آپا دانشگاه ایلام

سیستم CVSS به دلیل عدم رسیدگی به تأثیر دنیای واقعی مورد انتقاد قرار گرفت

سیستم امتیازدهی رایج آسیب پذیری (CVSS) یک روش شناخته شده برای رتبه بندی شدت آسیب پذیری های امنیتی است. متخصصان و محققان امنیتی از آن برای ارزیابی سریع تأثیر بالقوه آسیب‌پذیری‌ها و اولویت‌بندی تلاش‌های اصلاحی آن‌ها استفاده می‌کنند. با این حال، یک مطالعه اخیر از سیستم CVSS به دلیل شکست آن در پرداختن به تاثیرات دنیای واقعی انتقاد کرده است.

این مطالعه که توسط محققان دانشگاه مریلند و ویرجینیا تک انجام شد، 20000 آسیب‌پذیری را در طول 15 سال تجزیه و تحلیل کرد و دریافت که سیستم CVSS به‌طور دقیق تأثیر واقعی آسیب‌پذیری‌ها را منعکس نمی‌کند. محققان استدلال می کنند که سیستم CVSS در درجه اول بر جزئیات فنی مانند قابلیت بهره برداری و پیچیدگی حمله تمرکز می کند، در حالی که عواملی مانند تأثیر تجاری و زمینه کاربر را نادیده می گیرد.

محققان خاطرنشان می کنند که تمرکز سیستم CVSS بر جزئیات فنی می تواند منجر به بیش از حد ارزیابی یا کمتر ارزیابی شدن آسیب پذیری ها از نظر تأثیر واقعی آنها شود. به عنوان مثال، یک آسیب‌پذیری با امتیاز CVSS پایین، اگر بر یک سیستم کسب‌وکار حیاتی تأثیر بگذارد یا داده‌های حساس را در معرض خطر قرار دهد، ممکن است همچنان تأثیرات قابل‌توجهی در دنیای واقعی داشته باشد.

این مطالعه همچنین نشان می‌دهد که سیستم CVSS نمی‌تواند عنصر انسانی امنیت را در نظر بگیرد. برای مثال، آسیب‌پذیری‌ای که مهاجم را ملزم به دسترسی فیزیکی به یک دستگاه می‌کند، ممکن است امتیاز CVSS پایینی دریافت کند، اما در واقعیت، اگر مهاجم بتواند به دستگاه دسترسی فیزیکی داشته باشد، ممکن است به راحتی از چنین آسیب‌پذیری سوء استفاده شود.

محققان پیشنهاد می‌کنند که برای ارزیابی دقیق تأثیر آسیب‌پذیری‌ها به رویکرد جامع‌تری نیاز است. آنها چارچوبی را پیشنهاد می‌کنند که هم عوامل فنی و هم عوامل غیرفنی، مانند تأثیر کسب‌وکار و زمینه کاربر را در نظر می‌گیرد و طیف وسیع‌تری از ذینفعان را در فرآیند ارزیابی شامل می‌شود.

در نتیجه، در حالی که سیستم CVSS ابزار مفیدی در جامعه امنیتی بوده است، این مطالعه نیاز به یک رویکرد جامع‌تر برای ارزیابی آسیب‌پذیری را نشان می‌دهد که تأثیر دنیای واقعی و عنصر انسانی امنیت را در نظر می‌گیرد. با گنجاندن طیف گسترده‌تری از ذینفعان و عوامل در فرآیند ارزیابی، می‌توانیم آسیب‌پذیری‌های امنیتی را با دقت بیشتری شناسایی و اولویت‌بندی کنیم و از دارایی‌های دیجیتال خود بهتر محافظت کنیم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بیست + یک =