• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Перевод «Руководства по общему стандарту оценки уязвимостей» версии 2 (CVSS v2)

    Руководство подготовили Питер Мелл, Карен Скарфоун из Национального института Стандартов и Технологий, а также Саша Романоски из университета Карнеги Мелон.

    Авторы выражают благодарность всем членам группы CVSSSpecialInterest, в особенности Барри Бруку, Сету Ненфорду, Ставу Равиву, Гевину Рейду, Джорджу Тилу и ТадашиЯмагиши, а также все авторам стандарта CVSSv1.

    Перевод: ООО «Defense Laboratory», 2012

    Общая система учета уязвимостей (CVSS)

    Общая система учета уязвимостей(ОСУУ) является открытой платформой для сравнения характеристик и расчета воздействия уязвимостей в IT-системах. ОСУУ состоит из 3 групп: базовой, временной, и инфраструктурной. Каждая группа выдает число от 0 до 10, и вектор, сжатое текстовое описание, которое отражает значения, учтенные при расчете показателя. Базовая составляющая отражает общие особенности уязвимости. Результат от временной группы отражает характеристики уязвимости, которые менялись с течением времени.  Инфраструктурная составляющая увязывает характеристики уязвимости с уникальной для каждого клиента инфраструктурой, в которой уязвимость найдена. ОСУУ дает возможность IT менеджерам, компаниям, ведущим учет уязвимостей, производителям средств информационной защиты, разработчикам ПО и исследователям говорить на одном языке, используя общий подход к оцениванию IT уязвимостей.

    система учета уязвимостей

    Оглавление

    Инструкции по использованию CVE-кодов уязвимостей для получения дополнительной информации

    Компания «Defense Laboratory» в своих отчетах выполняет обязательное требование стандарта CVSS: предоставлять клиентам не только конечное значение полученного показателя, но и отражать вектор уязвимости, чтобы потребитель мог лично оценить корректность установленной оценки и более точно понять природу уязвимости.

    Каждой уязвимости приведен в соответствие ее CVE-код. По этому коду можно узнать подробности об обнаруженной уязвимости, а также получить дополнительные материалы по поводу ее устранения.

    Например: CVE-2011-3192

    Возникает резонный вопрос, что с этим CVE-кодом делать дальше. В Интернете существуют сайты, на которых можно получить искомую информацию, введя этот CVE-код. Рассмотрим наиболее популярные подобные ресурсы.

    http://cve.mitre.org

    На сайте представлена международная база уязвимостей, созданная и поддерживаемая американской корпорацией MITRE. Введя в поиск на сайте CVE-код, полученный из отчета по аудиту безопасности вашего сайта, вы получите следующую информацию:

    • - Краткое описание
    • - Ссылки на дополнительную подробную информацию об уязвимости, методиках устранения, инструментах устранения уязвимости
    • - Статус уязвимости: подтверждена или кандидат на подтверждение.
    • - Фазу рассмотрения уязвимости

    http://web.nvd.nist.gov

    На сайте представлена Национальная база уязвимостей, созданная и поддерживаемая США. Введя в поиск на сайте CVE-код вы получите следующую информацию:

    • - Дату обнаружения уязвимости
    • - Краткое описание
    • - CVSS вектор
    • - Подробное описание всех входящих в CVSS вектор параметров
    • - Ссылки на дополнительную подробную информацию об уязвимости, методиках устранения, инструментах устранения уязвимости
    • - Перечень уязвимого программного обеспечения с версиями

    стандарт оценки уязвимостей

    Мы проводим инструментальный анализ защищённости ваших сетей, а также изучаем наиболее важные элементы сайта вручную. С «Defense Laboratory» вы получает объективную информацию о рисках для ваших информационных активов. По результатам аудита информационной безопасности вы получаете отчет, в котором уже определена критичность обнаруженных уязвимостей. Таким образом, проводиться контроль рисков и угроз, и значит, у вас есть информация для принятия управленческих решений по защите вашего сайта.