Опубликована вторая версия системы ранжирования рисков Common Vulnerability Scoring System

Теги: Positive Technologies

Лежащая в основе CVSS методика позволяет оценить информацию о существующих уязвимостях в информационных системах на основании различных критериев.

Группой Forum of Incident Response and Security Teams (FIRST была опубликована вторая версия системы ранжирования риска, связанного с уязвимостями, Common Vulnerability Scoring System (CVSS) . Система CVSS предполагает разбиение характеристик уязвимости на три группы: базовые, временные и связанные со средой. Для каждой из групп определен четкий набор параметров, имеющих предопределенный набор возможных значений. В результате применения методики для каждой из групп получается число в диапазоне от нуля до десяти.

Лежащая в основе CVSS методика  позволяет оценить информацию о существующих уязвимостях в информационных системах на основании различных критериев. Использование доступного математического аппарата дает возможность адаптировать методику под конкретные нужды.

Во второй версии изменились возможные значения некоторых параметров, а также добавились новые переменные при расчете Environmental Metrics.

В Base Score параметр Access Vector может принимать три значения: Local (L), Adjacent Network (A), Network (N). Спектр возможной сложности доступа (Access Complexity) также расширен: High (H), Med (M), Low (L). Возможные значения аутентификации (Authentication) теперь включают Multiple (M), Single (S) и None (N).

Также в Environmental Metrics добавился параметр Security Requirements определяющий требования по безопасности для конфиденциальности, целостности и доступности.

В настоящий момент далеко не все производители используют CVSS для оценки риска уязвимостей в своих продуктах. Однако простота применения позволяет на основе общедоступной информации (например, уведомлений от производителя) рассчитать необходимые значения. На данный момент оценку уязвимости согласно CVSS содержит база данных National Vulnerability Database. Дополнительным достоинством является тот факт, что CVSS является полностью открытым стандартом.

Постепенно производители переходят на использование CVSS. Так, в настоящий момент эта система используется компаниями Oracle, а также применяется сканером уязвимостей XSPider 7.5  компании Positive Technologies для ранжирования обнаруженных «дыр».


или введите имя

CAPTCHA
1
26-06-2007 01:27:26
Чувствую себя уязвимым!
0 |
1
26-06-2007 01:31:20
Мой SHVRC восстал, он имеет возможность иметь PZD, но я хочу попробовать технологию SLP(СПТ) чтобы иметь аргумент на день грядущий (на самом деле, это не глум, это выражение интереса к данному блогу.)
0 |
1
26-06-2007 10:53:44
а на самом деле это очередная реклама XSpider`а...
0 |