领先的IT公司包括思科、微软和赛门铁克是促进一个评级系统,规范测量软件漏洞的严重性。
一个计划为新系统,称为普通危险得分系统(CVSS),在揭开了神秘的面纱RSA会议周四在旧金山。如果广泛采用,新系统将提供一个共同的语言来描述计算机安全漏洞的严重性和替换不同,特定于供应商的评级系统,根据迈克Schiffman演示系统上,思科研究员。
新的评分系统是一个项目的一部分国家基础设施顾问委员会来创建一个全球框架,披露的信息安全漏洞。代表来自政府和行业造成了新的CVSS提议,包括eBay, Qualys、互联网安全系统公司和斜接。
NIAC是美国国土安全部的一部分,涉及的安全信息系统,支持关键基础设施领域,比如银行、金融、交通、能源和制造业。
CVSS将使用标准的数学方程来计算基于基本的新漏洞的严重性等信息是否可以远程漏洞利用,或者攻击者前必须登录到一个脆弱的系统能够利用一个安全漏洞,Qualys的Gerhard Eschelbeck说。
CVSS评级还将考虑时间问题,如利用或软件补丁是否为一个特定的漏洞,和多长时间,他说。
新的评级系统将类似于常见的漏洞和风险敞口(CVE)数据库是由斜方和提供标准标识符和软件漏洞的信息。与CVE一样,供应商将最有可能使用CVSS评级的公共基础参考,但继续提供自己的分析或威胁评估,Eschelbeck说。
IT安全厂商将使用CVSS的产品评估和优化软件漏洞。供应商也将被要求为客户提供方式进入他们的IT环境的信息,如系统影响的数量和类型,计算最终CVSS评级之前,他说。
例如,可利用的漏洞影响工人的远程桌面系统可能有不同的CVSS评级比影响关键工资或人力资源服务器,Eschelbeck说。
该系统将不同的评级系统,如赛门铁克的阿里斯攻击评分系统,因为它不会被用作恶意代码疫情的预警系统,根据Schiffman的演示。
CVSS的支持实现的主要球员和一个详细的计划。然而,这个系统还没有一个家。组织者正在寻找公司或组织,如NIAC或横切,举办CVSS为互联网用户提供门户和IT供应商访问信息,Eschelbeck说。
一旦它有一个主机和广泛实施,CVSS会给it管理员和供应商一个简单的方法来评估软件漏洞的相对风险,并优先考虑修补在大型网络,他说。
“过去,人们从来没有修补他们的系统,没有工作。然后共同的看法是,你需要补丁,不现实的,”Eschelbeck说。
“事实是在中间的两个,和优先级是关键,”他说。