“Password” 60. bölüm: CVSS, SSVC, EPSS ve Co'nun anlamı ve saçmalığı

Güvenlik açıkları kapatılmalı, özellikle ciddi güvenlik açıkları çok hızlı bir şekilde kapatılmalıdır. Söylemeye gerek yok ama hangi boşlukları özellikle acilen gidermeniz gerektiğini nasıl bileceksiniz? CVE numaraları bu amaca uygun değildir; yalnızca boşlukları açıkça belirlemeye yararlar. Ancak bu rakamların etrafında, uzmanların bile düzenli olarak duraksamasına neden olan çok sayıda derecelendirme sistemi, ek parametreler ve karar ağaçları ortaya çıktı. Bölüm 60'ta podcast, bir bölümün tamamını çeşitli ortak güvenlik parametrelerini kapsamaya ayırıyor.

Duyurudan sonra devamını okuyun


Yakın geçmişten gelen spesifik ve oldukça kritik bir güvenlik açığı ortak bir konu olarak hizmet ediyor: CVE-2026-41940. Bu örneği (ve diğer birkaç anekdotu) kullanarak, sunucular, Ortak Güvenlik Açığı Puanlama Sistemi CVSS'den başlayarak çeşitli derecelendirme sistemleri üzerinden kendi yollarına gidiyorlar: Christopher, 3.1 ve 4.0 sürümlerindeki bu puanların neyi yansıtıp neyi yansıtmadığını açıklıyor. En azından CVSS taban puanı, koruyucu önlemlerin olmadığı bir sistemdeki güvenlik açığının teorik tehlikesini açıklamaktadır. Bunun genellikle belirli bir ortamdaki ve belirli bir zamandaki gerçek riskle pek ilgisi yoktur.

Bu nedenle, CVSS'nin isteğe bağlı uzantıları bu tür değişken faktörleri yakalamaya çalışır. Paydaşlara Özel Güvenlik Açığı Kategorizasyonu (SSVC) ve EPSS, Exploit Tahmin Puanlama Sistemi de yine podcast'te tartışılmıştır ve daha da ileri gitmektedir. İkincisi, bir güvenlik açığından gerçekten yararlanılma olasılığını hesaplamayı amaçlamaktadır. Ortak Zayıflık Sayımı (CWE) ve Ortak Platform Sayımı (CPE) da sorunları dahil olmak üzere tartışılmaktadır.

Temel olarak, ana bilgisayarlar, güvenlik açıklarına tartışmasız önem düzeyleri atamanın neden genellikle zor veya imkansız olduğunu açıklıyor. CVSS 3.1'deki meşhur “Kapsam” parametresi örneğini kullanan Sylvester, değerlendirmenin bazen yazı-turaya dönüştüğünü gösteriyor. Sonuçta soru şu: Tüm bu önemli rakamlar ne işe yarıyor ve daha fazla parametreden daha fazla önemli rakam hesaplamanın bir hata olup olmadığı. Organizatörler puanların önceliklendirme konusunda yardımcı olabileceği konusunda hemfikir, ancak ölçütlerin hiçbiri bir boşluğun organizasyonlarını etkileyip etkilemediği veya ne kadar kötü etkileyeceği sorusuna cevap vermiyor.

“Password – Haberler Security Podcast”in yeni bölümü çarşamba gününden bu yana alışılagelmiş podcast platformlarında yayında.

Duyurudan sonra devamını okuyun


(Evet)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir