Sistema de puntuación de vulnerabilidad común

El Common Vulnerability Scoring System ( CVSS ) es un estándar industrial abierto y gratuito para evaluar la gravedad de las vulnerabilidades de seguridad del sistema informático . CVSS intenta asignar puntuaciones de gravedad a las vulnerabilidades, lo que permite a los respondedores priorizar las respuestas y los recursos según la amenaza. Las puntuaciones se calculan en función de una fórmula que depende de varias métricas esa facilidad aproximada de explotación y el impacto de la explotación. Las puntuaciones van de 0 a 10, siendo 10 la más grave. Si bien muchos utilizan solo el puntaje base CVSS para determinar la gravedad, también existen puntajes temporales y ambientales, para tener en cuenta la disponibilidad de mitigaciones y la extensión de los sistemas vulnerables dentro de una organización, respectivamente.

La versión actual de CVSS (CVSSv3.1) se lanzó en junio de 2019. ^[1]

Historia [ editar ]

La investigación realizada por el Consejo Asesor de Infraestructura Nacional (NIAC) en 2003/2004 condujo al lanzamiento de la versión 1 de CVSS (CVSSv1) en febrero de 2005, con el objetivo de estar "diseñado para proporcionar calificaciones de gravedad abiertas y universalmente estándar de vulnerabilidades de software". Este borrador inicial no había sido objeto de revisión por pares o revisión por otras organizaciones. En abril de 2005, NIAC seleccionó el Foro de equipos de seguridad y respuesta a incidentes ( FIRST ) para convertirse en el custodio de CVSS para el desarrollo futuro. ^[2]

Los comentarios de los proveedores que utilizan CVSSv1 en producción sugirieron que había "problemas importantes con el borrador inicial de CVSS". El trabajo en la versión 2 de CVSS (CVSSv2) comenzó en abril de 2005 y la especificación final se lanzó en junio de 2007. ^[3]

Más comentarios dieron como resultado que el trabajo comenzara en la versión 3 de CVSS ^[4] en 2012, y finalizara con el lanzamiento de CVSSv3.0 en junio de 2015. ^[5]

Terminología [ editar ]

La evaluación CVSS mide tres áreas de preocupación:

Métricas base para las cualidades intrínsecas a una vulnerabilidad
Métricas temporales para las características que evolucionan durante la vida útil de la vulnerabilidad
Métricas ambientales para vulnerabilidades que dependen de una implementación o entorno en particular

Se genera una puntuación numérica para cada uno de estos grupos de métricas. Una cadena de vectores (o simplemente "vector" en CVSSv2), representa los valores de todas las métricas como un bloque de texto.

Versión 2 [ editar ]

La documentación completa para CVSSv2 está disponible en FIRST. ^[6] A continuación se ofrece un resumen.

Métricas base [ editar ]

Vector de acceso [ editar ]

El vector de acceso (AV) muestra cómo se puede explotar una vulnerabilidad.

Valor	Descripción	Puntaje
Local (L)	El atacante debe tener acceso físico al sistema vulnerable (por ejemplo, ataques firewire ) o una cuenta local (por ejemplo, un ataque de escalada de privilegios ).	0.395
Red adyacente (A)	El atacante debe tener acceso al dominio de difusión o colisión del sistema vulnerable (por ejemplo , suplantación de ARP , ataques de Bluetooth).	0,646
Red (N)	La interfaz vulnerable funciona en la capa 3 o superior de la pila de red OSI. Estos tipos de vulnerabilidades a menudo se describen como explotables de forma remota (por ejemplo, un desbordamiento de búfer remoto en un servicio de red)	1.0

Complejidad de acceso [ editar ]

La métrica de complejidad de acceso (AC) describe qué tan fácil o difícil es explotar la vulnerabilidad descubierta.

Valor	Descripción	Puntaje
Alto (H)	Existen condiciones especializadas, como una condición de carrera con una ventana estrecha o un requisito de métodos de ingeniería social que las personas conocedoras notarían fácilmente.	0,35
Medio (M)	Existen algunos requisitos adicionales para el ataque, como un límite en el origen del ataque o un requisito para que el sistema vulnerable se ejecute con una configuración poco común y no predeterminada.	0,61
Bajo (L)	No existen condiciones especiales para explotar la vulnerabilidad, como cuando el sistema está disponible para un gran número de usuarios o la configuración vulnerable es ubicua.	0,71

Autenticación [ editar ]

La métrica de autenticación (Au) describe la cantidad de veces que un atacante debe autenticarse en un objetivo para explotarlo. No incluye (por ejemplo) autenticación a una red para poder acceder. Para las vulnerabilidades explotables localmente, este valor solo debe establecerse en Único o Múltiple si se requiere autenticación adicional después del acceso inicial.

Valor	Descripción	Puntaje
Múltiple (M)	La explotación de la vulnerabilidad requiere que el atacante se autentique dos o más veces, incluso si se utilizan las mismas credenciales cada vez.	0,45
Soltero (S)	El atacante debe autenticarse una vez para aprovechar la vulnerabilidad.	0,56
Ninguno (N)	No es necesario que el atacante se autentique.	0,704

Métricas de impacto [ editar ]

Confidencialidad [ editar ]

La métrica de confidencialidad (C) describe el impacto en la confidencialidad de los datos procesados por el sistema.

Valor	Descripción	Puntaje
Ninguno (N)	No hay impacto en la confidencialidad del sistema.	0.0
Parcial (P)	Existe una divulgación considerable de información, pero el alcance de la pérdida está restringido de manera que no todos los datos están disponibles.	0,275
Completo (C)	Hay una divulgación de información total, que proporciona acceso a todos los datos del sistema. Alternativamente, se obtiene acceso solo a cierta información restringida, pero la información revelada presenta un impacto directo y serio.	0,660

Integridad [ editar ]

La métrica Integridad (I) describe el impacto en la integridad del sistema explotado.

Valor	Descripción	Puntaje
Ninguno (N)	No hay impacto en la integridad del sistema.	0.0
Parcial (P)	Es posible modificar algunos datos o archivos del sistema, pero el alcance de la modificación es limitado.	0,275
Completo (C)	Hay una pérdida total de integridad; el atacante puede modificar cualquier archivo o información en el sistema de destino.	0,660

Disponibilidad [ editar ]

La métrica de disponibilidad (A) describe el impacto en la disponibilidad del sistema de destino. Los ataques que consumen ancho de banda de la red, ciclos del procesador, memoria o cualquier otro recurso afectan la disponibilidad de un sistema.

Valor	Descripción	Puntaje
Ninguno (N)	No hay impacto en la disponibilidad del sistema.	0.0
Parcial (P)	Se reduce el rendimiento o se pierde alguna funcionalidad.	0,275
Completo (C)	Hay una pérdida total de disponibilidad del recurso atacado.	0,660

Cálculos [ editar ]

Estas seis métricas se utilizan para calcular la explotabilidad y las subpuntuaciones de impacto de la vulnerabilidad. Estas subpuntuaciones se utilizan para calcular la puntuación base general.

${\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}$

${\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))$

$f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}$

${\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))$

Las métricas se concatenan para producir el vector CVSS para la vulnerabilidad.

Ejemplo [ editar ]

Una vulnerabilidad de desbordamiento del búfer afecta al software del servidor web que permite a un usuario remoto obtener el control parcial del sistema, incluida la capacidad de hacer que se apague:

Métrico	Valor	Descripción
Vector de acceso	La red	Se puede acceder a la vulnerabilidad desde cualquier red que pueda acceder al sistema de destino, por lo general, la totalidad de Internet.
Complejidad de acceso	Bajo	No hay requisitos especiales para el acceso.
Autenticación	Ninguno	No hay ningún requisito de autenticación para aprovechar la vulnerabilidad.
Confidencialidad	Parcial	El atacante puede leer algunos archivos y datos del sistema.
Integridad	Parcial	El atacante puede alterar algunos archivos y datos del sistema.
Disponibilidad	Completo	El atacante puede hacer que el sistema y el servicio web dejen de estar disponibles o no respondan apagando el sistema.

Esto daría una puntuación secundaria de explotabilidad de 10 y una puntuación secundaria de impacto de 8,5, lo que da una puntuación base general de 9,0. El vector para la puntuación base en este caso sería AV: N / AC: L / Au: N / C: P / I: P / A: C. El puntaje y el vector normalmente se presentan juntos para permitir al receptor comprender completamente la naturaleza de la vulnerabilidad y calcular su propio puntaje ambiental si es necesario.

Métricas temporales [ editar ]

El valor de las métricas temporales cambia durante la vida útil de la vulnerabilidad, a medida que se desarrollan, divulgan y automatizan los exploits y se ponen a disposición mitigaciones y correcciones.

Explotabilidad [ editar ]

La métrica de explotabilidad (E) describe el estado actual de las técnicas de explotación o el código de explotación automatizado.

Valor	Descripción	Puntaje
No probado (U)	No hay código de explotación disponible o la explotación es teórica	0,85
Prueba de concepto (P)	El código de explotación de prueba de concepto o los ataques de demostración están disponibles, pero no son prácticos para un uso generalizado. No es funcional contra todas las instancias de la vulnerabilidad.	0,9
Funcional (F)	El código de explotación funcional está disponible y funciona en la mayoría de situaciones en las que existe la vulnerabilidad.	0,95
Alto (H)	La vulnerabilidad puede aprovecharse mediante código automatizado, incluido el código móvil (como un gusano o un virus).	1.0
No definido (ND)	Esta es una señal para ignorar esta puntuación.	1.0

Nivel de remediación [ editar ]

El nivel de corrección (RL) de una vulnerabilidad permite que la puntuación temporal de una vulnerabilidad disminuya a medida que se ponen a disposición las mitigaciones y las correcciones oficiales.

Valor	Descripción	Puntaje
Arreglo oficial (O)	Hay disponible una solución de proveedor completa, ya sea un parche o una actualización.	0,87
Arreglo temporal (T)	Hay una solución / mitigación oficial pero temporal disponible del proveedor.	0,90
Solución alternativa (W)	Existe una solución o mitigación no oficial, que no es de un proveedor, disponible, tal vez desarrollada o sugerida por los usuarios del producto afectado u otro tercero.	0,95
No disponible (U)	No hay una solución disponible o es imposible aplicar una solución sugerida. Este es el estado inicial habitual del nivel de corrección cuando se identifica una vulnerabilidad.	1.0
No definido (ND)	Esta es una señal para ignorar esta puntuación.	1.0

Informe de confianza [ editar ]

El informe de confianza (RC) de una vulnerabilidad mide el nivel de confianza en la existencia de la vulnerabilidad y también la credibilidad de los detalles técnicos de la vulnerabilidad.

Valor	Descripción	Puntaje
Sin confirmar (UC)	Una sola fuente no confirmada o múltiples fuentes en conflicto. Vulnerabilidad que se rumorea.	0,9
Sin corroborar (UR)	Varias fuentes que están de acuerdo en términos generales: puede haber un nivel de incertidumbre restante sobre la vulnerabilidad.	0,95
Confirmado (C)	Reconocido y confirmado por el vendedor o fabricante del producto afectado.	1.0
No definido (ND)	Esta es una señal para ignorar esta puntuación.	1.0

Cálculos [ editar ]

Estas tres métricas se utilizan junto con la puntuación base que ya se ha calculado para producir la puntuación temporal para la vulnerabilidad con su vector asociado.

La fórmula utilizada para calcular la puntuación temporal es:

${\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})$

Ejemplo [ editar ]

Para continuar con el ejemplo anterior, si el proveedor fue informado por primera vez de la vulnerabilidad mediante la publicación de un código de prueba de concepto en una lista de correo, la puntuación temporal inicial se calcularía utilizando los valores que se muestran a continuación:

Métrico	Valor	Descripción
Explotabilidad	Prueba de concepto	Se proporciona un código de prueba de concepto no automatizado para mostrar la funcionalidad básica de explotación.
Nivel de remediación	Indisponible	El proveedor aún no ha tenido la oportunidad de proporcionar una mitigación o una solución.
Informe de confianza	Inconfirmado	Ha habido un solo informe de la vulnerabilidad

Esto daría una puntuación temporal de 7,3, con un vector temporal de E: P / RL: U / RC: UC (o un vector completo de AV: N / AC: L / Au: N / C: P / I: P / A: C / E: P / RL: U / RC: UC).

