Интригующие статьи про CVSS от Kaspersky. Ссылки на вполне годные статьи на днях опубликовали в канале Kaspersky B2B:
🔹 В первой рассматривают историю развития стандарта и общие принципы оценки уязвимостей с помощью CVSS.
🔹 Во второй описывают основные проблемы при работе с CVSS. Проблемы сводятся к тому, что CVSS - это субъективная оценка критичности самой уязвимости, а не оценка риска эксплуатации этой уязвимости в инфраструктуре. Нельзя по одному CVSS сделать вывод, какую уязвимость следует устранять в первую очередь. Уязвимость со средним CVSS, но на критичных хостах, вполне может привести к компрометации всей инфраструктуры организации.
А где интрига? В том, что решение проблем CVSS они видят в продуктах типа RBVM ("Risk-Based" VM). Ещё одна аббревиатура. 😉 Такого продукта в портфеле Kaspersky сейчас нет, но ходили слухи, что они над ним активно работают. Похоже на маркетинговый "прогрев" перед скорым релизом. 🤔
Лично я уже прогрелся и с нетерпением жду. 🙂🔥
@avleonovrus #Kaspersky #CVSS #RBVM
🔹 В первой рассматривают историю развития стандарта и общие принципы оценки уязвимостей с помощью CVSS.
🔹 Во второй описывают основные проблемы при работе с CVSS. Проблемы сводятся к тому, что CVSS - это субъективная оценка критичности самой уязвимости, а не оценка риска эксплуатации этой уязвимости в инфраструктуре. Нельзя по одному CVSS сделать вывод, какую уязвимость следует устранять в первую очередь. Уязвимость со средним CVSS, но на критичных хостах, вполне может привести к компрометации всей инфраструктуры организации.
А где интрига? В том, что решение проблем CVSS они видят в продуктах типа RBVM ("Risk-Based" VM). Ещё одна аббревиатура. 😉 Такого продукта в портфеле Kaspersky сейчас нет, но ходили слухи, что они над ним активно работают. Похоже на маркетинговый "прогрев" перед скорым релизом. 🤔
Лично я уже прогрелся и с нетерпением жду. 🙂🔥
@avleonovrus #Kaspersky #CVSS #RBVM