Da domani il grado di sicurezza di un sistema (operativo, software, etc) sarà definito da uno standard che misurerà il grado di vulnerabilità: denominato Common Vulnerability Scoring System (CVSS), vedrà lo sforzo iniziale di Cisco Systems, Microsoft, Qualys, Symantec, eBay Inc., Qualys Inc., Internet Security Systems Inc.. Mitre Corp.
Annunciato alla RSA conference di San Francisco, il nuovo modello di classificazione ha lo scopo di rendere univoche le metriche di sicurezza che attualmente sono proprietarie dei singoli produttori, e aiutare gli amministratori di sistema che disporranno così di un metodo per valutare la gravità delle vulnerabilità e dare una priorità alle attività di patching.
Il CVSS utilizzerà equazioni standard per calcolare la gravità di nuove vulnerabilità, basandosi su informazioni quali:
- la possibilità di sfruttare la vulnerabilità da remoto,
- la necessità di collegarsi direttamente a un sistema per sfruttarne i buchi di sicurezza,
- l'intervallo di tempo di pubblicazione di un explot e una patch
- la possibilità di accesso a informazioni sensibili o confidenziali
- la possibilità di modifica di dati
Il CVSS farà uso del Common Vulnerabilities and Exposures (CVE) , il dizionario delle vulnerabilità mantenuto dal Mitre, ideato per definire identificativi e informazioni standard sulle vulnerabilità dei sistemi.
Nessun commento:
Posta un commento