Si el proveedor luego confirma la vulnerabilidad, la puntuación aumenta a 8.1, con un vector temporal de E: P / RL: U / RC: C

Una solución temporal del proveedor reduciría la puntuación de nuevo a 7.3 (E: P / RL: T / RC: C), mientras que una solución oficial la reduciría aún más a 7.0 (E: P / RL: O / RC: C) . Como no es posible estar seguro de que todos los sistemas afectados han sido reparados o parcheados, la puntuación temporal no puede reducirse por debajo de un cierto nivel en función de las acciones del proveedor y puede aumentar si se desarrolla un exploit automatizado para la vulnerabilidad.

Métricas ambientales [ editar ]

Las métricas ambientales utilizan la puntuación temporal base y actual para evaluar la gravedad de una vulnerabilidad en el contexto de la forma en que se implementa el producto o software vulnerable. Esta medida se calcula subjetivamente, generalmente por las partes afectadas.

Potencial de daño colateral [ editar ]

La métrica del potencial de daño colateral (CDP) mide la pérdida potencial o el impacto sobre los activos físicos, como el equipo (y las vidas), o el impacto financiero sobre la organización afectada si se explota la vulnerabilidad.

Valor	Descripción	Puntaje
Ninguno (N)	Sin posibilidad de pérdida de propiedad, ingresos o productividad	0
Bajo (L)	Daños leves a los activos o pérdida menor de ingresos o productividad	0,1
Bajo-medio (LM)	Daño o pérdida moderados	0,3
Medio-alto (MH)	Daños o pérdidas importantes	0.4
Alto (H)	Daño o pérdida catastrófica	0,5
No definido (ND)	Esta es una señal para ignorar esta puntuación.	0

Distribución objetivo [ editar ]

La métrica de distribución objetivo (TD) mide la proporción de sistemas vulnerables en el medio ambiente.

Valor	Descripción	Puntaje
Ninguno (N)	No existen sistemas de destino, o solo existen en entornos de laboratorio	0
Bajo (L)	1 a 25% de los sistemas en riesgo	0,25
Medio (M)	26–75% de los sistemas en riesgo	0,75
Alto (H)	76-100% de los sistemas en riesgo	1.0
No definido (ND)	Esta es una señal para ignorar esta puntuación.	1.0

Modificador de subpuntaje de impacto [ editar ]

Tres métricas más evalúan los requisitos de seguridad específicos de confidencialidad (CR), integridad (IR) y disponibilidad (AR), lo que permite ajustar la puntuación ambiental de acuerdo con el entorno de los usuarios.

Valor	Descripción	Puntaje
Bajo (L)	Es probable que la pérdida de (confidencialidad / integridad / disponibilidad) solo tenga un efecto limitado en la organización.	0,5
Medio (M)	Es probable que la pérdida de (confidencialidad / integridad / disponibilidad) tenga un efecto grave en la organización.	1.0
Alto (H)	Es probable que la pérdida de (confidencialidad / integridad / disponibilidad) tenga un efecto catastrófico en la organización.	1,51
No definido (ND)	Esta es una señal para ignorar esta puntuación.	1.0

Cálculos [ editar ]

Las cinco métricas ambientales se utilizan junto con las métricas base y temporal evaluadas previamente para calcular la puntuación ambiental y producir el vector ambiental asociado.

${\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))$

${\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}$

${\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})$

Ejemplo [ editar ]

Si un banco utilizó el servidor web vulnerable mencionado anteriormente para proporcionar servicios bancarios en línea, y el proveedor dispuso de una solución temporal, entonces la puntuación ambiental podría evaluarse como:

Métrico	Valor	Descripción
Potencial de daño colateral	Altura media	Este valor dependería de la información a la que el atacante pueda acceder si se explota un sistema vulnerable. En este caso, asumo que hay cierta información bancaria personal disponible, por lo que hay un impacto significativo en la reputación del banco.
Distribución de destino	Elevado	Todos los servidores web del banco ejecutan el software vulnerable.
Requisito de confidencialidad	Elevado	Los clientes esperan que su información bancaria sea confidencial.
Requisito de integridad	Elevado	La información financiera y personal no debe modificarse sin autorización.
Requisito de disponibilidad	Bajo	Es probable que la falta de disponibilidad de los servicios bancarios en línea sea un inconveniente para los clientes, pero no una catástrofe.

Esto daría una puntuación ambiental de 8.2 y un vector ambiental de CDP: MH / TD: H / CR: H / IR: H / AR: L. Este puntaje está dentro del rango de 7.0-10.0 y, por lo tanto, constituye una vulnerabilidad crítica en el contexto del negocio del banco afectado.

Crítica de la versión 2 [ editar ]

Varios proveedores y organizaciones expresaron su descontento con CVSSv2.

Risk Based Security, que administra la base de datos de vulnerabilidades de código abierto, y la Open Security Foundation publicaron conjuntamente una carta pública a FIRST sobre las deficiencias y fallas de CVSSv2. ^[7] Los autores citaron una falta de granularidad en varias métricas que da como resultado vectores y puntuaciones CVSS que no distinguen adecuadamente las vulnerabilidades de diferentes tipos y perfiles de riesgo. También se observó que el sistema de puntuación CVSS requería demasiado conocimiento del impacto exacto de la vulnerabilidad.

Oracle introdujo el nuevo valor métrico de "Parcial +" para Confidencialidad, Integridad y Disponibilidad, para llenar los vacíos percibidos en la descripción entre Parcial y Completo en las especificaciones oficiales de CVSS. ^[8]

Versión 3 [ editar ]

Para abordar algunas de estas críticas, el desarrollo de la versión 3 de CVSS se inició en 2012. La especificación final se denominó CVSS v3.0 y se publicó en junio de 2015. Además de un documento de especificación, también se publicaron una guía del usuario y un documento de ejemplos. ^[9]

Se cambiaron, agregaron y eliminaron varias métricas. Las fórmulas numéricas se actualizaron para incorporar las nuevas métricas y, al mismo tiempo, conservar el rango de puntuación existente de 0 a 10. Se definieron calificaciones de severidad textual de Ninguna (0), Baja (0.1-3.9), Media (4.0-6.9), Alta (7.0-8.9) y Crítica (9.0-10.0) ^[10] , similares a las categorías definidas para NVD CVSS v2 que no formaban parte de ese estándar. ^[11]

Cambios de la versión 2 [ editar ]

Métricas base [ editar ]

En el vector Base, se agregaron las nuevas métricas Interacción del usuario (UI) y Privilegios requeridos (PR) para ayudar a distinguir las vulnerabilidades que requerían la interacción del usuario o privilegios de usuario o administrador para ser explotados. Anteriormente, estos conceptos formaban parte de la métrica del vector de acceso de CVSSv2. El vector base también vio la introducción de la nueva métrica Scope (S), que fue diseñada para dejar en claro qué vulnerabilidades pueden explotarse y luego usarse para atacar otras partes de un sistema o red. Estas nuevas métricas permiten que el vector base exprese más claramente el tipo de vulnerabilidad que se está evaluando.

Las métricas de Confidencialidad, Integridad y Disponibilidad (C, I, A) se actualizaron para tener puntuaciones que constan de Ninguno, Bajo o Alto, en lugar de Ninguno, Parcial, Completo de CVSSv2. Esto permite una mayor flexibilidad para determinar el impacto de una vulnerabilidad en las métricas de la CIA.

Access Complexity pasó a llamarse Attack Complexity (AC) para dejar en claro que los privilegios de acceso se trasladaron a una métrica separada. Esta métrica ahora describe cuán repetible puede ser la explotación de esta vulnerabilidad; La CA es alta si el atacante requiere una sincronización perfecta u otras circunstancias (además de la interacción del usuario, que también es una métrica separada) que no se pueden duplicar fácilmente en futuros intentos.

Attack Vector (AV) vio la inclusión de un nuevo valor métrico de Física (P), para describir las vulnerabilidades que requieren acceso físico al dispositivo o sistema para funcionar.

Métricas temporales [ editar ]

Las métricas temporales se mantuvieron esencialmente sin cambios desde CVSSv2.

Métricas ambientales [ editar ]

Las métricas ambientales de CVSSv2 se eliminaron por completo y se reemplazaron esencialmente con una segunda puntuación base, conocida como el vector modificado. La Base Modificada está destinada a reflejar las diferencias dentro de una organización o empresa en comparación con el mundo en su conjunto. Se agregaron nuevas métricas para capturar la importancia de la confidencialidad, la integridad y la disponibilidad en un entorno específico.

Crítica de la versión 3 [ editar ]

En una publicación de blog en septiembre de 2015, el Centro de Coordinación CERT discutió las limitaciones de CVSSv2 y CVSSv3.0 para su uso en la puntuación de vulnerabilidades en sistemas de tecnología emergente como Internet de las cosas. ^[12]

Versión 3.1 [ editar ]

Se lanzó una actualización menor de CVSS el 17 de junio de 2019. El objetivo de la versión 3.1 de CVSS era aclarar y mejorar el estándar CVSS versión 3.0 existente sin introducir nuevas métricas o valores de métricas, lo que permite la adopción sin fricciones del nuevo estándar por ambos puntajes proveedores y consumidores de puntuación por igual. La usabilidad fue una consideración primordial al realizar mejoras en el estándar CVSS. Varios cambios que se están realizando en CVSS v3.1 tienen como objetivo mejorar la claridad de los conceptos introducidos en CVSS v3.0 y, por lo tanto, mejorar la facilidad de uso general del estándar.

FIRST ha utilizado información de expertos en la materia de la industria para continuar mejorando y refinando CVSS para que sea cada vez más aplicable a las vulnerabilidades, productos y plataformas que se están desarrollando durante los últimos 15 años y más allá. El objetivo principal de CVSS es proporcionar una forma determinista y repetible de puntuar la gravedad de una vulnerabilidad en muchas circunscripciones diferentes, lo que permite a los consumidores de CVSS utilizar esta puntuación como entrada para una matriz de decisión más amplia de riesgo, remediación y mitigación específica para su entorno particular y tolerancia al riesgo.

Las actualizaciones de la especificación CVSS versión 3.1 incluyen la aclaración de las definiciones y la explicación de las métricas base existentes, como Vector de ataque, Privilegios requeridos, Alcance y Requisitos de seguridad. También se definió un nuevo método estándar para extender CVSS, llamado CVSS Extensions Framework, que permite a un proveedor de puntuación incluir métricas y grupos de métricas adicionales al tiempo que conserva las métricas oficiales de base, temporal y ambiental. Las métricas adicionales permiten que los sectores de la industria, como la privacidad, la seguridad, la automoción, la salud, etc., califiquen los factores que están fuera del estándar CVSS básico. Por último, el Glosario de términos de CVSS se ha ampliado y perfeccionado para cubrir todos los términos utilizados en la documentación de la versión 3.1 de CVSS.

Adopción [ editar ]

Se han adoptado versiones de CVSS como el método principal para cuantificar la gravedad de las vulnerabilidades por una amplia gama de organizaciones y empresas, que incluyen:

La base de datos nacional de vulnerabilidades (NVD) ^[13]
La base de datos de vulnerabilidades de código abierto (OSVDB) ^[14]
Centro de Coordinación CERT , ^[15] que en particular hace uso de métricas CVSSv2 Base, Temporal y Ambiental

Ver también [ editar ]

Enumeración de debilidades comunes (CWE)
Vulnerabilidades y exposiciones comunes (CVE)
Enumeración y clasificación de patrones de ataque común (CAPEC)

Referencias [ editar ]

^ "Sistema de puntuación de vulnerabilidad común, actualización de desarrollo V3" . First.org, Inc . Consultado el 13 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Archivo CVSS v1" . First.org, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Historia de CVSS v2" . First.org, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Anuncio del grupo de interés especial de CVSS para el desarrollo de CVSS v3" . First.org, Inc. Archivado desde el original el 17 de febrero de 2013 . Consultado el 2 de marzo de 2013 . CS1 maint: discouraged parameter (link)
^ "Sistema de puntuación de vulnerabilidad común, actualización de desarrollo V3" . First.org, Inc . Consultado el 13 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Documentación completa de CVSS v2" . First.org, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "CVSS - Deficiencias, fallas y fallas" (PDF) . Seguridad basada en riesgos. 2013-02-27 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Sistema de puntuación CVSS" . Oráculo. 2010-06-01 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "CVSS v3, .0 documento de especificaciones" . PRIMERA, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Sistema de puntuación de vulnerabilidad común v3.0: documento de especificación (escala de calificación de gravedad cualitativa)" . First.org . Consultado el 10 de enero de 2016 . CS1 maint: discouraged parameter (link)
^ "NVD Common Vulnerability Scoring System Support v2" . Base de datos nacional de vulnerabilidad . Instituto Nacional de Estándares y Tecnología . Consultado el 2 de marzo de 2013 . CS1 maint: discouraged parameter (link)
^ "CVSS e Internet de las cosas" . Centro de Coordinación CERT. 2015-09-02 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)
^ "Inicio de base de datos de vulnerabilidad nacional" . Nvd.nist.gov . Consultado el 16 de abril de 2013 . CS1 maint: discouraged parameter (link)
^ "La base de datos de vulnerabilidad de código abierto" . OSVDB . Consultado el 16 de abril de 2013 . CS1 maint: discouraged parameter (link)
^ "Gravedad de la vulnerabilidad mediante CVSS" . Centro de Coordinación CERT. 2012-04-12 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

Enlaces externos [ editar ]

El sitio de CVSS del Foro de equipos de seguridad y respuesta a incidentes (FIRST)
Sitio CVSS de la base de datos nacional de vulnerabilidades (NVD)
Calculadora Common Vulnerability Scoring System v2

[cvss3.1-1] "Sistema de puntuación de vulnerabilidad común, actualización de desarrollo V3" . First.org, Inc . Consultado el 13 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[cvssv1-2] "Archivo CVSS v1" . First.org, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[cvssv2-3] "Historia de CVSS v2" . First.org, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[cvss3-4] "Anuncio del grupo de interés especial de CVSS para el desarrollo de CVSS v3" . First.org, Inc. Archivado desde el original el 17 de febrero de 2013 . Consultado el 2 de marzo de 2013 . CS1 maint: discouraged parameter (link)

[cvss3.0-5] "Sistema de puntuación de vulnerabilidad común, actualización de desarrollo V3" . First.org, Inc . Consultado el 13 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[cvssv2_specs-6] "Documentación completa de CVSS v2" . First.org, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[rbs_failures_cvssv2-7] "CVSS - Deficiencias, fallas y fallas" (PDF) . Seguridad basada en riesgos. 2013-02-27 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[oracle_partialplus-8] "Sistema de puntuación CVSS" . Oráculo. 2010-06-01 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[cvssv3.0_specs-9] "CVSS v3, .0 documento de especificaciones" . PRIMERA, Inc . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[cvss3.0_severities-10] "Sistema de puntuación de vulnerabilidad común v3.0: documento de especificación (escala de calificación de gravedad cualitativa)" . First.org . Consultado el 10 de enero de 2016 . CS1 maint: discouraged parameter (link)

[nist_ranges-11] "NVD Common Vulnerability Scoring System Support v2" . Base de datos nacional de vulnerabilidad . Instituto Nacional de Estándares y Tecnología . Consultado el 2 de marzo de 2013 . CS1 maint: discouraged parameter (link)

[cert_cvss_iot-12] "CVSS e Internet de las cosas" . Centro de Coordinación CERT. 2015-09-02 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[nvdb_main-13] "Inicio de base de datos de vulnerabilidad nacional" . Nvd.nist.gov . Consultado el 16 de abril de 2013 . CS1 maint: discouraged parameter (link)

[osvdb_main-14] "La base de datos de vulnerabilidad de código abierto" . OSVDB . Consultado el 16 de abril de 2013 . CS1 maint: discouraged parameter (link)

[cert_uses_cvss-15] "Gravedad de la vulnerabilidad mediante CVSS" . Centro de Coordinación CERT. 2012-04-12 . Consultado el 15 de noviembre de 2015 . CS1 maint: discouraged parameter (link)

[1]