Sistemas de puntuación de vulnerabilidad

6

Nuestra compañía está desarrollando una aplicación web que se utiliza para el comercio electrónico. Queremos establecer un sistema de calificación más formal para cualquier problema relacionado con la seguridad que eventualmente reportemos nosotros o nuestros clientes. El propósito es priorizar el desarrollo del parche y, al mismo tiempo, comunicar la gravedad a los clientes.

Hasta ahora hemos evaluado el Sistema de puntuación de vulnerabilidad común . Parece simple y preciso (omitiendo las métricas ambientales) y hay calculadoras en línea para calificar. Además, es sencillo desarrollar nuestra propia calculadora.

Mi pregunta es: ¿cuáles son las alternativas más populares de CVSS ? ¿Cuáles son los pros y los contras comparados con CVSS ? ¿Hay algo así como una hoja de trucos de comparación para que podamos encontrar nuestro camino fácilmente o necesitamos hacer una evaluación seria de varios sistemas más?

    
pregunta Lachezar Balev 03.10.2012 - 09:00
fuente

5 respuestas

5

Tony Cox y Jeff Lowder han proporcionado algunos comentarios excelentes sobre CVSS (De hecho, SIRA incluye mucha buena discusión). Su objetivo es un poco más amplio que el tuyo, pero creo que el artículo al que se hace referencia proporciona un índice para los comentarios sobre CVSS. La publicación de @ Metahuman señala que CVSS puede complementarse.

El sistema de iPost del Departamento de Estado encontró que el puntaje de CVSS sobre el valor estimado de los riesgos sin importancia; Si recuerdo correctamente, simplemente se agruparon los valores para enfatizar las cosas serias. IPost del estado es el modelo (aunque sea un modelo defectuoso según el Inspector General del Departamento de Estado) para el DHS CAESARS , pero ambos son más arquitectónicos que tu objetivo.

CVSS es un estándar defectuoso. Sé que hay esfuerzos activos para revisarlo / reformarlo. Hay una considerable subjetividad en las clasificaciones: no puedo encontrar la referencia en este momento, pero alguien realizó una prueba en la que le dio a varios expertos la misma información sobre una vulnerabilidad y utilizaron el proceso CVSS, pero tuvieron respuestas muy diferentes. Pero es un estándar. Es un excelente lugar para comenzar un proyecto como el suyo, donde está buscando un estándar de referencia sin el esfuerzo de crear su propia metodología. Puedes usar CVSS (y CWE) como puntos de partida, y luego hacer lo que @Colin Cassidy llama "matemáticas mágicas".

CVSS está centrado en el sistema; ignora las características de seguridad de la arquitectura, y probablemente subestima las vulnerabilidades donde la web / nube es el vector de entrega. Me gustaría ver OWASP y Veris para obtener más información estadística sobre explotaciones del mundo real en lugar de sobre modelos teóricos.

Probablemente no ignoraría las métricas ambientales; de hecho, en el mediano plazo, usaría los componentes de CVSS para comenzar a obtener su propia puntuación de vulnerabilidad que se ajuste más a sus necesidades.

    
respondido por el Mark C. Wallace 10.10.2012 - 15:14
fuente
4

Utilizamos un sistema de puntuación basado en DREAD donde puntuamos los 5 elementos

  • Daño, qué tan grave es la vulnerabilidad
  • Confiabilidad, ¿la vulnerabilidad funciona todo el tiempo o solo parte del tiempo?
  • Explotabilidad, cuánto esfuerzo es explotar la vulnerabilidad
  • Usuarios afectados, número de personas afectadas
  • Descubrimiento, lo fácil que sería descubrir esta vulnerabilidad

de 5, donde hemos definido aproximadamente lo que significa el puntaje de 1 a 5 para nuestro producto y estas categorías. Luego hacemos algunas matemáticas mágicas para llegar a una severidad y prioridad para la vulnerabilidad. Consulte la publicación de David LeBlanc para obtener más detalles. Descubrimos que este método tiene un par de ventajas: en primer lugar, podemos indicar qué significan las puntuaciones para nuestro producto y, en segundo lugar, es sorprendentemente fácil de entender para los gerentes :)

    
respondido por el Colin Cassidy 10.10.2012 - 12:29
fuente
3

Según sus requisitos, es posible que desee consultar la Enumeración de debilidad común (CWE). enlace .

Es una solución respaldada por la comunidad para describir las vulnerabilidades de seguridad del software y como una línea de base para las actividades de remediación de vulnerabilidades.

    
respondido por el Metahuman 10.10.2012 - 11:43
fuente
2

CVSS es un sistema razonable para evaluar vulnerabilidades y es un buen marco para determinar un posible impacto técnico, sin embargo, es solo una parte de la historia. Lo que le importa a una empresa es cuánto dinero puede perder potencialmente si se explota una vulnerabilidad, o si el sistema falla. Si se pudiera introducir una vulnerabilidad que pudiera usarse para crear una condición menor de denegación de servicio, la compañía perdería menos que una que podría usarse para crear pedidos falsos, por ejemplo.

La administración piensa en términos de unidades monetarias, por lo que debe expresar el riesgo en términos de pérdidas monetarias. El desarrollo le cuesta dinero a la empresa, no solucionarán errores a menos que el potencial de pérdida sea mayor que el costo de desarrollo para solucionarlos.

    
respondido por el GdD 03.10.2012 - 09:32
fuente
0

Prefiero realizar 2 puntuaciones cuando utilizo datos de análisis de riesgos cuantitativos para fines de gestión de seguridad de la información y gestión de riesgos.

1) FTA o Fault-Tree Analysis. Esto se hace usando un enfoque de abajo hacia arriba
2) FMEA o modo de falla y análisis de efectos. Hecho usando un enfoque de arriba hacia abajo

    
respondido por el atdre 10.10.2012 - 18:16
fuente

Lea otras preguntas en las etiquetas