Relazione funzionale formale tra rischio e CVSS

Question

Relazione funzionale formale tra rischio e CVSS

#1 da (0 voti)

1

Il Sistema di valutazione delle vulnerabilità comuni (CVSS) consente, tra le altre cose, di quantificare la gravità delle vulnerabilità del software.

Qual è la relazione funzionale tra un CVSS e il rischio associato? In altre parole, quale sarebbe la forma del rischio di funzione (CVSS) = ...?

Lo chiedo perché mi piacerebbe avere un "livello di insicurezza cumulativo" di un host, per distinguere tra, ad esempio, un host con il 5% diCVSS=2 vulns e l'altro con il 2% diCVSS=10. La funzione di cui sopra potrebbe aiutare a impostare un peso per ogni CVSS, in modo che i casi nell'esempio sopra non siano equivalenti (il che sarebbe il caso in cui la funzione era lineare - che ritengo che non sia il caso, dovrebbe essere piuttosto esponenziale per evidenziare i casi peggiori).

risk-analysis cvss

posta WoJ 31.07.2015 - 08:56

fonte

1 risposta

Leggi altre domande sui tag risk-analysis cvss

Il ladro di cookie XSSF non funziona Qual è il metodo più sicuro per la gestione della sessione Web per più domini?

score 0 · Answer 1

La metodologia utilizzata dallo scanner di sicurezza OpenVAS per fornire un punteggio CVSS globale a un host consiste nel prendere il punteggio CVSS più alto in tutte le vulnerabilità rilevate. Ciò significa che un host con il 5% diCVSS=2 avrà un punteggio CVSS finale di 2 per OpenVAS, e l'altro con due% diCVSS=10 avrà un punteggio CVSS finale di 10.

In senso stretto della funzione risk(CVSS)=... , a mio avviso, direi che sarebbe close to esponential .

Immaginiamo che qualcuno scriva un'intera gamma di indirizzi IP casuali per le vulnerabilità da sfruttare per costituire la sua botnet. Si concentrerà solo su CVSS elevato, non dedicando molto tempo a ciascun host.

Ora immagina qualcuno che scansiona 2 dei tuoi indirizzi IP pubblici per indirizzarti in modo specifico. Se scopre che uno ha una potenziale vulnerabilità con un CVSS di 10 e l'altro solo CVSS di 2, cercherà di compromettere il più debole, senza spendere molto tempo dall'altro.

Inoltre, le vulnerabilità CVSS 2 non consentono a nessuno di assumere il controllo completo del server, quindi saranno probabilmente utilizzate solo da un determinato utente malintenzionato che ha bisogno di raccogliere informazioni sui propri sistemi.