Sistema unificado de medição de risco visa ajudar empresas a melhorar políticas de segurança

19 set 2005 14:47

Este artigo tem mais de 18 anos

Foi hoje apresentado o Common Vulnerability Scoring System. O sistema usa números de 1 a 10 para avaliar a perigosidade de uma ameaça de segurança e tem em linha de conta aspectos como a existência ou não de exploits para atribuir a classificação.

O Forum of Incident Response and Security Teams (FIRST) apresentou hoje um novo sistema de avaliação de risco de ameaças de segurança que pretende facilitar a vida às empresas na gestão deste tipo de situação. O Common
Vulnerability Scoring System (CVSS) tem como principal objectivo fornecer um sistema unificado de medição risco, mais objectivo e que tenha em linha de conta não apenas a perigosidade de determinado vírus, mas um conjunto de outros aspectos que podem contribuir para aumentar ou diminuir a sua perigosidade. Inclui-se neste leque, por exemplo, a existência ou não de exploits para a falha em questão, já que este aspecto determina o tempo que a empresa tem à sua disposição para se proteger.

"O CVSS vai permitir que uma organização compare vulnerabilidades em múltiplas plataformas que potencialmente podem afectar diferentes partes da organização, dispondo de uma única métrica para avaliar o risco" explica Mike Caudill, presidente da FIRST (Forum os Incident Response and
Secutity Teams), citado pela CNet.

O novo sistema de classificação de falha de segurança usa números de um a
dez e permite calcular os riscos existentes numa empresa adicionando
informação relacionada com os sistemas de TI.

Os actuais sistemas de classificação são limitados na forma como avaliam as potencialidades de comprometimento do sistema e até que ponto pode ser explorada uma falha, considera o grupo.

"Hoje em dia cada empresa elabora o seu próprio padrão de
vulnerabilidade levando a uma divergência de opiniões no que respeita às decisões sobre quais as correcções a reportar primeiro", considera Vincent Weafer, director sénior da Symantec Security Response, que apoia o novo sistema. Também a Cisco já apresenta medições CVSS no seu site de segurança e alguns vendedores como a Internet Security Systems e Qualys, anunciaram que vão adoptá-lo nos seus produtos.

A Microsoft tem o seu próprio sistema de classificação de vulnerabilidades, que utiliza no boletim mensal das terças feiras e segundo a imprensa internacional estará pouco interessada em mudar, o que poderá comprometer o sucesso do sistema. Kevin Kean, director do centro de resposta de segurança da Microsoft salvaguardou que "os nossos utilizadores estão satisfeitos com o sistema de correcção implementado em 2002", cita a CNet.

Notícias Relacionadas:

2003-08-06 - Qualys monitoriza vulnerabilidades em tempo real através do QualysGuard

2003-05-17 - Symantec com nova solução de identificação e avaliação de vulnerabilidades