Guia CVSS
Páginas: 36 (8877 palabras)
Publicado: 29 de octubre de 2015
Una guía completa a la Scoring System Common Vulnerability Versión 2.0
El sistema de puntuación de Common Vulnerability (CVSS) proporciona un marco abierto para la comunicación de las características e impactos de las vulnerabilidades de TI. CVSS consiste en 3 grupos: Base, temporal y ambiental. Cada grupo produce una puntuación numérica que oscila de 0 a 10, y un vector, una representacióntextual comprimido que refleja los valores utilizados para obtener la puntuación. El grupo Base representa las cualidades intrínsecas de una vulnerabilidad. El grupo Temporal refleja las características de una vulnerabilidad que cambia con el tiempo. El grupo ambiental representa las características de una vulnerabilidad que son únicos para el medio ambiente de cualquier usuario. CVSS permite a losadministradores de TI, proveedores de anuncios de vulnerabilidad, los proveedores de seguridad, los proveedores de aplicaciones e investigadores a todos los beneficios mediante la adopción de esta lengua común de anotar vulnerabilidades de TI.
1. Introducción
En la actualidad, la gestión de TI debe identificar y evaluar las vulnerabilidades a través de muchas plataformas de hardware ysoftware dispares. Ellos necesitan priorizar estas vulnerabilidades y remediar los que representan el mayor riesgo. Pero cuando hay tantos para fijar, con cada ser anotados utilizando diferentes escalas [2] [3] [4] , ¿cómo pueden los administradores de TI convierten esta montaña de datos de vulnerabilidades en información? El Common Vulnerability Scoring System (CVSS) es un marco abierto que solucionaeste problema. Ofrece los siguientes beneficios:
Decenas de vulnerabilidad estandarizados: Cuando una organización normaliza las puntuaciones de vulnerabilidad a través de todas sus plataformas de software y hardware, se puede aprovechar una única política de gestión de vulnerabilidades. Esta política puede ser similar a un acuerdo de nivel de servicio (SLA) que indica la rapidez con una especialvulnerabilidad debe ser validado y remediado.
Abrir Marco: los usuarios pueden confundirse cuando una vulnerabilidad se asigna una puntuación arbitraria. "Propiedades que le dio ese aspecto? ¿Cómo se diferencia de la que conocer ayer?" Con CVSS, cualquiera puede ver las características individuales que se utilizan para obtener una puntuación.
Riesgo priorizada: Cuando se calcula la puntuacióndel medio ambiente, la vulnerabilidad se convierte ahora contextual. Es decir, las puntuaciones de vulnerabilidad ahora son representativos del riesgo real de una organización. Los usuarios saben lo importante que es una vulnerabilidad dada es en relación con otras vulnerabilidades.
1.1. ¿Cuál es CVSS?
CVSS se compone de tres grupos de métricas: Base, temporal, y del Medio Ambiente, cada unoformado por un conjunto de métricas, como se muestra en la Figura 1.
Figura 1: CVSS métricas Grupos
Estos grupos de métricas se describen como sigue:
Base: representa las características intrínsecas y fundamentales de una vulnerabilidad que permanecen constantes en entornos de tiempo y de usuario. Métricas Base se discuten en la Sección 2.1 .
Temporal: representa las características de unavulnerabilidad que cambian con el tiempo, pero no entre los entornos de usuario. Métricas temporales se discuten en la Sección 2.2 .
Medio Ambiente: representa las características de una vulnerabilidad que son relevantes y exclusivos para el entorno de un usuario en particular. Métricas ambientales se discuten en la Sección 2.3 .
El propósito del grupo de base CVSS es definir y comunicar lascaracterísticas fundamentales de una vulnerabilidad. Este enfoque objetivo de vulnerabilidades que caracterizan proporciona a los usuarios una representación clara e intuitiva de una vulnerabilidad. Los usuarios pueden invocar los grupos temporales y ambientales para proporcionar información contextual que refleja con mayor precisión el riesgo para su entorno único. Esto les permite tomar...
