Common Vulnerability Scoring System 2.0 (CVSS)_

Aflați cât de grave sunt vulnerabilitățile dvs. de securitate și care trebuie prioritizate pentru remediere

Gestionarea vulnerabilităților de securitate este unul dintre cele mai dificile aspecte din infosec. Statisticile din industrie sunt grăitoare în acest sens:

  • 90% dintre aplicații au avut cel puțin o problemă în afara de OWASP Top 10 în 2018 (2018 Application Security Research Update)
  • 49% dintre aplicațiile testate au prezentat o vulnerabilitate critică sau de severitate ridicată, care este, de asemenea, în afara aceluiași OWASP Top 10 (2018 Application Security Research Update)
  • În EMEA, de exemplu, 42% din toate atacurile cibernetice au vizat compromiterea aplicațiilor web în 2018 (ENISA Threat Landscape Report 2018)
  • 64% dintre companii au vizibilitate zero cu privire la vulnerabilitățile părților terțe (EY Global Information Security Survey 2018-2019)

De aceea am vrut să creăm un instrument care să vă ajute să vă evaluați punctele slabe, astfel încât să știți care dintre ele au nevoie de soluții imediate.

CVSSv2.js este un plugin Javascript gratuit și open source bazat pe algoritmul CVSSv2 și pe instrumentul NIST. Am lucrat pentru a face acest plugin ușor de folosit, astfel încât companii precum a dvs. să îl poată utiliza mai des.

Întrebări frecvente despre calculatorul online Common Vulnerability Scoring System 2.0

Ce este Common Vulnerability Scoring System (CVSS)?

Common Vulnerability Scoring System (CVSS) este un standard din industrie gratuit și open source sub custodia NIST.

Acest sistem ajută specialiștii în securitate cibernetică și alți profesioniști IT să stabilească cât de gravă este o vulnerabilitate, astfel încât să prioritizeze eforturilor de remediere.

Scorurile utilizate de CVSS se bazează pe o serie de valori stabilite în baza evaluării experților. Drept urmare, acestea sunt recunoscute în întreaga industrie a securității informațiilor.

Scorurile variază de la 0 la 10.

Vulnerabilitățile cu un scor de bază din intervalul:

  • 9.0 – 10.0 sunt considerate critice
  • 7.0-9.0 sunt mari
  • 4.0-6.9 sunt Medii
  • 0-3.9 sunt considerate cu impact scăzut

De exemplu, aici sunt scorurile CVSS pentru Google Android între 29 Martie 2018 și 29 Martie 2019:

Care este un scor de bază în CVSS?

Un furnizor sau un inițiator a atribuit un scor de bază unei vulnerabilități. Acest scor este atribuit atunci când creatorul produsului sau inițiatorul dorește să publice vulnerabilitatea și se așteaptă să rămână neschimbată.

Scorul este calculat pentru a include triada CIA de securitate a informațiilor: Confidențialitate, Integritate și Disponibilitate (Availability).

Scorul de bază este apoi influențat de valorile temporale și de mediu, dar are cea mai mare influență asupra scorului final.

Scorul de bază indică severitatea atribuită unei vulnerabilități specifice. 

De exemplu, iată una dintre vulnerabilitățile incluse în exemplul de mai sus, referitor la Google Android din perioada dintre 29 Martie 2018 și 29 Martie 2019:

Care este indicatorul utilizat pentru scorul temporal în CVSS?

Scorul temporal indică caracteristicile ce depind de timp ale unei vulnerabilități. Aceste caracteristici includ:

  • Cât de exploatabilă este vulnerabilitatea
  • Dacă există o soluție temporară sau nu
  • Cât de credibil este raportul de vulnerabilitate în ceea ce privește coroborarea și instanțele care confirmă raportul.

Care este valoarea scorului de mediu în CVSS?

Indicatorul punctajului de mediu reprezintă potențialul prejudiciu pe care vulnerabilitatea îl poate provoca dacă este exploatată cu succes.

Aspectele cheie includ:

  • Daune colaterale, cum ar fi pierderi potențiale de viață sau active fizice
  • Distribuția țintelor care descrie volumul țintelor potențiale asupra cărora vulnerabilitatea are impact
  • Evaluarea impactului care evidențiază cât de important este activul IT pentru funcționarea întregului business în cazul în care este afectat.

Cum prioritizați acțiunile de remediere în conformitate cu Common Vulnerability Scoring System (CVSS)?

Iată cum puteți interpreta nivelul de risc în funcție de rezultatele generate de calculatorul online CVSS, astfel încât să puteți aborda cele mai periculoase vulnerabilități.

  • În ceea ce privește vulnerabilitățile critice (CVSS 9-10), luați măsuri urgente pentru a le atenua prin corecția sau remedierea situațiilor.
  • Pentru vulnerabilități cu grad ridicat de severitate (CVSS 7-8.9), stabiliți un plan care să le abordeze în viitorul apropiat (nu mai mult de câteva săptămâni)
  • Pentru vulnerabilități medii (CVSS 4-6.9), stabiliți un termen pentru rezolvarea acestora într-o perioadă rezonabilă de timp, în funcție de resursele disponibile
  • Pentru vulnerabilități cu grad scăzut de risc (CVSS 2-3.9), decideți dacă sunteți dispus să acceptați riscul sau să luați acțiuni de atenuare
  • Pentru vulnerabilitățile informaționale (CVSS 0-1.9) nu trebuie să faceți nimic, scopul aici fiind de a lua la cunoștință existența lor.

Acțiunile de remediere a vulnerabilitățile pot include actualizări de software sau hardware, training de security awareness sau chiar politici și procese noi sau îmbunătățite care susțin o securitate cibernetică mai robustă.

Vă rugăm să țineți cont de faptul că CVSS nu este capabil să evalueze efectul combinat potențial al vulnerabilităților exploatate într-o anumită ordine. În consecință, nivelurile de severitate descrise de CVSS sunt perfect corecte, însă impactul potențial și consecințele depind de particularitățile organizației dvs.

Care sunt principalele diferențe dintre CVSS2 și CVSS3?

Noul calculator CVSS, denumit CVSS3, introduce o serie de modificări care extind spectrul informațional oferit despre vulnerabilitățile aplicațiilor web, care sunt una dintre cele mai frecvente ținte pentru infracțiuni informatice.

CVSS3 introduce indicatori noi, cum ar fi Scope (S) și User Interaction (UI). De asemenea, acesta modifică valori vechi, cum ar fi Authentication (Au), în altele mai noi, cum ar fi Privileges Required (PR).

Aceste detalii noi vă oferă un context mai bogat pentru a lua decizii mai bune gestionarea vulnerabilităților din organizația dvs.

Cu toate acestea, majoritatea profesioniștilor în domeniul securității cibernetice preferă în continuare să folosească CVSS v2, deoarece este cel mai popular mecanism de scoring folosit de multe instrumente avansate și aplicații de raportare online.

Mai mult, majoritatea vulnerabilităților raportate în trecut au fost calculate doar cu scorul CVSS v2. Drept urmare, nu vă puteți baza încă în totalitate pe a treia versiune a sistemului de ansamblu clară.

Cum pot integra calculatorul CVSS pe website-ul meu?

Dacă sunteți interesat să încorporați acest calculator gratui în propriul site web, vă rugăm să urmați instrucțiunile incluse în proiectul de pe GitHub.

Încercați și aceste instrumente de securitate

La Bit Sentinel, ne place să ne folosim de experiența și cunoștințele noastre pentru a face securitatea mai simplă și mai eficientă pentru dvs.

De aceea noi am creat și:


[email protected]

get in touch