Risco Cibernético = Probabilidade de Ocorrência x Dano – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Em meados de 2023, o Common Vulnerability Scoring System (CVSS) v4.0 foi apresentado, sucedendo o CVSS v3.0 de oito anos atrás, com o objetivo de aprimorar a avaliação de vulnerabilidades tanto para a indústria quanto para o público. Esta última versão introduz métricas adicionais como segurança e automação para lidar com críticas de falta de granularidade, enquanto apresenta um sistema de pontuação revisado para uma avaliação mais abrangente. Além disso, enfatiza a importância de considerar métricas ambientais e de ameaças juntamente com a pontuação base para avaliar as vulnerabilidades com precisão.

A principal finalidade do CVSS é avaliar o risco associado a uma vulnerabilidade. Algumas vulnerabilidades, especialmente aquelas encontradas em produtos de rede, representam um risco claro e significativo, pois atacantes não autenticados podem facilmente explorá-las para obter controle remoto sobre os sistemas afetados. Essas vulnerabilidades frequentemente foram exploradas ao longo dos anos, servindo muitas vezes como pontos de entrada para ataques de ransomware.

Sistemas de avaliação de vulnerabilidades empregam fatores predefinidos para quantificar objetivamente a probabilidade e o impacto das vulnerabilidades. Entre esses sistemas, o CVSS emergiu como um padrão internacionalmente reconhecido para descrever características-chave de vulnerabilidades e determinar os níveis de gravidade.

O CVSS avalia vulnerabilidades com base em vários critérios, utilizando métricas com opções predefinidas para cada métrica. Essas métricas contribuem para o cálculo de uma pontuação de gravidade variando de 0.0 a 10.0, sendo que 10.0 representa o nível de gravidade mais alto. Essas pontuações numéricas são então mapeadas para categorias qualitativas como “Nenhuma”, “Baixa”, “Média”, “Alta” e “Crítica”, refletindo a terminologia comumente utilizada em relatórios de vulnerabilidades.

As métricas empregadas na determinação da gravidade são categorizadas em três grupos:
Preencha os itens
1. Métricas Base
2. Métricas Temporais
3. Métricas Ambientais

Cada grupo fornece informações específicas sobre diferentes aspectos da vulnerabilidade, auxiliando na avaliação abrangente de sua gravidade e impacto potencial.

Você também pode gostar

Legisladores dos EUA pedem ao DOJ que pare de financiar cegamente ferramentas policiais ‘preditivas’

Microsoft Corrige 61 Vulnerabilidades, Incluindo Duas Zero-Days Ativamente Exploradas

Próxima Geração Healthcare Mirth Connect Sob Ataque – CISA Emite Alerta Urgente