El sistema de puntuación de Common Vulnerability (CVSS) proporciona un marco abierto para la comunicación de las características e impactos de las vulnerabilidades de TI. CVSS consiste en 3 grupos: Base, temporal y ambiental. Cada grupo produce una puntuación numérica que oscila de 0 a 10, y un vector, una representacióntextual comprimido que refleja los valores utilizados para obtener la puntuación. El grupo Base representa las cualidades intrínsecas de una vulnerabilidad. El grupo Temporal refleja las características de una vulnerabilidad que cambia con el tiempo. El grupo ambiental representa las características de una vulnerabilidad que son únicos para el medio ambiente de cualquier usuario. CVSS permite a losadministradores de TI, proveedores de anuncios de vulnerabilidad, los proveedores de seguridad, los proveedores de aplicaciones e investigadores a todos los beneficios mediante la adopción de esta lengua común de anotar vulnerabilidades de TI.
1. Introducción
En la actualidad, la gestión de TI debe identificar y evaluar las vulnerabilidades a través de muchas plataformas de hardware ysoftware dispares. Ellos necesitan priorizar estas vulnerabilidades y remediar los que representan el mayor riesgo. Pero cuando hay tantos para fijar, con cada ser anotados utilizando diferentes escalas [2] [3] [4] , ¿cómo pueden los administradores de TI convierten esta montaña de datos de vulnerabilidades en información? El Common Vulnerability Scoring System (CVSS) es un marco abierto que solucionaeste problema. Ofrece los siguientes beneficios:
Decenas de vulnerabilidad estandarizados: Cuando una organización normaliza las puntuaciones de vulnerabilidad a través de todas sus plataformas de software y hardware, se puede aprovechar una única política de gestión de vulnerabilidades. Esta política puede ser similar a un acuerdo de nivel de servicio (SLA) que indica la rapidez con una especialvulnerabilidad debe ser validado y remediado.
Abrir Marco: los usuarios pueden confundirse cuando una vulnerabilidad se asigna una puntuación arbitraria. "Propiedades que le dio ese aspecto? ¿Cómo se diferencia de la que conocer ayer?" Con CVSS, cualquiera puede ver las características individuales que se utilizan para obtener una puntuación.
Riesgo priorizada: Cuando se calcula la puntuacióndel medio ambiente, la vulnerabilidad se convierte ahora contextual. Es decir, las puntuaciones de vulnerabilidad ahora son representativos del riesgo real de una organización. Los usuarios saben lo importante que es una vulnerabilidad dada es en relación con otras vulnerabilidades.
1.1. ¿Cuál es CVSS?
CVSS se compone de tres grupos de métricas: Base, temporal, y del Medio Ambiente, cada unoformado por un conjunto de métricas, como se muestra en la Figura 1.
Figura 1: CVSS métricas Grupos
Estos grupos de métricas se describen como sigue:
Base: representa las características intrínsecas y fundamentales de una vulnerabilidad que permanecen constantes en entornos de tiempo y de usuario. Métricas Base se discuten en la Sección 2.1 .
Temporal: representa las características de unavulnerabilidad que cambian con el tiempo, pero no entre los entornos de usuario. Métricas temporales se discuten en la Sección 2.2 .
Medio Ambiente: representa las características de una vulnerabilidad que son relevantes y exclusivos para el entorno de un usuario en particular. Métricas ambientales se discuten en la Sección 2.3 .
El propósito del grupo de base CVSS es definir y comunicar lascaracterísticas fundamentales de una vulnerabilidad. Este enfoque objetivo de vulnerabilidades que caracterizan proporciona a los usuarios una representación clara e intuitiva de una vulnerabilidad. Los usuarios pueden invocar los grupos temporales y ambientales para proporcionar información contextual que refleja con mayor precisión el riesgo para su entorno único. Esto les permite tomar...
Leer documento completo
Regístrate para leer el documento completo.