ИТ-гиганты стандартизируют оценку уязвимостей

Ведущие ИТ-компании договорились о стандартизации оценки уязвимостей в своих продуктах. «Общая система оценки уязвимости» (CVSS) призвана заменить многочисленные градации опасности, специфические для каждой компании.

В Microsoft, Qualys, Symantec и других компаниях, поддержавших инициативу, сошлись во мнении, что единая шкала поможет пользователю лучше ориентироваться в оценке степени угроз. Инициатором создания системы стало подразделение Департамента внутренней безопасности США — Консультативный совет по национальной инфраструктуре (NIAC). Решение было принято на конференции RSA в Сан-Франциско.

Участники проекта CVSS также договорились об ином подходе к оценке опасностей. Уязвимость оценивается по семи факторам, в частности, возможностям несанкционированного доступа к конфиденциальной информации, модификации данных, атаки «отказ в обслуживании» (DoS). Во внимание будут приниматься возможность удаленной эксплуатации уязвимости, а также период со дня обнаружения уязвимости.

В Qualys планируют опубликовать шкалу CVSS в этом году в бесплатном новостном бюллетене Института SANS. Окончательный вариант шкалы находится в процессе доработки.