Перевод «Руководства по общему стандарту оценки уязвимостей» версии 2 (CVSS v2)

Руководство подготовили Питер Мелл, Карен Скарфоун из Национального института Стандартов и Технологий, а также Саша Романоски из университета Карнеги Мелон.

Авторы выражают благодарность всем членам группы CVSSSpecialInterest, в особенности Барри Бруку, Сету Ненфорду, Ставу Равиву, Гевину Рейду, Джорджу Тилу и ТадашиЯмагиши, а также все авторам стандарта CVSSv1.

Перевод: ООО «Defense Laboratory», 2012

Общая система учета уязвимостей (CVSS)

Общая система учета уязвимостей(ОСУУ) является открытой платформой для сравнения характеристик и расчета воздействия уязвимостей в IT-системах. ОСУУ состоит из 3 групп: базовой, временной, и инфраструктурной. Каждая группа выдает число от 0 до 10, и вектор, сжатое текстовое описание, которое отражает значения, учтенные при расчете показателя. Базовая составляющая отражает общие особенности уязвимости. Результат от временной группы отражает характеристики уязвимости, которые менялись с течением времени.  Инфраструктурная составляющая увязывает характеристики уязвимости с уникальной для каждого клиента инфраструктурой, в которой уязвимость найдена. ОСУУ дает возможность IT менеджерам, компаниям, ведущим учет уязвимостей, производителям средств информационной защиты, разработчикам ПО и исследователям говорить на одном языке, используя общий подход к оцениванию IT уязвимостей.

Оглавление

• Вступление
• Часть 1. Введение
• Часть 2. Группы показателей. Базовая метрика
• Часть 3. Группы показателей. Временная метрика
• Часть 4. Группы показателей. Инфраструктурная метрика
• Часть 5. Подготовка вектора. Основы расчета
• Часть 6. Расчет

Инструкции по использованию CVE-кодов уязвимостей для получения дополнительной информации

Компания «Defense Laboratory» в своих отчетах выполняет обязательное требование стандарта CVSS: предоставлять клиентам не только конечное значение полученного показателя, но и отражать вектор уязвимости, чтобы потребитель мог лично оценить корректность установленной оценки и более точно понять природу уязвимости.

Каждой уязвимости приведен в соответствие ее CVE-код. По этому коду можно узнать подробности об обнаруженной уязвимости, а также получить дополнительные материалы по поводу ее устранения.

Например: CVE-2011-3192

Возникает резонный вопрос, что с этим CVE-кодом делать дальше. В Интернете существуют сайты, на которых можно получить искомую информацию, введя этот CVE-код. Рассмотрим наиболее популярные подобные ресурсы.

http://cve.mitre.org

На сайте представлена международная база уязвимостей, созданная и поддерживаемая американской корпорацией MITRE. Введя в поиск на сайте CVE-код, полученный из отчета по аудиту безопасности вашего сайта, вы получите следующую информацию:

• — Краткое описание
• — Ссылки на дополнительную подробную информацию об уязвимости, методиках устранения, инструментах устранения уязвимости
• — Статус уязвимости: подтверждена или кандидат на подтверждение.
• — Фазу рассмотрения уязвимости

http://web.nvd.nist.gov

На сайте представлена Национальная база уязвимостей, созданная и поддерживаемая США. Введя в поиск на сайте CVE-код вы получите следующую информацию:

• — Дату обнаружения уязвимости
• — Краткое описание
• — CVSS вектор
• — Подробное описание всех входящих в CVSS вектор параметров
• — Ссылки на дополнительную подробную информацию об уязвимости, методиках устранения, инструментах устранения уязвимости
• — Перечень уязвимого программного обеспечения с версиями

Мы проводим инструментальный анализ защищённости ваших сетей, а также изучаем наиболее важные элементы сайта вручную. С «Defense Laboratory» вы получает объективную информацию о рисках для ваших информационных активов. По результатам аудита информационной безопасности вы получаете отчет, в котором уже определена критичность обнаруженных уязвимостей. Таким образом, проводиться контроль рисков и угроз, и значит, у вас есть информация для принятия управленческих решений по защите вашего сайта.