Исследователи подвергли сомнению актуальность общей системы оценки уязвимостей

Итальянские исследователи в области информационной безопасности из университета Тренто – Лука Аллоди (Luca Allodi) и Фабио Массаки (Fabio Massacci) заявили, что общая система оценки уязвимостей (CVSS) не дает ответ на главный вопрос, волнующий все компании – используется ли брешь в реальном времени для атак на компьютерные системы.

«CVSS может иметь высокое значение, однако риск эксплуатации уязвимости может находиться на низком уровне. В то же время брешь может получить низкий балл CVSS, однако активно использоваться в проведении атак. Корреляции между CVSS и реальным нападением, как таковой, не существует», - говорится в отчете экспертов.

Исследователи сравнивали баллы CVSS из национальной базы данных уязвимостей (NVD) с информацией из базы данных эксплоитов, а также с информацией от компании Symantec об уязвимостях, которые использовались в реальных атаках.

Эксперты отмечают, что уязвимости, эксплоиты к которым выставляются на продажу на форумах, должны устраняться в первую очередь, так как степень риска для использования таких брешей в атаках очень высока. Однако в базе данных эксплоитов измерения степени риска не является главным критерием.

Помимо того, сложность атаки, которая является одной из метрик CVSS, имеет более сильную корреляцию с вероятностью использования уязвимости злоумышленниками, нежели общая оценка уязвимости.

«Если ваша уязвимость содержится в наборе эксплоитов, устанавливайте патч. Если брешь легко использовать, устанавливайте патч. Но если уязвимость трудно эксплуатировать, тогда следует анализировать важность программного обеспечения, которое содержит брешь», - отмечают исследователи в своем отчете.

Полный доклад итальянских экпертов будет представлен на конференции Black Hat Security Briefings.