La capacità di eliminare la disponibilità dell'impatto dei dati in CVSS v2?

2

NIST SP 800-33 2.0.1 dice che "disponibilità" parte della triade della CIA protegge da tentativi intenzionali o accidentali di:

  • eseguire la cancellazione non autorizzata di dati o
  • altrimenti causa un rifiuto del servizio o dei dati

Ciò rende abbastanza chiaro che la possibilità di cancellare dati modifica la disponibilità da un punto di vista della sicurezza in generale. Tuttavia, la specifica CVSS v afferma:

This metric measures the impact to availability of a successfully exploited vulnerability. Availability refers to the accessibility of information resources. Attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of a system.

Tutti gli esempi forniti discutono sulla disponibilità del servizio, non sulla disponibilità dei dati. So che CVSS v3 lo cancella affermando esplicitamente:

...That is, the Availability metric speaks to the performance and operation of the service itself – not the availability of the data.

Quando si attribuisce un punteggio a una vulnerabilità che consente di eliminare i dati con CVSS v2, viene valutata come impattante la disponibilità? È sicuro assumere che questo chiarimento possa essere riportato alla v2?

    
posta Wrycu 17.08.2016 - 20:34
fonte

0 risposte

Leggi altre domande sui tag