El marco del Sistema de puntuación de vulnerabilidad común (CVSS), que utilizan los expertos en seguridad cibernética y los fabricantes para transmitir datos sobre las vulnerabilidades del software , está experimentando revisiones significativas. CVSS 4.0 ahora está disponible para vista previa pública, lo que marca la primera actualización sustancial del marco en siete años. Para ayudar aún más a las empresas a evaluar y priorizar con precisión sus procedimientos de gestión de vulnerabilidades y preparar defensas contra ataques cibernéticos, la puntuación numérica puede representarse como una clasificación de gravedad cualitativa (como baja, media, alta y crítica).
Además, el usuario tiene la capacidad de evaluar el peligro y el efecto en tiempo real, brindándole datos importantes que lo ayudarán a defenderse contra un ataque. Se han planteado preocupaciones sobre el uso generalizado de CVSS Base Scores como un método (inadecuado) para evaluar el riesgo, lo que condujo al desarrollo de CVSS 4.0, que realiza esfuerzos sustanciales para mejorar la forma en que se evalúa el riesgo. También proporciona pautas adicionales para la tecnología operativa (OT) y una amplia variedad de medidas complementarias, una de las cuales se titula “Esfuerzo de respuesta a la vulnerabilidad” y se califica como “bajo, moderado o alto”.
Sin embargo, la actualización más reciente representa un gran paso adelante con capacidades mejoradas que son esenciales para los equipos, con la necesidad de integrar información de amenazas y mediciones ambientales para una puntuación correcta en el centro de este aspecto del juego.
La nomenclatura también es una función importante a tener en cuenta. CVSS no se limita simplemente a la puntuación base; por ello, para enfatizar aún más esta nueva nomenclatura, se ha incluido en la versión 4.0:
CVSS-B significa el puntaje básico de CVSS.
CVSS-BT, que significa CVSS Base plus Threat Score
El acrónimo CVSS-BE significa CVSS Base plus Environmental Score.
El CVSS Base, Threat, and Environmental Score se abrevia como CVSS-BTE.
A medida que las preocupaciones sobre la seguridad cibernética continúan expandiéndose rápidamente en todo el mundo, la colaboración global nunca ha sido más importante en el esfuerzo por mantener Internet seguro para todos. Además, el desarrollo de programas como CVSS 4.0 es necesario tanto para la industria como para el público en general.
El Sistema de puntuación de predicción de vulnerabilidades (EPSS), que se describe como “un esfuerzo basado en datos para estimar la probabilidad de que una vulnerabilidad de software se explote en la naturaleza dentro de los 30 días”, y la Categorización de vulnerabilidades específicas de las partes interesadas (SSVC), que se describe como un “sistema de árbol de decisiones para priorizar acciones durante la gestión de vulnerabilidades”, ambos se lanzaron antes de que la versión beta de CVSS 4.0 estuviera disponible.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.