Как CVSS помогает организациям расставлять приоритеты в исправлении уязвимостей?

CVSS (Общая система оценки уязвимостей) помогает организациям расставлять приоритеты в исправлении уязвимостей, оценивая их серьёзность и влияние. 1

Система предлагает ключевые метрики по трём основным измерениям: 1

1. Базовые показатели. 1 Измеряют внутренние характеристики уязвимости, которые не меняются со временем или в разных средах. 1 Например, вектор атаки, сложность атаки, требуемые привилегии, влияние. 1
2. Временные метрики. 1 Оценивают уязвимость по мере развития условий. 1 К ним относятся, например, зрелость кода эксплойта, уровень исправления, достоверность сообщаемой информации. 1
3. Экологические показатели. 1 Подгоняют оценку под конкретный контекст организации, отражая уникальное влияние уязвимости на бизнес. 1

На основе этих метрик вычисляются числовые оценки в диапазоне от 0 до 10. 3 Чем выше показатель, тем опаснее уязвимость. 3

Некоторые преимущества использования CVSS для расстановки приоритетов:

• Стандартизованная оценка. 2 После нормализации оценок уязвимостей для всех программных и аппаратных платформ компании могут использовать единую политику управления уязвимостями. 2
• Открытость системы. 2 Позволяет увидеть индивидуальные особенности уязвимости, которые привели к указанной оценке. 2
• Приоритизация рисков. 2 Оценка отражает реальный риск от наличия уязвимости, который существует в данной организации с учётом других уязвимостей. 2