🧮System Security Context Vector (SSCV) FrameworkЕщё одна методика приоритизации устранения уязвимостей
🤪 Скоро закончатся уникальные аббревиатуры под названия каждой новой методики😂В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
1️⃣ Актуальность версии операционной системы
(Operating System Currency)2️⃣ Доступность ИТ-системы по сети
(Network Exposure)3️⃣ Используемые механизмы контроля доступа
(Access Control)4️⃣ Тип защиты конечных точек
(Endpoint Protection)5️⃣ Категория обрабатываемых данных
(Data Sensitivity Level)6️⃣ Статус установки патчей
(Patch Status)Из основных плюсов:
🔗Понятные критерии контекста.
🔗Возможность автоматизации подсчета метрик и оценки CRS.
🔗Подробное руководство и калькулятор расчета оценки.
Из явных минусов:
🔗Не учитывается бизнес-критичность ИТ-системы.
🔗В расчете присутствуют нормализующие и корректирующие коэффициенты, что не очень прозрачно.
🔗Нет статистических данных, позволяющих оценить корректность расчета на больших количествах уязвимостей, и математических обоснований использования рекомендованных коэффициентов
(из предыдущего пункта).
Ссылки:
📥Официальный сайт📥Github#cvss #sscv #prioritization #vm #vulnerability #context 