Los valores incontables
Aunque sepamos que la seguridad depende de personas, procesos y tecnología, es chulo de vez en cuando poder hacer alguna comparación de seguridad entre distintos sistemas operativos.
Parece evidente, o al menos de uso común, que la unidad que debe ser manejada ha de ser el bug, el fallo de seguridad, el expediente. Y sobre él hacer rondar el resto de medidas, teniendo en cuenta el nivel de criticidad, la facilidad de explotación, el tiempo de exposición al riesgo, el tiempo necesario de abolición del bug, etc…
Para catalogar las vulnerabilidades, bug o fallos de seguridad se utilizan sistemas como el CVSS (Common Vulnerability Scoring System) que determinan un valor de criticidad de los mismos teniendo en cuenta todos los factores citados en el párrafo anterior. Dicho sistema, del cual es posible utilizar una calculadora en la siguiente URL, evalúa cosas como la existencia o no de un exploit público, la necesidad de estar autenticado en el sistema para explotar la vulnerabilidad o el nivel de acceso a datos que se obtiene para así sacar una nota final a cada bug.
Contenido completo en El informático en el lado del mal
Parece evidente, o al menos de uso común, que la unidad que debe ser manejada ha de ser el bug, el fallo de seguridad, el expediente. Y sobre él hacer rondar el resto de medidas, teniendo en cuenta el nivel de criticidad, la facilidad de explotación, el tiempo de exposición al riesgo, el tiempo necesario de abolición del bug, etc…
Para catalogar las vulnerabilidades, bug o fallos de seguridad se utilizan sistemas como el CVSS (Common Vulnerability Scoring System) que determinan un valor de criticidad de los mismos teniendo en cuenta todos los factores citados en el párrafo anterior. Dicho sistema, del cual es posible utilizar una calculadora en la siguiente URL, evalúa cosas como la existencia o no de un exploit público, la necesidad de estar autenticado en el sistema para explotar la vulnerabilidad o el nivel de acceso a datos que se obtiene para así sacar una nota final a cada bug.
Contenido completo en El informático en el lado del mal
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!