¿Cómo se utilizan las puntuaciones de CVSS en los productos de gestión de riesgos de seguridad?

Navega tus respuestas
4

Desde CVSS v2 guía completa :

"Gestión de seguridad (riesgo): las empresas de gestión de riesgo de seguridad utilizan las puntuaciones CVSS como información para calcular el nivel de riesgo o amenaza de una organización. Estas empresas utilizan aplicaciones sofisticadas que a menudo se integran con la topología de red de la organización, los datos de vulnerabilidad y los activos. base de datos para proporcionar a sus clientes una perspectiva más informada de su nivel de riesgo ".

Mi pregunta precisa es: ¿Cómo se utilizan las puntuaciones de CVSS para calcular el riesgo de la organización? Las puntuaciones de CVSS se calculan por explotación, ¿es curioso cómo se extrapolan para el nivel de riesgo de toda la organización? Imagine que hacemos un inventario de cada aplicación, host, etc. en la red, realizamos análisis exhaustivos de Nessus o Qualys, etc., y luego tenemos puntuaciones CVSS de explotaciones conocidas. Pero, ¿cómo se unen para mostrar la postura de riesgo de toda la red?

Cualquier referencia o puntero sería de gran ayuda.

    
pregunta sashank 03.03.2014 - 06:29
fuente

1 respuesta

5

En primer lugar, existen tres indicadores diferentes para calcular la puntuación global de CVSS. Estos son: métricas base, métricas temporales y métricas ambientales.

Las métricas temporales y las métricas ambientales son opcionales y se calculan utilizando las Base como un valor de entrada. Para tener una mejor visión general de estas métricas y su ecuación, eche un vistazo a esta imagen:

  

Engeneral,losanalistasdeboletinesdevulnerabilidad,losproveedoresdeproductosdeseguridadolosproveedoresdeaplicacionesespecificanlasmétricasdebaseytemporalesporque,porlogeneral,tienenmejorinformaciónsobrelascaracterísticasdeunavulnerabilidadquelosusuarios.Sinembargo,lasmétricasambientalesestánespecificadasporlosusuariosporquesonlasquemejorpuedenevaluarelimpactopotencialdeunavulnerabilidadensuspropiosentornos.

Esosignificaqueelusuariodebeproporcionarlasmétricasambientales,mientrasqueunescánerdevulnerabilidadespodríaproporcionarlasdemás.

Porloquesé,NessusincluyesololaBaseylaspuntuacionestemporales.Porlotanto,Nessusnopuedeobtenerelvalordelasmétricasambientales.Lasmétricasambientalesdependendelasnecesidadesdelaorganización.

Delocontrario,sideseacalcularlapuntuaciónCVSSutilizandolasMétricasAmbientales,nopuedeusarunescánerdevulnerabilidadautomatizadocomoNessus.Necesitaríaevaluarelsistemaydecidirlaamenazaquelaorganizaciónpuedesoportar.

ParacalcularlapuntuaciónglobaldeCVSS,puedemezclarlosresultadosdeunaexploracióndeNessusconlaevaluacióndelsistema.

Haydisponibleuna calculadora CVSS v2

Además, parece que Qualys funciona de una manera similar. El escáner proporciona la Base y la Puntuación temporal, además el usuario proporciona las métricas ambientales.

  

El grupo CVSS Environmental Metric captura las características de una vulnerabilidad que está asociada con el entorno de TI del usuario .

Más información de Qualys y CVSS

Supongo que el puntaje CVSS global debería tomar la peor situación posible.

    
respondido por el crato 03.03.2014 - 14:48
fuente

Lea otras preguntas en las etiquetas

¿Puede Heartbleed exponer la dirección IP de un usuario de TOR? El formato de clave RSA más popular