Zoom is een nieuw open source VISS-registratiesysteem voor kwetsbaarheden

Impactscoresysteem voor zoomkwetsbaarheidVISS, of kortweg VISS, heeft tot doel organisaties te helpen beveiligingsmaatregelen af ​​te dwingen op basis van een nieuwe benadering van kwetsbaarheidsscores, waarbij de daadwerkelijke, bewezen impact prioriteit krijgt boven het theoretische impactpotentieel op de beveiliging.

Het is het afgelopen jaar ontwikkeld en Sinds kort open source, Gezicht Het verschilt van het Common Vulnerability Scoring System (CVSS) doordat het zich niet concentreert op worstcasescenario's en probeert de impact van kwetsbaarheden objectiever te meten vanuit het perspectief van de verdediger. Om dit doel te bereiken biedt VISS een Een webgebaseerde gebruikersinterface om een ​​kwetsbaarheidsscore te berekenen op basis van verschillende parameters,Gecategoriseerd in platform, infrastructuur en datasets. Dit omvat 13 aspecten zoals impact op het platform, aantal getroffen huurders, data-impact, enz.

Met behulp van de Compensating Controls Scale zijn de VISS-scores aanpasbaar en bieden ze flexibiliteit voor milieu-eigenaren om de scores af te stemmen op hun individuele risicoprofiel en tolerantie.

Zoom heeft VISS geïmplementeerd als een bounty-evaluatietool binnen zijn Bug Bounty-programma met een opmerkelijke impact op de kwaliteit van de verstrekte rapporten, waardoor ze begrijpen waar ze tijd en moeite moeten besteden om maximale waarde te bereiken.

In plaats van beperkte kostbare middelen te richten op kwetsbaarheden waarvan het onwaarschijnlijk is dat ze een betekenisvolle impact zullen hebben, kan VISS u helpen uw omgeving proactief te beschermen en prioriteit te geven aan kwetsbaarheden die waarschijnlijk een impact zullen hebben op uw organisatie.

VISS wordt geleverd met de standaardconfiguratie Het is gekalibreerd om een ​​soepele verdeling van de scores te bieden, waarbij ongeveer 50% van de rapporten wordt geclassificeerd als matig risico, terwijl rapporten met laag en hoog risico elk ongeveer 25% voor hun rekening nemen. Deze configuratie kan worden aangepast op basis van gebruikersvereisten.

Het is vermeldenswaard dat de VISS de CVSS niet vervangt, maar eerder aanvult om een ​​aanvullend evaluatieperspectief te bieden.