San Francisco (USA) – Sette società che operano nel settore del software e della sicurezza, tra cui Cisco, Microsoft e Symantec, stanno promuovendo un modello standard con cui classificare le vulnerabilità che affliggono applicazioni e sistemi operativi.
Il sistema, denominato Common Vulnerability Scoring System (CVSS), è stato sviluppato per andare incontro alle esigenze di chi, all’interno delle aziende, deve gestire l’aggiornamento del software. I suoi promotori sostengono che il CVSS, se adottato da tutta l’industria del settore, permetterà agli amministratori di sistema di valutare a colpo d’occhio la priorità di ogni update e, in base a questa, decidere l’ordine con cui installare le patch. Una promessa non da poco se si pensa che un’azienda di medie o grandi dimensioni si ritrova spesso a gestire, ogni settimana, decine di update di sicurezza.
Oggi i produttori di software e le società specializzate nella sicurezza classificano la gravità delle falle con metri e parametri spesso molto differenti fra loro. CVSS fornisce invece una serie di criteri di valutazione standard con cui determinare la severità di un problema di sicurezza e l’urgenza con cui va applicata la relativa soluzione: tali criteri, in totale sette, tengono in considerazione fattori quali le modalità con cui un cracker può sfruttare la falla, il periodo di tempo passato dalla sua scoperta e l’esistenza o meno di un exploit. Ad ogni fattore viene assegnato un punteggio e, attraverso un’equazione matematica, calcolato un valore che sintetizza la gravità complessiva del problema.
Il nuovo sistema di classificazione delle vulnerabilità fa parte di un progetto patrocinato dallo US National Infrastructure Advisory Council, un ramo dello US Department of Homeland Security che gestisce l’infrastruttura di sicurezza dedicata a settori critici del mercato come quello finanziario, dell’energia e dei trasporti.
Microsoft potrebbe adottare il CVSS all’interno dei suoi bollettini già a partire dai prossimi mesi.
Ti potrebbe interessare
23 feb 2005