Комментарии 8
Мне кажется, тема различий между рисками угрозами и уязвимостями не раскрыта. Всегда считал, что риск - это потенциал ущерба активам, вызванный угрозой; угроза - это процесс, который увеличивает вероятность негативного события, такого как эксплуатация уязвимости; а уязвимость - это недостаток в конфигурации инфраструктуры или дефект в приложении, которые потенциально подвергают их угрозам. В этом свете OWASP Top 10, скорее, относится к угрозам, а не к уязвимостям, к коим из перечисленных в материале относится только CVE. К дефектам разрабатываемого ПО CVE не подходит, т.к. ответов на часть вопросов CVSS на этом этапе ещё нет, поэтому для них чаще применяется CWE. Разрабатывавшаяся CWSS, судя по всему, не взлетела. К CVSS накопилось довольно много критики из-за её сложности и одновременно недостаточного учёта эксплуатируемости угроз и контекста окружающих мер защиты, что вызвало разработку v4 и новых моделей оценки (EPSS, SSVC и др.) и онтологий (например, Vulntology).
Лучше пока не придумали. Выше давал ссылку на модель EPSS, там приведена статистика, что ресурсов компании обычно хватает на закрытие не более 5 … 20% уязвимостей. Понятно, что эта цель движущаяся - окно воздействия от обнаружения до массовой эксплуатации всё время сокращается благодаря соцсетям. Поэтому приходится расставлять приоритеты, прицеливаясь по наиболее значимым и эксплуатируемым.
На рисунке с треугольником на всех чёрных плашках первой буквой должна быть “C” (Common)
Системы классификации и оценки уязвимостей и угроз информационных систем: какие они бывают и зачем нужны