Ciscos免费威胁警报服务使用CVSS

网络安全巨头思科推出了一项新的以企业为中心的威胁咨询服务,全面支持CVSS,即通用漏洞评分系统,这是一个初步的行业尝试,旨在标准化安全漏洞的评级方式。思科系统公司的MySDN(我的自防御网络)标志着CVSS在缺陷警告服务中首次公开露面。

MySDN服务是一个免费的Web资源,旨在提供有关网络漏洞和威胁不是由思科产品中的漏洞引起的,并且是加利福尼亚州圣何塞公司雄心勃勃的ATD(自适应威胁防御)计划的一部分。

Ciscos采用CVSS意味着缺陷警告将包括两个严格来自度量和公式的严重性分数。例如,最近针对TCP/IP协议实施中的拒绝服务错误的警报增加了CVSS评分以及传统的“中等”风险严重性。

CVSS评分系统是其中的心血管美国国土安全部NAIC(国家基础设施咨询委员会)得到了几家备受瞩目的技术公司的支持,包括思科,微软公司,eBay公司,Qualys公司和互联网安全系统公司。

CVSS框架的核心是为最终用户提供表示漏洞严重性和风险的综合评分。为评分系统提供支持的指标和公式分为三个类别-基础,时间和环境-并承诺与供应商无关的解决方案来解决不兼容的严重性评级系统。

以下是它的工作原理:从不更改的基本指标由发布通报的供应商或研究人员设置,并由一组严格的数学算法计算。时间度量也是根据度量和公式计算得出的,包含在安全漏洞的整个生命周期中发展的漏洞的特征。

最后一个组件,环境度量标准,不包含在建议中。相反,它由最终用户计算,并包含与特定环境中的实现相关联的漏洞的特征。

CVSS并不意味着用作威胁评分系统(或DHS颜色警告系统)),漏洞数据库或实时攻击评分系统。相反,支持者表示,CVSS提供了一个完美的模型,可以为最终用户提供代表漏洞严重程度和风险的综合评分。

该项目最近在FIRST.org找到了一个家,FIRST.org是一个由非营利组织组成的全球事件响应和安全团队,支持者希望研究人员和供应商开始关注Ciscos,使CVSS成为严重等级的事实标准。

/zimages/5/28571.gif点击大洋彩票注册此处了解更多关于Ciscos的信息适应性威胁防御倡议。

参与FIRST.orgs董事会的MikeCaudill认为,CVSS的广泛采用将消除评级中现有的主观性,并减轻软件供应商与发现的私人研究人员之间的紧张关系

理想情况下,Caudill表示CVSS应该补充MitresCVE(常见漏洞和暴露),它已被广泛用于标准化所有公开漏洞和安全风险的名称。

“跳了让所有响应团队在国际上尝试并开始使用它。有少数组织和公司在内部尝试CVSS以了解系统。Caudill在接受ZiffDavis网络新闻采访时表示,我们期望开始看到公众实施,因为每个人都变得更加舒适。

FIRST.org成立了一个特殊的利益集团来传播CVSS,以及启动会议大洋彩票注册他说,计划在6月底提供有关公共实施的最新信息。

上一篇:使用漏洞利用,MSBracesf大洋彩票注册orWormAttack 下一篇:没有了

本文URL:http://www.2galaxy.com/diannaoyingjian/zhuban/201909/3484.html

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。