近年资安事件持续冲击国内企业,持续做好防护与监控之余,具备充分的事件应变能力也很重要,而且这并不只是个别公司的问题,同时也需更多企业与组织一起合作,彼此交换威胁情报与应变作为,而在推动全球资安应变协同合作的领域当中,国际资安事件紧急应变小组论坛(FIRST)扮演关键角色,而参与成员数量的增长,也反映大家对于资安的重视程度。
以台湾而言,前几年我们开始关注这方面的发展新态势,发现已有少数资安与IT厂商相继加入,到了在国际资安事件紧急应变小组论坛(FIRST)的成员中,截至今年1月12日止,全球总计有106国、709个资安应变团队加入,美国成员数量最多,有109个,其次为西班牙,有55个,以及日本的44个。我们可从图中绿色深浅看出数量差异,颜色越深、数量越多。
新版漏洞评分标准CVSS 4.0登场
资安应变组织FIRST在2023年11月,针对普遍使用的漏洞风险评分系统(CVSS),推出4.0版,这是2019年6月CVSS 3.1版推出后,时隔4年的重大改版。
为了更好传达软体漏洞的特征和严重性,新版对于严重性的分数呈现,有更精细的设计与改进,最明显的变化就是,不只是基本分数的CVSS-B,还有基本评分加上威胁的评分CVSS-BT,基本加上环境的评分CVSS-BE,以及基本加上威胁、环境的评分CVSS-BTE。
同时,新版还增加几项不影响评分的外在属性标签,例如:安全性、可自动化(可蠕虫化)、恢复、价值密度(Value Density)、漏洞回应的努力,以及供应商急迫性等。另外,也对OT、ICS、IoT类型的系统,提供额外评估指标。