Перейти к содержанию
100043, г.Ташкент, Чиланзар Е, 9.+998 71 2031999info@starlab.uzПон – Пят 09:00 – 18:00
Страница Facebook открывается в новом окнеСтраница Instagram открывается в новом окнеСтраница YouTube открывается в новом окнеСтраница Telegram открывается в новом окне
FAQ
Войти
Лицензионные программы
Лицензионные программы, антивирусы в Ташкенте и Узбекистане
Лицензионные программы
  • Главная
  • Блог
  • Программы
    • Антивирусы ESET NOD32 для дома
    • Антивирусы ESET NOD32 для Бизнеса
    • PRO32
    • Avast
    • Dr.Web
    • Kaspersky
    • Bitdefender
    • Продукты Microsoft
    • Онлайн кинотеатр IVI
    • Другие программы
  • Оборудование
    • Jabra
  • Скачать
    • Скачать база антивируса ESET NOD32
    • Kaspersky
  • О нас
  • Контакты
 0

В корзинуОформить

  • Нет товаров в корзине.

Итого: 0 UZS

В корзинуОформить

Поиск:
  • Главная
  • Блог
  • Программы
    • Антивирусы ESET NOD32 для дома
    • Антивирусы ESET NOD32 для Бизнеса
    • PRO32
    • Avast
    • Dr.Web
    • Kaspersky
    • Bitdefender
    • Продукты Microsoft
    • Онлайн кинотеатр IVI
    • Другие программы
  • Оборудование
    • Jabra
  • Скачать
    • Скачать база антивируса ESET NOD32
    • Kaspersky
  • О нас
  • Контакты

CVSS назвали неэффективной для оценки уязвимостей АСУ ТП

CVSS назвали неэффективной для оценки уязвимостей АСУ ТП

Из-за низкой оценки CVSS пользователи могут проигнорировать опасные уязвимости.

Общая система оценки уязвимости (Common Vulnerability Scoring System, CVSS) широко используется для классификации уязвимостей по шкале критичности, однако в случае с промышленными системами автоматизации оценки нередко не соответствуют реальной степени опасности проблемы, что может повлечь за собой негативные последствия для предприятий, особенно если они определяют приоритетность патчей исключительно на основании баллов CVSS. Общая система оценки уязвимостей (CVSS) – открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях. Применение CVSS для оценки уязвимостей закреплено в различных стандартах, в том числе в PCI DSS. Шкала представляет собой число (оценку) в интервале от 0 до 10, отражающее степень опасности — низкая (0,1 — 3,9), средняя (4 — 6,9), высокая (7 — 8,9) и критическая (9 — 10). Для оценки уязвимости текущая версия CVSS v3 использует три группы метрик: базовые метрики (характеристики уязвимости, которые не зависят от среды и не меняются со временем), временные метрики (характеристики уязвимости, меняющиеся со временем), контекстные метрики (характеристики уязвимости, зависящие от среды).

В рамках конференции ICS Cyber Security Conference, состоявшейся в минувшем месяце в Атланте, технический директор компании Radiflow Илан Барда (Ilan Barda) указал, что метрика CVSS изначально была разработана для IT-систем и не во всех случаях точно характеризует уязвимости АСУ ТП. С его мнением согласны и другие эксперты.

В частности, в беседе с журналистами SecurityWeek основатель компании Nozomi Networks Морено Карулльо (Moreno Carullo) отметил, что классификация CVSS должна расцениваться только как руководство.

Как полагает специалист Radiflow Йехонатан Кфир (Yehonatan Kfir), в случае АСУ ТП более подходящей будет контекстная метрика, которая чаще всего игнорируется. В то время как для IT-систем более важна конфиденциальность, в промышленных системах наиважнейшим фактором выступает доступность, поскольку любой сбой в производственном процессе может повлечь за собой серьезные физические и финансовые последствия.

Специалисты привели несколько случаев, когда уязвимость, получившая низкую оценку по шкале CVSS, представляла серьезную угрозу для промышленных сред. В частности, уязвимость CVE-2015-5374, эксплуатируемая в атаках с использованием вредоносного ПО Industroyer/Crashoverride для вывода из строя реле Siemens SIPROTEC, была оценена всего в 7,8 балла.

«Поскольку устройства SIPROTEC играют важную роль в средах производства электроэнергии, оценка в 7,8 балла не полностью отражает весь риск», — пояснил специалист CyberX Дэвид Этч (David Atch). По его словам, вводящая в заблуждение классификация CVSS может негативно сказаться на промышленных предприятиях, поскольку из-за низкой оценки пользователи могут проигнорировать опасные уязвимости.

Как полагают специалисты, система CVSS может применяться для оценки уязвимостей АСУ ТП при условии соответствующей адаптации шкалы. Их рекомендации включают фокусирование на контекстных метриках и оценке влияния уязвимости в контексте всей среды, а не только на определенное устройство или ПО, и использование CVSS наряду с другими методами оценки риска проблем.

Поделиться этой записью
Поделиться в FacebookПоделиться в Facebook ТвитнутьПоделиться в Twitter Pin itПоделиться в Pinterest Поделиться в LinkedInПоделиться в LinkedIn Поделиться в WhatsAppПоделиться в WhatsApp

Навигация по записям

ПредыдущаяПредыдущая запись:Патч для Spectre V2 вызывает проблемы с производительностью на Linux-системахСледующаяСледующая запись:Positive Technologies и IPC2U выпустили совместное решение для защиты промышленных предприятий

Похожие новости

Мошенничество — новый виток
16.05.2023
Интернет-мошенничество - как его избежать
Как мошенники используют искусственный интеллект и нейронные сети для выманивания денег у простых людей. И как защитить себя от их тактики
24.03.2023
Пиратский антивирус статья на uzsoft.uz
Стоит ли использовать пиратский антивирус?
14.02.2023
ТОП 5 правил как избежать вирусного заражения ваших устройств
ТОП 5 правил как избежать вирусного заражения ваших устройств
09.01.2023
ESET объявляет о новом партнерстве с дистрибьютором ADEON International
ESET объявляет о новом партнерстве с дистрибьютором ADEON International
21.11.2022
Взлом капсульного отеля
Взлом капсульного отеля
30.08.2022
Лицензионные программы

Copyright 2016 - 2022 © Theme Created By Starlab All Rights Reserved.
ООО Starlab, Адрес: 100043, г.Ташкент, Чиланзар Е, дом 9. ИНН: 304 426 154, ОКЭД: 58210,
Р/с: 20208000300691615001, АКБ "ТУРОН" банк Чиланзарский ф-л. МФО: 01084.
Принимаем: Uzcard HUMO VISA & MasterCard МИР