CVSS v4.0 Mimarisi, Makro Metrikler ve Tehdit Odaklı Önceliklendirme

Kısa Cevap

CVSS v4.0 kozmetik bir güncelleme değil. Yıllardır çözülemeyen somut bir operasyonel sorunu ele alıyor: yüksek severity her zaman ilk öncelik değildir ve bağlamsız skorlar ekipleri sistematik olarak yanlış yöne sürüklüyor.

CVSS v3.1 Neden Sahada Yetmemeye Başladı?

Çoğu ekip CVSS v3.1'i pratik bir triage kısayolu olarak kullandı. Skor yüksekse kuyruğun üstüne çıktı, orta seviyedeyse bekledi. Bu yaklaşım otomasyona uygundu ama operasyonel açıdan kritik farkları silip süpürüyordu:

sömürünün kırılgan veya tekrarlanması güç ön koşullar gerektirip gerektirmediği.

zafiyetin kitlesel ölçekte silahlandırılıp otomatikleştirilebilir olup olmadığı.

tehdit aktörlerinin bu zafiyeti gerçekten aktif kullanıp kullanmadığı.

etkilenen varlığın sıradan bir segmentte mi yoksa iş açısından kritik bir hat üzerinde mi durduğu.

Sonuç tanıdıktı: kâğıt üzerinde mantıklı görünen ama sahada işe yaramayan bir patch kuyruğu.

CVSS v4.0'da Ne Değişiyor?

En önemli yapısal değişikliklerden biri, analistler arasında sürekli yorum farklılığına yol açan Scope metriğinin kaldırılması. CVSS v4.0 etkiyi iki daha açık, daha savunulabilir eksene böler:

Vulnerable System etkisi: zafiyeti doğrudan barındıran bileşende ne oluyor?

Subsequent System etkisi: başarılı sömürünün ardından erişilebilen ardışık sistemlerde ne oluyor?

Bu ayrım özellikle modern ağlar için kritik. Çünkü bir ihlal neredeyse hiçbir zaman yalnızca ilk servisle sınırlı kalmıyor. Kimlik bilgisi hırsızlığı, oturum istismarı ve yanal servis erişimi bu sınırı düzenli olarak aşıyor.

Güvenlik Ekiplerinin Gözden Kaçırmaması Gereken İki Yeni Metrik

Attack Requirements (AT)

AT, saldırganın doğrudan kontrolü dışında kalan ön koşulları tanımlıyor; race condition gereklilikleri, belirli bir ağ topolojisi, özel servis sıralama durumları bu kapsamda. Kâğıt üzerinde benzer skor paylaşan iki zafiyet, gerçek dünya sömürü kolaylığı açısından ciddi biçimde ayrılabilir. AT bu farkı açıkça yüzeye taşıyor.

Automatable (A)

Bu metrik, çoğu ekibin kabul ettiğinden çok daha fazla operasyonel ağırlık taşıyor. Bir zafiyetin worm, botnet veya internet ölçeğinde tarama altyapısı tarafından otomatikleştirilebilmesi, remediation gündemini anında değiştiriyor. İnternet-facing bir varlıkta A:Y işareti, diğer bağlamsal faktörlerden bağımsız olarak neredeyse hiçbir zaman gevşek bir SLA'ya aday değil.

Örnek Vektör

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A

Bu vektördeki E:A, zafiyetin vahşi doğada aktif olarak sömürüldüğüne işaret ediyor. Bu noktadan itibaren konu "yüksek etki potansiyeli taşıyor" olmaktan çıkıyor; saldırganların şu an gerçekten kullandığı, canlı saldırı yüzeyi gerektiren bir önceliklendirme kararına dönüşüyor.

CVSS v3.1 ile v4.0 Arasındaki Temel Farklar

Neyin değiştiğini ve neden değiştiğini anlamak için en operasyonel açıdan önemli metrik farklarına yan yana bakmak gerekiyor:

| Boyut | CVSS v3.1 | CVSS v4.0 |

| --- | --- | --- |

| Etki kapsamı | Tek Scope metriği (changed/unchanged) | Vulnerable System (etkilenen sistem) + Subsequent System (ardışık sistem) |

| Sömürü hassasiyeti | Yalnızca Attack Complexity | Attack Complexity + Attack Requirements (AT) |

| Silahlandırma sinyali | Modellenmemiş | Automatable (A) metriği |

| Tehdit katmanı | Opsiyonel Temporal grubu | CVSS-BT olarak entegre edilmiş Threat metrikleri |

| Çevresel ayar | Environmental grubu | Subsequent System modifier'larıyla netleştirilmiş Environmental grubu |

| Skorlama terminolojisi | Base / Temporal / Environmental | CVSS-B / CVSS-BT / CVSS-BTE |

CVSS-BTE: Üç Katmanlı Skor Modeli

CVSS v4.0, olgun programların birlikte okuması gereken üç katmanlı bir skorlama modelini resmileştiriyor:

CVSS-B (Base): Bağlam dışında teorik teknik etki — karşılaştırma için yararlı, karar vermek için yetmez.

CVSS-BT (Base + Threat): Aktif exploit kodu veya vahşi doğada sömürü kanıtı bulunup bulunmadığını yakalayan E (Exploitability) metriğini ekliyor — operasyonel olarak minimum sinyal bu.

CVSS-BTE (Base + Threat + Environmental): Özgül varlık maruziyetinizi, kritikliğinizi ve tazmin edici kontrollerinizi hesaba katarak elde edilen tam bağlamsal skor — SLA atamasını yönlendirmesi gereken skor bu.

Yalnızca CVSS-B'ye göre hareket eden ekipler temelde teorik en kötü durum etkisine göre önceliklendirme yapıyor; saldırganın oraya gerçekten ulaşıp ulaşamayacağını ya da halihazırda ulaşıp ulaşmadığını dikkate almıyor.

CVSS v4.0'ı Hâlâ Yanlış Kullanan Ekiplerin Ortak Hatası

En yaygın hata, v4.0'ın final skoru ürettiğinde tüm önceliklendirme sorusunu tek başına yanıtladığını sanmak. Yanıtlamıyor. Olgun bir önceliklendirme modeli birden fazla sinyali katmanlı biçimde okuyor:

| Sinyal | Neden önemli |

| --- | --- |

| CVSS-B / CVSS-BT | teknik etkiyi çerçeveler |

| EPSS | kısa vadeli sömürü olasılığını tahmin eder |

| KEV / CTI | gerçek saldırgan ilgisini belgeler |

| Varlık kritiği | ihlalin iş etkisini bağlar |

| Exposure durumu | tehdit aktörlerinden gerçek erişilebilirliği gösterir |

OT ve ICS Ortamlarında Neden Daha da Önemli?

CVSS v4.0'ın düşünce yapısı OT/ICS ortamları için özellikle işlevsel. Bu alanlarda yalnızca etki büyüklüğü değil; sömürünün koşulları, otomasyona uygunluk ve çevresel bağlam çok daha belirleyici oluyor. Teknik olarak özdeş bir zafiyetin ofis ağındaki ve üretim hattındaki önceliği aynı olmayabiliyor.

MyVuln Yaklaşımı

MyVuln'un CVSS v4.0'dan aldığı değer, skoru izole bir sayı olarak sunmaktan değil, onu EPSS, KEV, tehdit istihbaratı, maruziyet durumu ve varlık kritiğiyle birlikte okuduğunda ortaya çıkıyor. O bütünleşik okuma gerçekleştiğinde skor, raporun başına konan sayısal bir süsten çıkıp gerçek kaynak tahsisini yönlendiren bir karar girdisine dönüşüyor.