CVSS
CVSS
(= The Common Vulnerability Scoring System,
"nõrkuste hindamise ühissüsteem")
olemus
avatud valdkonnastandard:
- nõrkuse tõsiduse hindamiseks ning
- reageerimise pakilisuse ja prioriteedi määramiseks
- taotleb hindamissüsteemide ühildamist
- 2005- CERT/CC, Cisco, IBM, Microsoft, Symantec jt
- praegu hooldab FIRST
põhikriteeriumid
- ründevektor: võrk/naabrus/lokaalne/füüsiline
- ründe keerukus: väike/suur
- vajalikud privileegid: mitte mingid/madalad/kõrged
- kasutaja interaktsioon: pole vajalik/on vajalik
- toimeulatus: muutumatu/muutuv
- konfidentsiaalsuse kadu: puudub/väike/suur
- tervikluse kadu: puudub/väike/suur
- käideldavuse kadu: puudub/väike/suur
lisakriteeriumid
- 3 hetkepõhist
- 11 keskkonnapõhist
näiteid
https://www.first.org/cvss/examples
ülevaateid
https://www.balbix.com/insights/understanding-cvss-scores/
https://www.first.org/cvss/specification-document
veebisait
http://www.first.org
vt ka
- CVE
- CWSS