Специалисты Forum of Incident Response and Security Teams (FIRST) обновили стандарт оценки угроз CVSS. Версия 3.1 призвана упростить определение вредоносного потенциала багов, в том числе с учетом особенностей разных отраслей.

Обновление включило уточнение некоторых определений и объяснение таких метрик, как вектор атаки, необходимые привилегии, требования безопасности и другие. Специалисты также предложили несколько новых показателей, направленных на повышение удобства CVSS для предприятий сферы безопасности, автомобильной промышленности, здравоохранения.

Главной целью авторов было сделать акцент на серьезности каждой уязвимости. По словам экспертов FIRST, в разных компаниях одна и та же проблема может привести к разным последствиям, и в каждом конкретном случае вопрос можно считать закрытым только по итогам проверки службой информационной безопасности. В частности, представители медицинских организаций жаловались на то, что шкала CVSS 3.0 не учитывает специфику отрасли и вводит в заблуждение их службы безопасности.

Как и ранее, новая версия CVSS объединяет три группы метрик, где свойства уязвимости разделены на постоянные (Base), временные (Temporal) и зависящие от пользовательского окружения (Environmental). Однако теперь пользователи смогут добавлять к ним собственные модификаторы, что поможет учитывать специфику конкретной организации.

Среди других рекомендаций для оценки уязвимостей:

  • исходить из того, что злоумышленник владеет полной информацией об инфраструктуре;
  • учитывать привилегии, которые взломщик получил при вторжении;
  • делать расчеты на основе самых уязвимых конфигураций ПО и оборудования.

Неудивительно, что одними из наиболее заинтересованных в обновлении системы оценки угроз оказались медицинские учреждения. Работа с конфиденциальными данными пациентов накладывает на них большую степень ответственности, а атаки парализуют деятельность всей организации, чем нередко пользуются вымогатели. Известны случаи, когда больницы выплачивали выкуп злоумышленникам за восстановление данных. Причем от нападений киберпреступников не застрахованы даже крупнейшие корпорации.

Категории: Кибероборона, Уязвимости