AlexRedSec
@alexredsec
System Security Context Vector (SSCV) Framework
Ещё одна методика приоритизации устранения уязвимостейСкоро закончатся уникальные аббревиатуры под названия каждой новой методики
В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
Актуальность версии операционной системы (Operating System Currency)
Доступность ИТ-системы по сети (Network Exposure)
Используемые механизмы контроля доступа (Access Control)
Тип защиты конечных точек (Endpoint Protection)
Категория обрабатываемых данных (Data Sensitivity Level)
Статус установки патчей (Patch Status)
Из основных плюсов:
Понятные критерии контекста.
Возможность автоматизации подсчета метрик и оценки CRS.
Подробное руководство и калькулятор расчета оценки.
Из явных минусов:
Не учитывается бизнес-критичность ИТ-системы.
В расчете присутствуют нормализующие и корректирующие коэффициенты, что не очень прозрачно.
Нет статистических данных, позволяющих оценить корректность расчета на больших количествах уязвимостей, и математических обоснований использования рекомендованных коэффициентов (из предыдущего пункта).
Ссылки:
Официальный сайт
Github
#cvss #sscv #prioritization #vm #vulnerability #context
Ещё одна методика приоритизации устранения уязвимостей
В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
Актуальность версии операционной системы (Operating System Currency) Доступность ИТ-системы по сети (Network Exposure) Используемые механизмы контроля доступа (Access Control) Тип защиты конечных точек (Endpoint Protection) Категория обрабатываемых данных (Data Sensitivity Level)Статус установки патчей (Patch Status)
Из основных плюсов:
Понятные критерии контекста.Возможность автоматизации подсчета метрик и оценки CRS.Подробное руководство и калькулятор расчета оценки.Из явных минусов:
Не учитывается бизнес-критичность ИТ-системы.В расчете присутствуют нормализующие и корректирующие коэффициенты, что не очень прозрачно.Нет статистических данных, позволяющих оценить корректность расчета на больших количествах уязвимостей, и математических обоснований использования рекомендованных коэффициентов (из предыдущего пункта).Ссылки:
Официальный сайт
Github
#cvss #sscv #prioritization #vm #vulnerability #context
👍 10
68 2.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram