Pourquoi les scores CVSS ne racontent pas la véritable histoire du risque

TheHackerNews - 09/03
Les scores de gravité CVSS induisent souvent en erreur la priorisation des vulnérabilités lorsque le contexte commercial est ignoré, laissant les expositions critiques non résolues.

Dans la plupart des centres d’opérations de sécurité, CVSS dicte discrètement les priorités de remédiation. Les tableaux de bord sont triés par gravité. Les vulnérabilités « critiques » flottent au sommet. Les résumés trimestriels célèbrent le nombre de conclusions 9.0+ qui ont été clôturées.

Sur le papier, cela semble rationnel. En pratique, c'est souvent faux.

CVSS a été conçu pour normaliser la façon dont les vulnérabilités sont évaluées. Ses origines et son objectif principal étaient de mesurer la gravité technique, y compris la complexité des exploits, les privilèges requis, l'impact sur la confidentialité, l'intégrité et la disponibilité. Il fournit un langage partagé. Mais là où il a constamment du mal, c'est dans la mesure du contexte, par exemple si l'actif est accessible sur Internet, à quel point il est critique pour l'entreprise et si les attaquants exploitent activement la vulnérabilité. Et c’est dans le contexte que réside le risque réel.

Comment les scores abstraits transforment la gestion des vulnérabilités en « théâtre de la gravité »

Une vulnérabilité notée 9,8 dans un environnement hors production sans accès externe peut nécessiter une attention immédiate dans le cadre d'un modèle axé sur la gravité. ...
[Courte citation de 8% de l'article original]

Loading...