CVSS назвали неэффективной для оценки уязвимостей АСУ ТП

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
5d5c218f6c6d0f8ebb16ce9affd79109.jpg

Из-за низкой оценки CVSS пользователи могут
проигнорировать опасные уязвимости.

Общая система оценки уязвимости (Common Vulnerability Scoring System, CVSS) широко используется для классификации уязвимостей по шкале критичности, однако в случае с промышленными системами автоматизации оценки нередко не соответствуют реальной степени опасности проблемы, что может повлечь за собой негативные последствия для предприятий, особенно если они определяют приоритетность патчей исключительно на основании баллов CVSS.

Общая система оценки уязвимостей (CVSS) – открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях. Применение CVSS для оценки уязвимостей закреплено в различных стандартах, в том числе в PCI DSS. Шкала представляет собой число (оценку) в интервале от 0 до 10, отражающее степень опасности - низкая (0,1 - 3,9), средняя (4 - 6,9), высокая (7 - 8,9) и критическая (9 - 10). Для оценки уязвимости текущая версия CVSS v3 использует три группы метрик: базовые метрики (характеристики уязвимости, которые не зависят от среды и не меняются со временем), временные метрики (характеристики уязвимости, меняющиеся со временем), контекстные метрики (характеристики уязвимости, зависящие от среды).
В рамках конференции ICS Cyber Security Conference, состоявшейся в минувшем месяце в Атланте, технический директор компании Radiflow Илан Барда (Ilan Barda) указал, что метрика CVSS изначально была разработана для IT-систем и не во всех случаях точно характеризует уязвимости АСУ ТП. С его мнением согласны и другие эксперты.

В частности, в беседе с журналистами SecurityWeek основатель компании Nozomi Networks Морено Карулльо (Moreno Carullo) отметил, что классификация CVSS должна расцениваться только как руководство.

Как полагает специалист Radiflow Йехонатан Кфир (Yehonatan Kfir), в случае АСУ ТП более подходящей будет контекстная метрика, которая чаще всего игнорируется. В то время как для IT-систем более важна конфиденциальность, в промышленных системах наиважнейшим фактором выступает доступность, поскольку любой сбой в производственном процессе может повлечь за собой серьезные физические и финансовые последствия.
Специалисты привели несколько случаев, когда уязвимость, получившая низкую оценку по шкале CVSS, представляла серьезную угрозу для промышленных сред. В частности, уязвимость CVE-2015-5374, эксплуатируемая в атаках с использованием вредоносного ПО Industroyer/Crashoverride для вывода из строя реле Siemens SIPROTEC, была оценена всего в 7,8 балла.

«Поскольку устройства SIPROTEC играют важную роль в средах производства электроэнергии, оценка в 7,8 балла не полностью отражает весь риск», - пояснил специалист CyberX Дэвид Этч (David Atch). По его словам, вводящая в заблуждение классификация CVSS может негативно сказаться на промышленных предприятиях, поскольку из-за низкой оценки пользователи могут проигнорировать опасные уязвимости.

Как полагают специалисты, система CVSS может применяться для оценки уязвимостей АСУ ТП при условии соответствующей адаптации шкалы. Их рекомендации включают фокусирование на контекстных метриках и оценке влияния уязвимости в контексте всей среды, а не только на определенное устройство или ПО, и использование CVSS наряду с другими методами оценки риска проблем.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя