Затем потребитель информации может использовать
требованиями безопасности и потенциальным значения этих Дополнительных метрик для выполнения
сопутствующим ущербом с использованием формулы из дополнительных действий, если он того пожелает, придавая
спецификации CVSS v4.0. Этот показатель обеспечивает метрикам и значениям локальную значимость.
индивидуальную оценку критичности уязвимости в
конкретной среде организации 4) Расчёт
Дополнительные метрики в Общей системе оценки
5) Определение приоритетов уязвимостей уязвимостей (CVSS) версии 4.0 являются новым
Метрики окружения дополнительно уточняют дополнением, разработанным для предоставления
результирующий показатель критичности для конкретной дополнительного контекста и описания внешних атрибутов
вычислительной среды. Они учитывают такие факторы, как уязвимости. Эти метрики необязательны и не участвуют в
наличие мер по смягчению последствий в этой среде и расчёте окончательной оценки CVSS. Вместо этого они
критичность систем. Эти метрики задаются пользователями служат дополнительной информацией для более детальной
и могут привести к расхождению между оценкой и оценки уязвимости.
фактическим риском в реальном мире из-за их
субъективного характера. Однако они имеют решающее План использования и реагирования на каждую метрику
значение для обеспечения более точной оценки в группе дополнительных метрик определяется
уязвимостей в конкретной среде, тем самым улучшая пользователем, проводящим оценку. Эта контекстуальная
определение приоритетов уязвимости и управление информация может использоваться по-разному в среде
рисками. каждого пользователя. Затем организации могут присвоить
важность и / или эффективное влияние каждой метрике или
D. Дополнительные метрики набору / комбинации метрик, оказывая им большее,
Дополнительные метрики предоставляют меньшее или абсолютно нулевое влияние на окончательный
дополнительный контекст и описывают аспекты анализ рисков.
уязвимости, которые выходят за рамки основного стандарта 5) Pопределение приоритетов уязвимостей
CVSS. К ним относятся: Дополнительные метрики являются новым
• Автоматизируемость (A) дополнением в CVSS версии 4.0. Они измеряют внешние
атрибуты уязвимости и предоставляют контекстуальную
• Контроль над ресурсами (VD) информацию. Эти метрики не влияют на оценку
• Восстановление ® уязвимости, но могут быть использованы для
информирования компаний, приобретающих продукты для
• Срочность устранения (PU) обеспечения дополнительного контекста для групп по
уязвимости и устранению последствий
• Усилия по реагированию на уязвимости (VRE)
E. Различия
1) Цель
Цель Дополнительной группы метрик - предоставить Дополнительная группа метрик используется для
пользователям контекстуальную информацию, предоставления дополнительного контекста и не влияет на
позволяющую более детально разобраться в уязвимостях. оценку CVSS, в то время как группы метрик базы, угрозы и
Эти метрики дают ценную информацию о внешних окружения вносят непосредственный вклад в процесс
 Больше материалов: Boosty
оценки и необходимы для расчёта критичности уязвимости. (OT) и их воздействия. Эти метрики особенно актуальны в
Группа дополнительных метрик в CVSS версии 4.0 связи с растущей озабоченностью по поводу безопасности
отличается от групп базовых метрик, метрик угроз и метрик ОТ, промышленных систем управления (ИС) и Интернета
окружения несколькими способами: вещей (IoT). Обновления направлены на обеспечение более
точной оценки рисков, связанных с уязвимостями в этих
Дополнительная группа метрик: средах
• Назначение: предоставляет дополнительный A. Метрики безопасности
контекст и описывает внешние атрибуты
уязвимости, которые выходят за рамки основного Метрики безопасности были добавлены как в группы
стандарта CVSS дополнительных метрик, так и в группы метрик окружения
в CVSS версии 4.0. Эти метрики оценивают потенциальное
• Влияние на оценку: Метрики в этой группе не влияние использования уязвимости на безопасность, что
влияют на окончательный расчётный балл CVSS. особенно важно в таких секторах, как здравоохранение или
Они являются необязательными и используются промышленные системы управления, где безопасность
для передачи дополнительной информации, является критической проблемой
которая может повлиять на анализ рисков
организации и план реагирования B. Особые соображения, связанные с OT
Новые метрики воздействия эксплуатационных
• Использование: Использование и план технологий включают в себя соображения о том,
реагирования для каждой метрики в группе соответствуют «и "последствия уязвимости определению
дополнительных метрик определяются IEC 61»08", который является стандартом функциональной
пользователем, проводящим оценку, и эта безопасности систем, связанных с электрической /
контекстуальная информация может электронной / программируемой электроникой. Это
использоваться по-разному в среде каждого включение отражает растущую озабоченность по поводу
потребителя кибер-рисков ОТ и потребность в системе оценки, которая
Базовые группы метрик, угрозы и окружения: может адекватно отражать уникальные риски, связанные с
средами ОТ
• Назначение: Эти группы содержат метрики,
которые непосредственно вносят вклад в расчёт C. Воздействие на Уязвимые и Последующие системы
метрики CVSS, отражающего внутренние В CVSS версии 4.0 также особое внимание уделяется
характеристики уязвимости (Базовый уровень), оценке воздействия эксплуатации уязвимости как на
ландшафт угроз в реальном времени (Угроза) и уязвимую систему, так и на последующие системы. Это
конкретное воздействие в контексте организации особенно актуально для операционных сред, где уязвимость
(окружение) в одном компоненте потенциально может оказывать
каскадное воздействие на другие взаимосвязанные системы
• Влияние на оценку: Метрики в этих группах
напрямую влияют на итоговую оценку CVSS, D. Использование дополнительных метрик и метрик
причём каждая группа по-разному оценивает окружения
критичность и влияние уязвимости Хотя Дополнительные метрики напрямую не влияют на
• Использование: Базовые метрики итоговую оценку CVSS, они предоставляют ценную
предоставляются организацией, обслуживающей контекстуальную информацию, которая может быть
уязвимую систему, или третьей стороной, в то использована организациями для обоснования своего
время как метрики угроз и окружение анализа рисков и планов реагирования. Метрики окружения
предназначены для конечных потребителей, чтобы позволяют настраивать оценки CVSS на основе конкретной
дополнить базовые метрики дополнительным среды, которая может включать в себя другие настройки
контекстом
VI. МЕТРИКИ ВОЗДЕЙСТВИЯ РАЗЛИЧНЫХ ТЕХНОЛОГИЙ
В CVSS версии 4.0 были введены новые метрики для
учёта выявления уязвимостей в операционных технологиях