Come vengono utilizzati i punteggi CVSS nei prodotti di gestione dei rischi per la sicurezza?

Naviga le tue risposte
4

Da CVSS v2 guida completa :

"Gestione della sicurezza (rischio): le aziende di gestione del rischio di sicurezza utilizzano i punteggi CVSS come input per il calcolo del livello di rischio o minaccia di un'organizzazione che utilizzano applicazioni sofisticate che spesso si integrano con la topologia di rete dell'organizzazione, i dati di vulnerabilità e le risorse database per fornire ai propri clienti una prospettiva più informata del loro livello di rischio. "

La mia domanda precisa è: come vengono utilizzati i punteggi CVSS nel calcolo del rischio dell'organizzazione? I punteggi CVSS sono calcolati per exploit, curioso di come sono estrapolati per il livello di rischio di tutta l'organizzazione? Immaginiamo di inventariare ogni applicazione, host ecc. Nella rete, eseguiamo scansioni approfondite di Nessus o Qualys ecc. E quindi abbiamo punteggi CVSS di exploit noti. Ma come sono cuciti insieme per mostrare la postura del rischio dell'intera rete?

Qualsiasi riferimento o suggerimento sarebbe di grande aiuto.

    
posta sashank 03.03.2014 - 06:29
fonte

1 risposta

5

Prima di tutto, ci sono tre diverse metriche per calcolare il punteggio CVSS globale. Questi sono: metriche di base, metriche temporali e metriche ambientali.

Le metriche temporali e le metriche ambientali sono opzionali e vengono calcolate utilizzando quelle di base come valore di input. Per avere una visione migliore di queste metriche e della loro equazione, dai un'occhiata a questa immagine:

Generally,thebaseandtemporalmetricsarespecifiedbyvulnerabilitybulletinanalysts,securityproductvendors,orapplicationvendorsbecausetheytypicallyhavebetterinformationaboutthecharacteristicsofavulnerabilitythandousers.Theenvironmentalmetrics,however,arespecifiedbyusersbecausetheyarebestabletoassessthepotentialimpactofavulnerabilitywithintheirownenvironments.

Ciòsignificachel'utentedevefornirelemetricheambientalimentreunoscannerdivulnerabilitàpotrebbefornireglialtri.

Perquantoneso,NessusincludesololaBaseeipunteggitemporali.Pertanto,Nessusnonèingradodiottenereilvaloredellemetricheambientali.Lemetricheambientalidipendonodallenecessitàdell'organizzazione.

Altrimenti,sesidesideracalcolareilpunteggioCVSSutilizzandolemetricheambientali,nonèpossibileutilizzareunoscannerdivulnerabilitàautomatizzatocomeNessus.Dovrestivalutareilsistemaedeciderelaminacciachel'organizzazioneèingradodisopportare.

PercalcolareilpunteggioCVSSglobale,èpossibilecombinareirisultatidiunascansioneNessusconlavalutazionedelsistema.

Èdisponibileun calcolatore CVSS v2

Inoltre, sembra che Qualys funzioni in modo simile. Lo scanner fornisce la base e il punteggio temporale, inoltre l'utente fornisce le metriche ambientali.

The CVSS Environmental Metric group captures the characteristics of a vulnerability that are associated with the user's IT environment.

Maggiori informazioni su Qualys e CVSS

Suppongo che il punteggio CVSS globale dovrebbe prendere la peggiore situazione possibile.

    
risposta data 03.03.2014 - 14:48
fonte

Leggi altre domande sui tag

Qual è il modo migliore per proteggere le comunicazioni tra server per i server cloud? Il più popolare formato di chiave RSA