Система оценки угроз CVSS получила обновление

Эксперты надеются, что CVSS 3.1 станет проще в использовании и будет лучше отражать вредоносный потенциал уязвимостей.

Специалисты Forum of Incident Response and Security Teams (FIRST) обновили шкалу оценки угроз CVSS. Версия 3.1 призвана упростить определение вредоносного потенциала багов, в том числе с учетом особенностей разных отраслей.

Обновление включило уточнение некоторых определений и объяснение таких метрик, как вектор атаки, необходимые привилегии, требования безопасности и другие. Специалисты также предложили несколько новых показателей, направленных на повышение удобства CVSS для предприятий сферы безопасности, автомобильной промышленности, здравоохранения.

Главной целью авторов было сделать акцент на серьезности каждой уязвимости. По словам экспертов FIRST, в разных компаниях одна и та же проблема может привести к разным последствиям, и в каждом конкретном случае вопрос можно считать закрытым только по итогам проверки службой информационной безопасности. В частности, представители медицинских организаций жаловались на то, что шкала CVSS 3.0 не учитывала специфику отрасли и вводила в заблуждение их службы безопасности.

Как и ранее, новая версия CVSS объединяет три группы метрик, где свойства уязвимости разделены на постоянные (Base), временные (Temporal) и зависящие от пользовательского окружения (Environmental). Однако теперь пользователи смогут добавлять к ним собственные модификаторы, что поможет учитывать специфику конкретной организации.

Среди других рекомендаций для оценки уязвимостей:

• исходить изтого, что злоумышленник владеет полной информацией об инфраструктуре;
• учитывать привилегии, которые взломщик получил привторжении;
• делать расчеты наоснове самых уязвимых конфигураций ПО и оборудования.

Неудивительно, что одними из наиболее заинтересованных в обновлении системы оценки угроз оказались медицинские учреждения. Работа с конфиденциальными данными пациентов накладывает на них большую степень ответственности, а атаки парализуют деятельность всей организации, чем нередко пользуются вымогатели. Известны случаи, когда больницы выплачивали выкуп злоумышленникам за восстановление данных. Причем от нападений киберпреступников не застрахованы даже крупнейшие корпорации.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля