Hodnocení zranitelností – 6. díl

minulých dílech jsem se poměrně detailně věnoval metodice hodnocení zranitelností CVSS, která je de facto průmyslovým standardem pro stanovení závažnosti zranitelností.

Dnes bych se chtěl krátce zamyslet nad tím, jak postupovat v okamžiku, kdy je např. pomocí nějakého automatizovaného skeneru detekováno větší množství poměrně závažných zranitelností.

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 5. díl

Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First.

Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 4. díl

V červnu 2015 byla uvolněna nová verze metodiky pro hodnocení zranitelností CVSS v3.0. Ta oproti předchozí verzi přináší několik změn, které mají podstatný dopad na hodnocení zranitelností.

Pojďme se společně podívat, jaké změny to jsou, a jak ovlivňují výsledek hodnocení.

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 3. díl

Pojďme se společně podívat, jak se provádí hodnocení zranitelností podle metodiky CVSS.

Aby se na zranitelnosti dalo snadno odkazovat, definuje CVE jak nové zranitelnosti přidělit jednoznačný identifikátor. Detailní popis a skóre, kterého jednotlivé zranitelnosti dosáhly, je pak uveden v National Vulnerability Database, zkr. NVD. Samotné skóre je pak počítáno podle metodiky pro hodnocení zranitelností, kterou spravuje First a je nazýváno CVSS, což je zkratka pro Common Vulnerability Scoring System.

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 2. díl

V tomto příspěvku se zamyslíme nad otázkami, které by nám měly pomoci určit závažnost zranitelnosti.

Podobné otázky pro hodnocení zranitelností používá např. Common Vulnerability Scoring System (CVSS) nebo i taková společnosti jako je Microsoft.

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 1. díl

Zranitelnost (vulnerability) je v oblasti informační bezpečnosti definována jako slabina systému, aplikace nebo služby, která může být zneužita hrozbou.

Při stanovení závažnosti zranitelnosti hodnotíme, zda dané zranitelnosti může být v konečném důsledku zneužito k narušení důvěrnosti, integrity nebo dostupnosti. Jinými slovy zda nemůže dojít k získání informací, k jejich změně, zničení nebo způsobení nedostupnosti systému.

Rubrika: Řízení rizik
celý článek