Sistemi di punteggio di vulnerabilità

Naviga le tue risposte
6

La nostra azienda sta sviluppando un'app Web che viene utilizzata per l'e-commerce. Vogliamo stabilire un sistema di punteggio più formale per eventuali problemi relativi alla sicurezza eventualmente segnalati da noi o dai nostri clienti. Lo scopo è dare la priorità allo sviluppo delle patch e allo stesso tempo comunicare la gravità ai client.

Finora abbiamo valutato il sistema di valutazione delle vulnerabilità comuni . Sembra semplice e preciso (ignorando le metriche ambientali) e ci sono calcolatori online per il punteggio. Inoltre è semplice sviluppare la nostra calcolatrice.

La mia domanda è: quali sono le alternative più popolari di CVSS ? Quali sono i pro e i contro rispetto a CVSS ? C'è qualcosa come un cheat di confronto in modo che possiamo facilmente trovare la nostra strada o dobbiamo fare una seria valutazione di molti altri sistemi?

    
posta Lachezar Balev 03.10.2012 - 09:00
fonte

5 risposte

5

Tony Cox e Jeff Lowder hanno fornito alcuni commenti eccellenti su CVSS (In effetti SIRA include molte discussioni positive). Il loro obiettivo è un po 'più ampio del tuo, ma penso che l'articolo di riferimento fornisca un indice ai commenti su CVSS. @ Il post di Metahuman sottolinea che il CVSS può essere integrato.

Il sistema iPost del Dipartimento di Stato ha rilevato che il punteggio CVSS stimava il valore di rischi insignificanti; se ricordo bene, hanno semplicemente modificato a cubetti i valori per enfatizzare le cose serie. L'iPost dello stato è il modello (anche se un modello imperfetto secondo l'ispettore generale del Dipartimento di Stato) per il DHS CAESAR - ma entrambi sono più architettonici del tuo obiettivo.

Il CVSS è uno standard imperfetto: so che ci sono sforzi attivi per rivederlo / riformarlo. C'è una notevole soggettività nelle valutazioni - non riesco a trovare il riferimento in questo momento, ma qualcuno ha eseguito un test in cui hanno fornito a diversi esperti le stesse informazioni su una vulnerabilità e hanno utilizzato il processo CVSS ma hanno avuto risposte molto diverse. Ma è uno standard. È un ottimo punto di partenza per un progetto come il tuo in cui cerchi uno standard di riferimento senza lo sforzo di creare la tua metodologia. Puoi usare CVSS (e CWE) come punti di partenza, e poi fare ciò che @Colin Cassidy chiama "magic maths".

CVSS è incentrato sul sistema; ignora le caratteristiche di sicurezza architettonica e probabilmente sottovaluta le vulnerabilità in cui il web / cloud è il vettore di consegna. Vorrei esaminare OWASP e Veris per ulteriori informazioni statistiche sugli exploit del mondo reale piuttosto che su modelli teorici.

Probabilmente non ignorerei le metriche ambientali; anzi a medio termine, utilizzerei i componenti di CVSS per iniziare a tirare il tuo punteggio di vulnerabilità che è più vicino alle tue esigenze.

    
risposta data 10.10.2012 - 15:14
fonte
4

Usiamo un sistema di punteggio basato su DREAD dove valutiamo i 5 elementi

  • Danni, quanto è grave la vulnerabilità
  • Affidabilità, la vulnerabilità funziona sempre o solo alcune volte
  • Sfruttabilità, quanta fatica è per sfruttare la vulnerabilità
  • Utenti interessati, numero di persone interessate
  • Scopribilità, quanto facile sarebbe scoprire questa vulnerabilità

su 5, dove abbiamo definito approssimativamente ciò che i punteggi da 1 a 5 significano per il nostro prodotto e queste categorie. Facciamo quindi dei calcoli matematici magici per ottenere una gravità e priorità per la vulnerabilità. Vedi post di David LeBlanc per maggiori dettagli. Troviamo che questo metodo ha un paio di vantaggi, in primo luogo possiamo dire che cosa significano i punteggi per il nostro prodotto, in secondo luogo è sorprendentemente facile da capire per i manager:)

    
risposta data 10.10.2012 - 12:29
fonte
3

In base alle tue esigenze, potresti voler consultare Common Weakness Enumeration (CWE). link .

È una soluzione sostenuta dalla comunità per descrivere le vulnerabilità della sicurezza del software e come base per le attività di risoluzione delle vulnerabilità.

    
risposta data 10.10.2012 - 11:43
fonte
2

CVSS è un sistema ragionevole per la valutazione delle vulnerabilità ed è un buon framework per determinare il possibile impatto tecnico, tuttavia è solo una parte della storia. Ciò che conta per un'azienda è quanti soldi può potenzialmente perdere se viene sfruttata una vulnerabilità o se il sistema va giù. Se fosse possibile introdurre una vulnerabilità che potrebbe essere utilizzata per creare una condizione di negazione del servizio minore, la società causerebbe meno perdite di una che potrebbe essere utilizzata per creare falsi ordini, ad esempio.

La direzione pensa in termini di unità monetarie, quindi devi esprimere il rischio in termini di perdita monetaria. Lo sviluppo costa i soldi dell'azienda, non risolvono i bug a meno che il potenziale di perdita sia maggiore del costo di sviluppo per correggere i bug.

    
risposta data 03.10.2012 - 09:32
fonte
0

Preferisco eseguire 2 punteggi quando si utilizzano dati di analisi del rischio quantitativo per la gestione della sicurezza delle informazioni e per la gestione del rischio.

1) FTA o analisi degli alberi guasti. Questo viene fatto usando un approccio dal basso verso l'alto 2) Analisi FMEA o Failure e analisi degli effetti. Fatto utilizzando l'approccio top-down

    
risposta data 10.10.2012 - 18:16
fonte

Leggi altre domande sui tag

Esiste un processore in grado di decodificare i dati crittografati e le istruzioni della macchina? Sono sempre in ibernazione del mio sistema, c'è qualche rischio per la mia unità criptata con BitLocker?