معرفی‌ نسخه‌ جدید CVSS

نسخه‌ جدید (نسخه‌ ٠.٤) سیستم‌ امتیازدهی‌ به‌ آسیب‌پذیری‌های‌ متداول یا CVSS اخیراً توسط‌ مجموعه‌ FIRST معرفی‌ شد. در همین‌ رابطه‌ لازم به‌ ذکر است‌ CVSS استانداردی‌ به‌ منظور ارزیابی‌ میزان شدت آسیب‌پذیری‌های‌ امنیتی‌ سیستم‌ های‌ رایانه‌ای‌ است‌ که‌ به‌ سازمان­ها کمک‌ می‌کند تا فرآیندهای‌ مدیریت‌ آسیب‌پذیری‌ خود را اولویت‌بندی‌ نمایند. این‌ استاندارد، ساز و کاری‌ را برای‌ ثبت‌ مشخصات و ویژگی‌ های‌ اصلی‌ یک‌ آسیب‌پذیری‌ ارائه‌ می‌ دهد و به‌ منظور نمایش‌ و اثبات میزان شدت آسیب‌پذیری‌، یک‌ نمره عددی‌ ایجاد می‌نماید. این‌ سیستم‌ امتیازدهی‌ نیز در واقع‌ یک‌ سیستم‌ رتبه‌بندی‌ کیفی‌ به‌ شمار می‌رود که‌ آسیب‌پذیری‌ها را در چهار گروه با میزان شدت کم‌، متوسط‌، بالا و بحرانی دسته‌بندی‌ می‌نماید.

گفتنی‌ است‌ نسخه‌ جدید این‌ استاندارد در حال حاضر، در فاز بررسی‌ عمومی‌ قرار دارد که‌ این‌ فاز در تاریخ‌ ٣١ جولای‌ سال جاری‌، به‌ اتمام خواهد رسید و پس‌ از آن، تمامی‌ بازخوردهای‌ ارائه‌ شده، تا تاریخ‌ ٣١ آگوست‌، مورد بررسی‌ قرار خواهند گرفت‌؛ هدف FIRST انتشار نسخه‌ نهائی‌ ٠.٤ CVSS در تاریخ‌ ١ اکتبر سال ٢٠٢٣ می‌باشد. این‌ نسخه‌ با هدف رفع‌ کاستی‌ها و انتقادات وارده به‌ نسخه‌ جاری‌ یعنی‌ نسخه‌ ١.٣ منتشر شده است‌. از جمله‌ انتقادات و مشکلات نسخه‌ ١.٣ این‌ استاندارد می‌توان به‌ محدودیت‌ اعمال آن به‌ سیستم‌های‌ IT و عدم بهره ­برداری‌ برای‌ سیستم‌های‌ IOT,ICS,OT اشاره داشت‌ که‌ البته‌ در نسخه‌ جدید تلاش شده تا این‌ مشکل‌ و سایر مشکلات موجود، برطرف گردد.

شایان ذکر است‌ اولین‌ نسخه‌ CVSS یعنی‌ نسخه‌ ١v، در ماه فوریه‌ سال ٢٠٠٥ میلادی‌ و توسط‌ گروه کوچکی‌ از فعالان پیشرو در این‌ حوزه معرفی‌ گردید که‌ این‌ گروه، نیاز به‌ استانداردسازی‌ سنجش‌ آسیب‌پذیری‌ها در پلتفرم­ها و نرم افزارهای‌ مختلف‌ را احساس کرده بود. در همین‌ سال، نهاد غیرانتفاعی‌ FIRST مسئولیت‌ توسعه‌ CVSS در آینده را عهده دار شد. قبل‌ از سال ٢٠٠٥، شرکت‌ها مجبور بودند تا از سیستم‌های‌ سفارشی‌ شده و ناسازگار برای‌ تعریف‌ میزان شدت آسیب‌پذیری‌ها استفاده نمایند. CVSS V1 توسط‌ اعضای‌ FIRST و طی‌ سال­های‌ ٢٠٠٦ و ٢٠٠٧ مورد بررسی‌ و ارزیابی‌ قرار گرفت‌ که‌ در نهایت‌ منجر به‌ معرفی‌ نسخه‌ ٢ این‌ استاندارد در سال ٢٠٠٧ شد. نسخه‌ شماره ٣ این‌ استاندارد، در ماه ژوئن‌ سال ٢٠١٥ معرفی‌ شد و در این‌ نسخه‌، برای‌ اولین‌ بار، مفهوم Scope برای‌ مدیریت‌ امتیازدهی‌ به‌ آسیب‌پذیری‌های‌ موجود در یک‌ مؤلفه‌ نرم­افزاری‌ که‌ بر سایر مؤلفه‌های‌ نرم­افزاری‌، سخت‌افزاری‌ و مبتنی‌ بر شبکه‌ تأثیر می‌گذارند، مطرح شد. در نهایت‌ و در ماه ژوئن‌ سال ٢٠١٩ میلادی‌، نسخه‌ شماره ١.٣ CVSS معرفی‌ شد تا میزان شفافیت‌ مفاهیم‌ و در نهایت‌ سهولت‌ استفاده از آن را افزایش‌ دهد، گرچه‌ در این‌ نسخه‌، هیچگونه‌ معیار و سنجه‌ جدیدی‌ معرفی‌ نشد.

منبع: ماهنامه تیرماه بانک مرکزی