Come convertire i punteggi di rischio (CVSSv1, CVSSv2, CVSSv3, rischio di rischio OWASP)?

Naviga le tue risposte
3

Esiste un metodo o una formula accurata per convertire i punteggi di rischio tra il metodo di valutazione del rischio OWASP (livello di rischio generale) e il punteggio base CVSS v1, v2 e v3)?

Oltre a convertire i punteggi tra le diverse versioni CVSS? Ad esempio, convertire un punteggio CVSSv1 in un punteggio CVSSv3 o viceversa.

    
posta Bob Ortiz 17.06.2016 - 16:36
fonte

2 risposte

4

Sono l'architetto principale di un database di vulnerabilità molto popolare e affrontiamo problemi simili. Al momento abbiamo quasi 90.000 voci di vulnerabilità con una base CVSSv2 e un punteggio temporaneo. Stiamo aggiungendo i punteggi CVSSv3 e provando a convertire la maggior parte dei vecchi dati. Ho intenzione di discutere questa trasformazione solo per illustrare il principio di base di tale.

L'aspetto più importante è: Non cercare di convertire i punteggi stessi - Trasforma il vettore nel nuovo formato e ricalcola i loro nuovi punteggi.

Se dai un'occhiata alla guida per l'utente di CVSSv2 e alle specifiche di CVSSv3 (il link generico potrebbe cambiare in futuro) puoi vedere che alcuni dei vettori di base potrebbero essere trasformabili:

  • AV (P è nuovo)
    • N = > N
    • A = > A
    • L = > (L | P) (solitamente L)
  • Au = > PR (necessita di ottimizzazione manuale)
    • N = > N
    • S = > (L | H) (solitamente L)
    • M = > (H | L) (a volte H)
  • CI / II / AI (vedi commenti sotto)
    • C = > H
    • P = > L
    • N = > N
  • E
    • H = > H
    • F = > F
    • POC = > POC
    • U = > U
    • ND = > X
  • RL
    • OF = > O
    • TF = > T
    • W = > W
    • U = > U
    • ND = > X
  • RC (qualche deviazione)
    • C = > C
    • UR = > R
    • UC = > U
    • ND = > X

Ma c'è una certa complessità aggiuntiva rispetto ad altri vettori:

  • AC in v2 è ora in qualche modo suddiviso in AC e UI

  • Anche se CI, II e AI rimangono uguali, v3 ha aggiunto S. Nella maggior parte dei casi un CI: C / II: C / AI: C potrebbe promettere un S: C prima o poi che potrebbe essere derivato di default.

Se segui questa definizione potresti convertire ca. 97% di tutti i problemi senza toccarli manualmente. La deviazione nell'accuratezza durante tale trasformazione è solitamente molto piccola.

    
risposta data 19.06.2016 - 06:00
fonte
-1

Basta usare Open FAIR anziché CVSS e la metodologia Owasp Risk Rating. Rinuncia a qualsiasi vecchio rating che possiedi e sicuramente eviti i punteggi del fornitore. Ci sono alcuni aspetti positivi della metodologia di valutazione del rischio OWASP (un'importante società di consulenza per cui ho lavorato alcuni anni fa con grande successo con i nostri clienti) e CVSS (in particolare v3), ma credo che FAIR parli delle commissioni di rischio, consiglio di amministratori, altri dirigenti, revisori dei conti, autorità di regolamentazione e chiunque altro debba partecipare alla crescente conversazione sul rischio cibernetico.

FAIR, o Analisi fattoriale del rischio informativo, è ben documentata nel libro Misurare e gestire il rischio informativo - e il libro va nel dettaglio perché NIST SP 800-30, PRIMO CVSS e linguaggio a rischio non standard trovato in tutti gli altri quadri non sono così solidi come qualcosa come FAIR. Le parti di FAIR sono impostate in pietra, mentre altre parti, come i veicoli per il calcolo (cioè PERT e MC VaR) sono modificabili (ad es. PERT con P-Box, MC VaR con reti bayesiane).

    
risposta data 17.06.2016 - 19:24
fonte

Leggi altre domande sui tag

Come utente finale su una rete, come posso evitare di essere MITM da un dispositivo di spoofing SSID? Un hash di un intero a 32 bit produce un hash salt migliore del numero intero stesso?