Relación funcional formal entre riesgo y CVSS

Question

Relación funcional formal entre riesgo y CVSS

#1 de Jyo de Lys (0 votos)

1

El Common Vulnerability Scoring System (CVSS) permite, entre otras cosas, cuantificar la gravedad de las vulnerabilidades del software.

¿Cuál es la relación funcional entre un CVSS y el riesgo asociado? En otras palabras, ¿cuál sería la forma de la función de riesgo (CVSS) = ...?

Lo pregunto porque me gustaría tener un "nivel de inseguridad acumulada" de un host, para distinguir, por ejemplo, un host con cinco CVSS=2 vulns y el que tiene dos CVSS=10 . La función anterior ayudaría a establecer un peso para cada CVSS, de modo que los casos en el ejemplo anterior no son equivalentes (lo que sería el caso de la función era lineal, lo que creo que no es el caso, debería ser más bien exponencial para resaltar los peores casos).

risk-analysis cvss

pregunta WoJ 31.07.2015 - 08:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas risk-analysis cvss

problemas de privacidad de Windows 10 para otras cuentas en la misma computadora [cerrado] ¿Es posible formatear a bajo nivel una máquina virtual? [cerrado]

score 0 · Answer 1

La metodología utilizada por el escáner de seguridad OpenVAS para otorgar un puntaje CVSS global a un host es tomar el puntaje CVSS más alto en todas las vulnerabilidades descubiertas. Esto significa que un host con cinco CVSS=2 tendrá una puntuación final de CVSS de 2 para OpenVAS, y el otro con dos CVSS=10 tendrá una puntuación final de CVSS de 10.

Hablando estrictamente de la función risk(CVSS)=... , en mi opinión, diría que sería cerca de exponencial .

Imaginemos que alguien escanea una amplia gama de direcciones IP aleatorias en busca de vulnerabilidades para explotar y constituir su botnet. Solo se centrará en los CVSS altos, no para pasar mucho tiempo en cada host.

Ahora imagine que alguien está escaneando 2 de sus direcciones IP públicas para dirigirse a usted específicamente. Si descubre que uno tiene una vulnerabilidad potencial con un CVSS de 10 y el otro solo CVSS de 2, intentará comprometer al más débil, sin dedicar mucho tiempo al otro.

Además, las vulnerabilidades de CVSS 2 no permiten que alguien tome el control total de su servidor, por lo que probablemente solo las utilice un determinado atacante que necesite recopilar información sobre sus sistemas.