Перевод «Руководства по общему стандарту оценки уязвимостей» версии 2 (CVSS v2)

Руководство подготовили Питер Мелл, Карен Скарфоун из Национального института Стандартов и Технологий, а также Саша Романоски из университета Карнеги Мелон.
Авторы выражают благодарность всем членам группы CVSSSpecialInterest, в особенности Барри Бруку, Сету Ненфорду, Ставу Равиву, Гевину Рейду, Джорджу Тилу и ТадашиЯмагиши, а также все авторам стандарта CVSSv1.
Перевод: ООО «Defense Laboratory», 2012
Общая система учета уязвимостей (CVSS)
Общая система учета уязвимостей(ОСУУ) является открытой платформой для сравнения характеристик и расчета воздействия уязвимостей в IT-системах. ОСУУ состоит из 3 групп: базовой, временной, и инфраструктурной. Каждая группа выдает число от 0 до 10, и вектор, сжатое текстовое описание, которое отражает значения, учтенные при расчете показателя. Базовая составляющая отражает общие особенности уязвимости. Результат от временной группы отражает характеристики уязвимости, которые менялись с течением времени. Инфраструктурная составляющая увязывает характеристики уязвимости с уникальной для каждого клиента инфраструктурой, в которой уязвимость найдена. ОСУУ дает возможность IT менеджерам, компаниям, ведущим учет уязвимостей, производителям средств информационной защиты, разработчикам ПО и исследователям говорить на одном языке, используя общий подход к оцениванию IT уязвимостей.
Оглавление
- Вступление
- Часть 1. Введение
- Часть 2. Группы показателей. Базовая метрика
- Часть 3. Группы показателей. Временная метрика
- Часть 4. Группы показателей. Инфраструктурная метрика
- Часть 5. Подготовка вектора. Основы расчета
- Часть 6. Расчет
Инструкции по использованию CVE-кодов уязвимостей для получения дополнительной информации
Компания «Defense Laboratory» в своих отчетах выполняет обязательное требование стандарта CVSS: предоставлять клиентам не только конечное значение полученного показателя, но и отражать вектор уязвимости, чтобы потребитель мог лично оценить корректность установленной оценки и более точно понять природу уязвимости.
Каждой уязвимости приведен в соответствие ее CVE-код. По этому коду можно узнать подробности об обнаруженной уязвимости, а также получить дополнительные материалы по поводу ее устранения.
Например: CVE-2011-3192
Возникает резонный вопрос, что с этим CVE-кодом делать дальше. В Интернете существуют сайты, на которых можно получить искомую информацию, введя этот CVE-код. Рассмотрим наиболее популярные подобные ресурсы.
http://cve.mitre.org
На сайте представлена международная база уязвимостей, созданная и поддерживаемая американской корпорацией MITRE. Введя в поиск на сайте CVE-код, полученный из отчета по аудиту безопасности вашего сайта, вы получите следующую информацию:
- — Краткое описание
- — Ссылки на дополнительную подробную информацию об уязвимости, методиках устранения, инструментах устранения уязвимости
- — Статус уязвимости: подтверждена или кандидат на подтверждение.
- — Фазу рассмотрения уязвимости
http://web.nvd.nist.gov
На сайте представлена Национальная база уязвимостей, созданная и поддерживаемая США. Введя в поиск на сайте CVE-код вы получите следующую информацию:
- — Дату обнаружения уязвимости
- — Краткое описание
- — CVSS вектор
- — Подробное описание всех входящих в CVSS вектор параметров
- — Ссылки на дополнительную подробную информацию об уязвимости, методиках устранения, инструментах устранения уязвимости
- — Перечень уязвимого программного обеспечения с версиями
Мы проводим инструментальный анализ защищённости ваших сетей, а также изучаем наиболее важные элементы сайта вручную. С «Defense Laboratory» вы получает объективную информацию о рисках для ваших информационных активов. По результатам аудита информационной безопасности вы получаете отчет, в котором уже определена критичность обнаруженных уязвимостей. Таким образом, проводиться контроль рисков и угроз, и значит, у вас есть информация для принятия управленческих решений по защите вашего сайта.
Теги:
Добавить комментарий