Опубликована вторая версия системы ранжирования рисков (CVSS)

imgГруппой Forum of Incident Response and Security Teams (FIRST) была опубликована вторая версия системы ранжирования риска, связанного с уязвимостями, Common Vulnerability Scoring System (CVSS) . Система CVSS предполагает разбиение характеристик уязвимости на три группы: базовые, временные и связанные со средой. Для каждой из групп определен четкий набор параметров, имеющих предопределенный набор возможных значений. В результате применения методики для каждой из групп получается число в диапазоне от нуля до десяти.

Лежащая в основе CVSS методика позволяет оценить информацию о существующих уязвимостях в информационных системах на основании различных критериев. Использование доступного математического аппарата дает возможность адаптировать методику под конкретные нужды.

Во второй версии изменились возможные значения некоторых параметров, а также добавились новые переменные при расчете Environmental Metrics.

В Base Score параметр Access Vector может принимать три значения: Local (L), Adjacent Network (A), Network (N). Спектр возможной сложности доступа (Access Complexity) также расширен: High (H), Med (M), Low (L). Возможные значения аутентификации (Authentication) теперь включают Multiple (M), Single (S) и None (N).

Также в Environmental Metrics добавился параметр Security Requirements определяющий требования по безопасности для конфиденциальности, целостности и доступности.

В настоящий момент далеко не все производители используют CVSS для оценки риска уязвимостей в своих продуктах. Однако простота применения позволяет на основе общедоступной информации (например, уведомлений от производителя) рассчитать необходимые значения. На данный момент оценку уязвимости согласно CVSS содержит база данных National Vulnerability Database. Дополнительным достоинством является тот факт, что CVSS является полностью открытым стандартом.

Постепенно производители переходят на использование CVSS. Так, в настоящий момент эта система используется компаниями Oracle, а также применяется сканером уязвимостей XSPider 7.5 компании Positive Technologies для ранжирования обнаруженных «дыр».