¿Por qué CVSS otorga una puntuación de 0.66 para un impacto total en la CIA?

Question

¿Por qué CVSS otorga una puntuación de 0.66 para un impacto total en la CIA?

#1 de Rory Alsop (3 votos)

0

Al visitar: enlace noté que el CVSS atribuye los siguientes valores de impacto a la confidencialidad, integridad y disponibilidad:

none :           0.0 
partial impact : 0.275
complete:        0.660

Por lo tanto, me gustaría entender por qué se le asigna un valor de 0.66 para un impacto total. ¿Por qué el valor no puede ser superior a 0.66 ya que tenemos un impacto completo en el activo? En este caso, ¿cómo explicar una vulnerabilidad con una puntuación completa para los tres atributos de seguridad?

Además, ¿por qué asignar las mismas calificaciones a los tres atributos de seguridad, confidencialidad, integridad y disponibilidad?

attacks known-vulnerabilities

pregunta Mely 08.06.2012 - 16:10

fuente

1 respuesta

Lea otras preguntas en las etiquetas attacks known-vulnerabilities

¿Puede un sitio web infectar una computadora sin la ayuda del usuario? [duplicar] Se puede infectar una persona simplemente leyendo un correo electrónico [duplicado]

score 3 · Answer 1

La línea de base de los puntajes es relativamente arbitraria: si multiplicas todo para que 1 sea el puntaje máximo para el impacto total, solo cambiaría la salida del número resultante. No cambiaría el significado de ninguna manera, ni la puntuación relativa, que es el único resultado importante de todos modos. En el nvd sitio web verá que las figuras fueron elegidas para obtener 10 como puntaje máximo, ya que es simple para entender:

CVSS consta de 3 grupos: Base, Temporal y Ambiental. Cada grupo produce una puntuación numérica que va de 0 a 10

Si intentas poner las puntuaciones de un ejemplo particular, verás cómo se ajusta a los niveles asignados.

Las tres áreas, confidencialidad, integridad y disponibilidad a menudo se consideran de igual valor. Para algunas industrias, la disponibilidad es lo más importante, para otras es la integridad y otras es la confidencialidad, por lo que si bien una industria en particular puede no tenerlas todas al mismo valor, en conjunto es más fácil tratarlas por igual.