»сследователи подвергли сомнению актуальность общей системы оценки у€звимостей

image

“еги: CVSS, у€звимость, рейтинг, атака, эксплоит

ѕо мнению экспертов, система не предоставл€ет наиболее необходимой информации о том, используетс€ ли у€звимость в реальном времени дл€ атак на компьютерные системы.

»таль€нские исследователи в области информационной безопасности из университета “ренто – Ћука јллоди (Luca Allodi) и ‘абио ћассаки (Fabio Massacci) за€вили, что обща€ система оценки у€звимостей (CVSS) не дает ответ на главный вопрос, волнующий все компании Ц используетс€ ли брешь в реальном времени дл€ атак на компьютерные системы.

«CVSS может иметь высокое значение, однако риск эксплуатации у€звимости может находитьс€ на низком уровне. ¬ то же врем€ брешь может получить низкий балл CVSS, однако активно использоватьс€ в проведении атак.  оррел€ции между CVSS и реальным нападением, как таковой, не существует», - говоритс€ в отчете экспертов.

»сследователи сравнивали баллы CVSS из национальной базы данных у€звимостей (NVD) с информацией из базы данных эксплоитов, а также с информацией от компании Symantec об у€звимост€х, которые использовались в реальных атаках.

Ёксперты отмечают, что у€звимости, эксплоиты к которым выставл€ютс€ на продажу на форумах, должны устран€тьс€ в первую очередь, так как степень риска дл€ использовани€ таких брешей в атаках очень высока. ќднако в базе данных эксплоитов измерени€ степени риска не €вл€етс€ главным критерием.

ѕомимо того, сложность атаки, котора€ €вл€етс€ одной из метрик CVSS, имеет более сильную коррел€цию с веро€тностью использовани€ у€звимости злоумышленниками, нежели обща€ оценка у€звимости.

Ђ≈сли ваша у€звимость содержитс€ в наборе эксплоитов, устанавливайте патч. ≈сли брешь легко использовать, устанавливайте патч. Ќо если у€звимость трудно эксплуатировать, тогда следует анализировать важность программного обеспечени€, которое содержит брешьї, - отмечают исследователи в своем отчете.

ѕолный доклад италь€нских экпертов будет представлен на конференции Black Hat Security Briefings.


или введите им€

CAPTCHA