perché il CVSS fornisce un punteggio di 0,66 per un impatto completo sulla CIA?

0

Visitando: link Ho notato che il CVSS attribuisce i seguenti valori di impatto per riservatezza, integrità e disponibilità:

none :           0.0 
partial impact : 0.275
complete:        0.660

Quindi, vorrei capire perché questo ha un valore di 0,66 per un impatto completo? Perché il valore non può essere superiore a 0,66 poiché abbiamo un impatto completo sull'asset? In questo caso, come spiegare una vulnerabilità con un punteggio pieno per i tre attributi di sicurezza?

Inoltre, perché assegnare gli stessi punteggi per tutti e tre gli attributi di sicurezza, riservatezza, integrità e disponibilità?

    
posta Mely 08.06.2012 - 16:10
fonte

1 risposta

3

La linea di base dei punteggi è relativamente arbitraria: se moltiplichi tutto in modo che 1 fosse il punteggio più alto per il massimo impatto, cambierebbe solo il risultato del numero risultante. Non cambierebbe il significato in alcun modo, né il punteggio relativo, che è comunque l'unica uscita importante. Dal sito Web nvd vedrai che le figure sono state scelte per dare 10 come punteggio massimo in quanto è semplice per capire:

CVSS consists of 3 groups: Base, Temporal and Environmental. Each group produces a numeric score ranging from 0 to 10

Se provi a inserire i punteggi di un particolare esempio, vedrai come si adatta ai livelli assegnati.

Le tre aree, riservatezza, integrità e disponibilità sono spesso considerate come un valore uguale. Per alcuni settori la disponibilità è la più importante, per altri è l'integrità e altri è la riservatezza, quindi mentre un particolare settore potrebbe non averli tutti allo stesso valore, in generale è più facile trattarli allo stesso modo.

    
risposta data 08.06.2012 - 16:39
fonte

Leggi altre domande sui tag