Пост Лукацкого

Год назад, когда FIRST выпустил новую версию протокола TLP, я задавался вопросом, перейдет ли НКЦКИ на него или нет? Теперь впору задавать тот же вопрос, но уже применительно к ФСТЭК. FIRST, снова он, анонсировал новую версию системы классификации и приоритизации уязвимостей CVSS, которая используется в том числе и в нашем БДУ, а также в методичках регулятора, который уделяет немало внимания вопросам оценки защищенности. К слову, НКЦКИ тоже использует CVSS при публикации своих бюллетеней по уязвимостям. Но вернемся к CVSS 4.0.

Новая система по задумке авторов должна стать более практичной и ориентированной на результат. В частности, CVSS 4.0 должна учитывать, насколько легко проэксплуатировать уязвимость на практике, какие условия для этого должны быть, требуется ли взаимодействие с пользователем или нет, можно ли автоматизировать эксплуатации уязвимости и т.п. Также 4-я версия, которую должны официально опубликовать в 4-м квартале этого года, стала больше учитывать не только ИТ-инфраструктуру, но и системы промышленной автоматизации (АСУ ТП). ФСТЭК, похоже, придется в БДУ учитывать помимо CVSS 2.0 и 3.0 еще и 4.0 (или отказываться от 2.0).

ЗЫ. Все-таки интересно, почему ФСТЭК продолжает использовать CVSS, но не хочет перейти на матрицу ATT&CK? CVE и CWE от MITRE ФСТЭК же использует в БДУ? Мне кажется, тогда было бы проще всем - и специалистам, и регуляторам.

👍16👏2

www.group-telegram.com/us/alukatsky.com/8178

7.25K viewsJun 14, 2023 at 04:40

Год назад, когда FIRST выпустил новую версию протокола TLP, я задавался вопросом, перейдет ли НКЦКИ на него или нет? Теперь впору задавать тот же вопрос, но уже применительно к ФСТЭК. FIRST, снова он, анонсировал новую версию системы классификации и приоритизации уязвимостей CVSS, которая используется в том числе и в нашем БДУ, а также в методичках регулятора, который уделяет немало внимания вопросам оценки защищенности. К слову, НКЦКИ тоже использует CVSS при публикации своих бюллетеней по уязвимостям. Но вернемся к CVSS 4.0.

Новая система по задумке авторов должна стать более практичной и ориентированной на результат. В частности, CVSS 4.0 должна учитывать, насколько легко проэксплуатировать уязвимость на практике, какие условия для этого должны быть, требуется ли взаимодействие с пользователем или нет, можно ли автоматизировать эксплуатации уязвимости и т.п. Также 4-я версия, которую должны официально опубликовать в 4-м квартале этого года, стала больше учитывать не только ИТ-инфраструктуру, но и системы промышленной автоматизации (АСУ ТП). ФСТЭК, похоже, придется в БДУ учитывать помимо CVSS 2.0 и 3.0 еще и 4.0 (или отказываться от 2.0).

ЗЫ. Все-таки интересно, почему ФСТЭК продолжает использовать CVSS, но не хочет перейти на матрицу ATT&CK? CVE и CWE от MITRE ФСТЭК же использует в БДУ? Мне кажется, тогда было бы проще всем - и специалистам, и регуляторам.

BY Пост Лукацкого