¿Existe un método o una fórmula precisa para convertir los puntajes de riesgo entre la Metodología de Calificación de Riesgo de OWASP (Gravedad de Riesgo General) y los puntajes base CVSS v1, v2 y v3))?
¿Además de convertir los puntajes entre las diferentes versiones de CVSS? Por ejemplo, convierta una puntuación CVSSv1 en una puntuación CVSSv3 o viceversa.
Soy el arquitecto principal de una base de datos de vulnerabilidades muy popular y enfrentamos problemas similares. En este momento tenemos casi 90,000 entradas de vulnerabilidad con una base CVSSv2 y un puntaje temporal. Estamos agregando puntuaciones CVSSv3 e intentando convertir la mayoría de los datos antiguos. Voy a discutir esta transformación solo para ilustrar el principio básico de los mismos.
El aspecto más importante es: No intente convertir las puntuaciones por sí mismas: transforme el vector en el nuevo formato y vuelva a calcular sus nuevas puntuaciones.
Si echa un vistazo a la guía del usuario de CVSSv2 y la especificación de CVSSv3 (el enlace genérico podría cambiar en el futuro) puede ver que algunos de los vectores base pueden transformarse:
Pero hay cierta complejidad adicional con respecto a otros vectores:
AC en v2 ahora se divide de alguna manera en AC y UI
Aunque CI, II y AI permanecen igual, v3 ha agregado S. En la mayoría de los casos, un CI: C / II: C / AI: C podría prometer un S: C, tarde o temprano, que podría derivarse por defecto.
Si sigue esta definición, es posible que pueda convertir aprox. 97% de todos los problemas sin tocarlos manualmente. La desviación en la precisión durante dicha transformación suele ser muy pequeña.
Simplemente use Open FAIR en lugar de CVSS y la metodología de clasificación de riesgo de Owasp. Renuncie a las clasificaciones anteriores que tiene y definitivamente evite las puntuaciones impulsadas por el vendedor. Hay algunas facetas agradables de la Metodología de Calificación de Riesgos de OWASP (una consultoría importante en la que trabajé hace unos años lo usé con gran éxito con nuestros clientes), así como CVSS (especialmente v3), pero creo que FAIR habla con los comités de riesgos, la junta directiva de directores, otros ejecutivos, auditores, reguladores y cualquier otra persona que necesite unirse a la creciente conversación sobre el riesgo cibernético.
FAIR, o el Análisis factorial del riesgo de la información, está bien documentado en el libro, Cómo medir y administrar el riesgo de la información, y el libro explica en detalle por qué NIST SP 800-30, FIRST CVSS y lenguaje de riesgo no estándar que se encuentran en todos los otros marcos no son tan buenos como algo como FAIR. Las partes de FAIR se fijan en piedra, mientras que otras partes, como los vehículos para el cálculo (es decir, PERT y MC VaR) son modificables (por ejemplo, PERT con P-Box, MC VaR con redes bayesianas).
Lea otras preguntas en las etiquetas vulnerability risk-analysis owasp cvss risk