CvSs poäng är inte tillräckligt för modern it-försvar

Förlitar sig på CvSs poäng för att uppskatta risken för säkerheten kan placera individer och företag löper större risk än trott, säger forskarna.

Den gemensamma sårbarhets Scoring System (CvSs) är ett sätt att dokumentera och mäta en programvara sårbarhet riskfaktorer. CvSs har genomgått ett antal utvecklingar till mobilen vara CvSs V3 – som innehåller några kontextuella uppgifter – men många företag förlitar sig fortfarande på systemets baspoäng, som endast innehåller en Risknivå baserat på de tekniska detaljerna i felet.

Men utan ytterligare data, IT-personal får inte ta itu med en sårbarhet verkliga omfattning och risk, och därför kan kk prioriteringar påverkas.

Efter att ha utvärderat över en miljon unika sårbarheter och mer än 76.000 sårbarheter som finns i den nationella Vulnerability Database under en 20-års period, forskare från NopSec slutsatsen att CvSs poäng är helt enkelt “inte tillräckligt” för att utvärdera dagens hot ordentligt, och företaget måste ta contexual uppgifter beaktas för att förhindra framtida dataintrång och framgångsrika cyberattacker baserade på mjukvaru brister.

Kostnaden för Ransomware attacker: $ 1 miljard år, Chrome och börja märkning HTTP-anslutningar som osäkra, det Hyperledger Project växer som gangbusters, Nu kan du köpa ett USB-minne som förstör allt i sin väg

Enligt NopSec s 2016 State of Vulnerability Risk Management rapport tar det nu kontextuella uppgifter att verkligen utvärdera risker i förhållande till sårbarheter i mjukvara, nätverk och företaget som helhet.

Genom att inkludera information såsom sociala medier trender, dataintrång, forskning och det sätt på vilket ett företag kan påverkas, kan säkerhetspersonal använda CvSs poäng bland “bättre utvärdering och prioritering risk.”

“Sårbarhetshantering och lindring kan bli mer effektiv och prioriteras på sårbarheter som används av skadliga attacker i det vilda där kritiska tillgångar exponeras”, säger FireEye Labs direktör Geok Meng Ong.

NopSec säger att CvSs poäng i sig är en “svag grund” för riskdrivna automatiska tjänster som används i företaget för att hålla systemen up-to-date, som de faktorer poängen baseras på – autentisering, åtkomstvektor, Tillgång komplexitet, sekretess Impact, tillgänglighet Impact, och integritet Impact – representerar inte nödvändigtvis den verkliga risken för en sårbarhet.

Företags spelare kommer ofta agera för att patch sårbarheter med CvSs poäng når nio eller tio, den högsta rang, men “bara en liten del av sårbarheter i samband med kända och offentligt dokumenterade attacker”, enligt företaget.

Som ett resultat, patch system är bristfälliga och det är ungefär 25 procent av sårbarheter på grund av för fläckar som är aktivt utnyttjats kan inte lösas som en prioritet.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

I själva verket, suddar CvSs poängen skillnaden mellan praktisk och teoretisk risk “, säger rapporten.” Förlitar sig uteslutande på CvSs poäng leder till en högre volym av “kritiska” sårbarheter för att sortera igenom – och mindre förmåga att effektivt prioritera den högsta risksårbarheter.

Dessutom föreslår rapporten utvecklats i takt med FireEye, att sociala medier är nu en “top plattform” för cyber. Microblogging plattform används för att främja sårbarhets avslöjanden, proof-of-concept (PoC) bevis och öka medvetenheten om det senaste hotet upptäckter.

NopSec säger att meddelanden om sårbarheter i samband med skadlig kod som är i det vilda är twittrade totalt nio gånger mer än säkerhetsbrister med bara ett offentligt utnyttja – “. Alla andra sårbar” samt upp till 18 gånger mer än

Forskarna säger också att cyberattackers bryr nu mindre om det är svårt att dra bort en attack med hjälp av en sårbarhet och mycket mer om den potentiella räckvidden för ett fel – och utnyttja kit som använder dessa sårbarheter blir mer sofistikerade än någonsin, med Microsoft, Adobe och Java leder jordiska marknaderna.

“Med stöd endast på CvSs poäng att driva prioritering för installation av patchar måste förändras. Organisationer behöva justera korrigeringsmetod till Risk infrastruktur, affärsrisk och förändring”, säger Arnold Felberbaum, strategisk rådgivare till NopSec.

“CvSs måste kompletteras med industrin intelligens, sociala medier och de åtgärder som redan är verksamma. Organisationer måste inse att det inte handlar om” om “en lapp måste tillämpas utan när. Patching förbrukar resurser och automation kan minska resurs avloppet.”

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund