Vulnerability Assessment Flashcards
Cosa è il CVSS
Common Vulnerabilty Scoring System (CVSS)
è un sistema, definito dal FIRST, di valutazione delle vulnerabilità comuni che offre alle organizzazioni un metodo per valutare le principali caratteristiche di una vulnerabilità e generare un punteggio numerico che ne indichi la gravità.
Quali sono le metriche del CVSS
Metrica di base
Metrica di impatto
Metrica Temporale
Quali sono le metriche di base del CVSS
Vettore di accesso: come la vulnerabilità può essere sfruttata
Complessità: quanto è difficile sfruttarla
Autenticazione: quanti livelli di autenticazione devono essere superati
Richiesta privilegi: distingue l’autenticazione base dai diritti amministrativi
Interazione utente: pesa il contributo attivo dell’utente
Scope: dove agisce la vulnerabilità nel sistema
Quali sono le metriche di impatto del CVSS
Confidenzialità: a quanti dati si può accedere
Integrità: quanto il sistema o i dati possono essere modificati
Disponibilità: quanto interferisce sulla disponibilità di servizi e sistemi
Quali sono le metriche temporali del CVSS
Sfruttabilità: esistenza o implementazione di un exploit
Rimedio: quale livello di rimedio esiste (fix del vendor, fix temporaneo, workaround, nessuno)
Credibilità: impatto sulla visibilità del marchio
Cosa è il FIRST
Forum of incidente Response
è una società senza scopo di lucro con l’obiettivo di consentire ai team di rispondere in modo più efficace agli incidenti di sicurezza fornendo accesso a best practice, strumenti e comunicazioni affidabili con i team membri.
Cosa è il CPE
Common Platform Enumeration
è uno standard che descrive e identifica applicazioni, sistemi operativi e dispositivi hardware
Cosa è un CVE
Common Vulnerabilities and Exposures
è un dizionario di vulnerabilità e falle di sicurezza note pubblicamente. È mantenuto dalla MITRE
Cosa è NVD
National Vulnerabilty Database
è il database di vulnerabilità più esteso di pubblico dominio. È mantenuto dal NIST
Cosa è il NIST
National Institute of Standards and Technology
è un’agenzia del governo degli Stati Uniti d’America che si occupa di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio
Cosa è NSA
National Security Agency
è l’organismo del Dipartimento della difesa degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale.
Cosa è il MITRE
La Mitre Corporation è un’organizzazione americana senza scopo di lucro che gestisce centri di ricerca e sviluppo finanziati a livello federale che supportano diverse agenzie governative degli Stati Uniti
Cosa è OWASP
L’Open Web Application Security Project è un progetto open-source che ha l’obiettivo di realizzare linee guida, strumenti e metodologie per migliorare la sicurezza delle applicazioni.
