NIST: The Common Vulnerability Scoring System (CVSS)

(31 agosto 2007) Il 29 agosto 2007 il Computer Security Resourcer center (CSRC) del National Institute of Standards and Technology (NIST) ha pubblicato la versione finale del documento "The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems" (NIST IR 7435)   (pdf, 290 K, 33 pp. e pdf zip, 204 K, 33 pp.). Il CVSS fornisce un "linguaggio comune" per condividere le informazioni sulle vulnerabilità di sicurezza IT tra ricercatori, IT Manager, fornitori di servizi, redattori di bollettini di sicurezza.

Il modello

Il "Common Vulnerability Scoring System" (CVSS) utilizza lo score fornito dal National Vulnerability Database (NVD) per costituire un open framework delle caratteristiche e dei possibili impatti delle vulnerabilità IT. Per ciascuna vulnerabilità, il modello prevede tre tipologie di caratteristiche:

  • Base: comprende le qualità intrinseche di una vulnerabilità;
  • Temporal: riflette le caratteristiche di una vulnerabilità che variano nel tempo;
  • Environmental. comprende le caratteristiche di una vulnerabilità che sono specifiche di ciascun ambiente tecnologico.

Ciascun gruppo fornisce uno score numerico che varia da 0.0 a 10.0, un vettore, una rappresentazione testuale sintetica che illustra le modalità utilizzate per calcolare lo score.

Indice del documento

  • 1. Introduction
    • 1.1 What is CVSS?
    • 1.2 Other Vulnerability Scoring Systems
    • 1.3 How Does CVSS Work?
    • 1.4 Who Performs the Scoring?
    • 1.5 Who Owns CVSS?
    • 1.6 Who is Using CVSS?
    • 1.7 Quick Definitions
  • 2. CVSS Metrics and Metric Groups
    • 2.1 Base Metrics
      • 2.1.1 Access Vector (AV)
      • 2.1.2 Access Complexity (AC)
      • 2.1.3 Authentication (AU)
      • 2.1.4 Confidentiality Impact (C)
      • 2.1.5 Integrity Impact (I)
      • 2.1.6 Availability Impact (A)
    • 2.2 Temporal Metrics
      • 2.2.1 Exploitability (E)
      • 2.2.2 Remediation Level (RL)
      • 2.2.3 Report Confidence (RC)
    • 2.3 Environmental Metrics
      • 2.3.1 Collateral Damage Potential (CDP)
      • 2.3.2 Target Distribution (TD)
      • 2.3.3 Security Requirements (CR, IR, AR)
    • 2.4 Base, Temporal, Environmental Vectors
  • 3. Scoring
    • 3.1 Guidelines
      • 3.1.1 General
      • 3.1.2 Base Metrics
    • 3.2 Equations
      • 3.2.1 Base Equation
      • 3.2.2 Temporal Equation
      • 3.2.3 Environmental Equation
    • 3.3 Examples
      • 3.3.1 CVE-2002-0392
      • 3.3.2 CVE-2003-0818
      • 3.3.3 CVE-2003-0062
  • 4. CVSS Applicability to Federal Information Systems
    • 4.1.1 The National Vulnerability Database CVSS Scores
    • 4.1.2 Modifying CVSS Scores Using FIPS 199 Ratings
    • 4.1.3 Using CVSS with the Security Content Automation Protocol
  • 5. Conclusion
  • 6. Appendix A—Additional Resources for Federal Agencies
  • 7. Appendix B—References
  • 8. Appendix C—Acronyms and Abbreviations

Articoli collegati

Link