I professionisti della sicurezza rivedono la valutazione delle vulnerabilità

Network
0 0 Non ci sono commenti

Creato nel 2005, il Common Vulnerability Scoring System viene attualizzato
per tener conto delle evoluzioni dei bug.

Non passa giorno senza che una nuova vulnerabilità venga individuata in un software o un sistema operativo. Secondo un rapporto pubblicato da Ibm all’inizio dell’anno, 7.247 nuove vulnerabilità sono state registrate nel 2006, con una media di venti al giorno e un aumento del 40% rispetto all’anno precedente.

Non tutti i buchi, però, hanno lo stesso livello di pericolosità. È per vederci più chiaro che differenti standard di classificazione sono stati lanciati negli ultimi anni, soprattutto dal First, un’associazioni creata nel 1990 e che raggruppa alcuni Cert (Computer Emergency Response Team). Tuttavia, il sistema di valutazione delle vulnerabilità Cvss (Common Vulnerability Scoring System) comincia a essere datato, soprattutto a causa del rapido cambiamento della tipologia di vulnerabilità e del loro sempre più frequente accoppiamento con altre minacce.

Dunque, il Cvss è destinato a mutare e da poco First ne ha presentato la versione 2, che riduce le incoerenze, apporta una gradualità supplementare e riflette in modo più preciso il variegato panorama delle ?falle? in circolazione.

Cvss è stato creato nel 2005 e permette di attribuire un voto (compreso fra 1 e 10 a seconda della pericolosità) a tutte le vulnerabilità. Per determinare questa valutazione, lo standard tiene conto di differenti criteri, fra i quali il principio di funzionamento, la complessità di individuazione, l’impatto a livello di postazione di lavoro o delle reti. Se una falla ha voto 1, non c’è da preoccuparsi troppo, mentre dal 5 in su la situazione diventa più delicata. A 10, un attaccante esterno può modificare a suo piacimento i file ai quali riesce ad avere accesso.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore