Seite 3: Zusatzmetriken umbenannt und ergänzt

Inhaltsverzeichnis

Routinierte CVSS-Anwender dürften sich beim Betrachten der neuen Nomenklatur fragen, was aus den "Temporal Metrics" geworden ist. Die Antwort ist simpel: In v4.0 heißt diese Gruppe "Threat Metrics". Die einzige in ihr enthaltene Metrik, "Exploit Maturity", gibt an, ob und in welcher Form – etwa als Proof-of-Concept oder als Angriff in freier Wildbahn – Exploit-Code für den Schwachstellen-Angriff verfügbar ist. Exploit Maturity ersetzt vereinfachend drei Metriken, die in CVSS v3.1 Bestandteil der Temporal Metrics waren: "Remediation Level", "Report Confidence" und "Exploit Code Maturity".

Die Gruppe der Environmental Metrics wurde in CVSS v4.0 gegenüber der Vorgängerversion stark erweitert. Unter anderem enthält sie nicht mehr nur Metriken, die sich auf das primäre verwundbare System beziehen, sondern auch solche, die eine Risikobewertung für Folgesysteme ("Subsequent Systems") erlauben. Wenn etwa eine Schwachstelle in einer virtuellen Maschine Zugriff auf vertrauliche Daten des Hostsystems ermöglicht, ist die VM das eigentliche "Vulnerable System" und der Host das "Subsequent System". Ein weiteres von mehreren Beispielen aus dem User Guide zu v4: Eine verwundbare Webanwendung ("Vulnerable System") macht den Browser als "Subsequent System" anfällig für Angriffe wie Cross-Site-Scripting oder unerwünschte Redirects.

In v4.0 komplett neu hinzugekommen ist die Gruppe der "Supplemental Metrics". Im Unterschied zu den Environmental Metrics und Threat Metrics haben diese der Definition nach keinen Einfluss auf den Gesamtscore. Vielmehr ist die Idee hinter ihnen, für CVSS-"Konsumenten", also IT-Verantwortliche oder Endnutzer verwundbarer Produkte, zusätzliche Informationen zur jeweiligen Schwachstelle bereitzustellen, die in den bestehenden Metriken nicht auftauchen.

Sie sollen bei der Risikoanalyse helfen, indem sie etwa verraten, ob bekanntermaßen automatisierte Exploits durchführbar sind ("Automatable") oder indem sie einen vom Anbieter des verwundbaren Produkts festgelegten Dringlichkeits-Level ("Provider Urgency") wiedergeben. Besonders erwähnenswert ist auch die Metrik "Safety", die bewerten hilft, ob eine Schwachstelle Gefahren für Leib und Leben bergen kann. Sie illustriert die Bemühungen von FIRST, mit v4.0 die Anwendbarkeit von CVSS über IT-Systeme hinaus speziell auch auf Industrielle Steuerungssysteme (Industrial Control Systems, ICS), Operational Technology (OT) und das Internet of Things zu verbessern.