Evaluaciones de vulnerabilidad: ¿taxonomías de vulnerabilidad?

8

Todos,

La primera pregunta aquí, así que sé lo más amable que puedas :-)

He estado buscando por todos los escritos o documentos sobre un estándar para clasificar vulnerabilidades. No desde el punto de vista de gravedad / riesgo / impacto, sino categorizando, como agrupar todos los 'parches faltantes', 'gestión de autenticación débil', reglas de egreso / ingreso para redes y similares. Ahora sé que muchas personas ya han hecho este trabajo, incluyéndome a mí. Lo que me interesa saber es si alguien ha hecho algo en una base más formal / estándar?

Pregunta larga, todas las respuestas son bienvenidas.

    
pregunta IC3N1 05.06.2011 - 13:24
fuente

2 respuestas

6

MITRE tiene algunos sistemas para esto. CVE para cosas que necesitan parches; CWE para los errores que deben evitarse / arreglarse, CAPEC que describe los ataques a su infraestructura; CCE para las necesidades de configuración; CPE para un esquema de denominación adecuado; y CEE para información de intercambio de eventos.

enlace

Encontrará enlaces a otros recursos que funcionan junto con los estándares de MITRE o que son similares en naturaleza a ellos.

    
respondido por el atdre 05.06.2011 - 19:20
fuente
2

La clasificación de las diez categorías principales de OWASP es exactamente este tipo de cosas. Es cierto que han optado por reducir dramáticamente el alcance a solo los diez tipos principales de ataques.

    
respondido por el Rory Alsop 05.06.2011 - 16:28
fuente

Lea otras preguntas en las etiquetas