CVSS: przejrzyście o lukach

Konsorcjum firm zajmujących się oprogramowaniem i bezpieczeństwem komputerowym pracuje nad unifikacją opisu wykorzystywanych przez hackerów luk w systemach operacyjnych. Ma to usprawnić pracę administratorów systemów, którym nowy język opisu „dziur” ułatwi wybór priorytetów w aktualizowaniu zabezpieczeń.

W pracach nad systemem opisu CVSS (Common Vulnerability Scoring System) biorą udział m.in. Microsoft, Cisco i Symantec. CVSS zawiera zestaw metryczny, umożliwiający określenie skali zagrożeń i tym samym pilności poprawienia błędów. Chodzi o wsparcie administratorów systemów, którzy nierzadko mają teraz po weekendzie od 30 do 50 alertów dotyczących luk w systemach. Dzięki CVSS każdy z takich alertów będzie opisany liczbą, określającą skalę problemu. W ten sposób administrator, który nie ma czasu na natychmiastowe wprowadzenie wszystkich poprawek, będzie mógł łatwo wybrać te najważniejsze.

Na CVSS składa się siedem charakterystyk, obejmujących m.in. ryzyko wycieku poufnych danych, możliwość kasowania i modyfikacji plików oraz spowodowania zawieszenia systemu. Opis uwzględnia tez takie kwestie jak potrzeba znajomości haseł do wykorzystania luki w systemie oraz informacje o czasie od ujawnienia luki (im starsza, tym większe ryzyko że ktoś ją wykorzysta). Nie pominięto też czynnika osobistego, uwzględniającego specyfikę konkretnych sieci. Cała idea wydaje się trafiona, pod warunkiem, że producenci oprogramowania nie będą zaniżać znaczenia błędów w swoich aplikacjach.

Źródło informacji: New Scientist