One Article Review
| Source |  Schneier on Security |
|---|---|
| Identifiant | 8379067 |
| Date de publication | 2023-09-05 11:03:00 (vue: 2023-09-05 11:06:34) |
| Titre | Incohérences dans le système de notation de la vulnérabilité commun (CVSS) Inconsistencies in the Common Vulnerability Scoring System (CVSS) |
| Texte | intéressant recherche :
Faire la lumière sur les incohérences de score CVSS: une étude centrée sur l'utilisateur sur l'évaluation des vulnérabilités de sécurité généralisées
Résumé: Le système de notation de vulnérabilité commun (CVSS) est une méthode populaire pour évaluer la gravité des vulnérabilités dans la gestion des vulnérabilité.Dans le processus d'évaluation, un score numérique entre 0 et 10 est calculé, 10 étant la valeur la plus sévère (critique).L'objectif de CVSS est de fournir des scores comparables entre différents évaluateurs.Cependant, les travaux antérieurs indiquent que les CVS pourraient ne pas atteindre cet objectif: si une vulnérabilité est évaluée par plusieurs analystes, leurs scores diffèrent souvent.Cela soulève les questions suivantes: les évaluations CVSS sont-elles cohérentes?Quels facteurs influencent les évaluations CVSS?Nous étudions systématiquement ces questions dans une enquête en ligne avec 196 utilisateurs de CVSS.Nous montrons que les mesures CVSS spécifiques sont évaluées de manière incohérente pour les types de vulnérabilité généralisés, y compris les 3 meilleures vulnérabilités de la & # 8221; 2022 CWE 25 Top 25 les plus dangereuses Logiciels Faiblesses & # 8221;liste.Dans une enquête de suivi avec 59 participants, nous avons constaté que pour les mêmes vulnérabilités de l'étude principale, 68% de ces utilisateurs ont donné des cotes de gravité différentes.Notre étude révèle que la plupart des évaluateurs sont conscients des aspects problématiques des CVS, mais ils considèrent toujours les CVS comme un outil utile pour l'évaluation de la vulnérabilité.Enfin, nous discutons des raisons possibles des évaluations incohérentes et faisons des recommandations sur l'amélioration de la cohérence du score ...
Interesting research: Shedding Light on CVSS Scoring Inconsistencies: A User-Centric Study on Evaluating Widespread Security Vulnerabilities Abstract: The Common Vulnerability Scoring System (CVSS) is a popular method for evaluating the severity of vulnerabilities in vulnerability management. In the evaluation process, a numeric score between 0 and 10 is calculated, 10 being the most severe (critical) value. The goal of CVSS is to provide comparable scores across different evaluators. However, previous works indicate that CVSS might not reach this goal: If a vulnerability is evaluated by several analysts, their scores often differ. This raises the following questions: Are CVSS evaluations consistent? Which factors influence CVSS assessments? We systematically investigate these questions in an online survey with 196 CVSS users. We show that specific CVSS metrics are inconsistently evaluated for widespread vulnerability types, including Top 3 vulnerabilities from the ”2022 CWE Top 25 Most Dangerous Software Weaknesses” list. In a follow-up survey with 59 participants, we found that for the same vulnerabilities from the main study, 68% of these users gave different severity ratings. Our study reveals that most evaluators are aware of the problematic aspects of CVSS, but they still see CVSS as a useful tool for vulnerability assessment. Finally, we discuss possible reasons for inconsistent evaluations and provide recommendations on improving the consistency of scoring... |
| Envoyé | Oui |
| Condensat | ”2022 196 abstract: across analysts are aspects assessment assessments aware being between but calculated centric common comparable consistency consistent critical cvss cwe dangerous differ different discuss evaluated evaluating evaluation evaluations evaluators factors finally follow following found from gave goal goal: however improving including inconsistencies inconsistencies: inconsistent inconsistently indicate influence interesting investigate light list main management method metrics might most not numeric often online participants popular possible previous problematic process provide questions questions: raises ratings reach reasons recommendations research: reveals same score scores scoring security see several severe severity shedding show software specific study survey system systematically these tool top types useful user users value vulnerabilities vulnerability weaknesses” which widespread works |
| Tags | Tool Vulnerability Studies |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.