ENISA tanulmány a sérülékenységi ökoszisztéma aktuális helyzetéről

 

Az ENISA átfogó vizsgálatot végzett a sérülékenységek kapcsán az elmúlt két évre vonatkozóan, amelynek elsődleges célja az volt, hogy a döntéshozók számára releváns információval szolgáljon a standardizálási törekvések támogatásául. A tanulmány több fontos megállapítást is tett, például kiderült, hogy lényeges különbség fedezhető fel a sérülékenységek kockázati besorolására szolgáló CVE (Common Vulnerabilities and Exposures) pontszám kiszámítására széles körben alkalmazott CVSS (Common Vulnerability Scoring System) 2-es, valamint 3-as verziója között. Meglepő módon a sérülékenységek által jelentett kockázat értékelésének három fő szempontja közül kettő ─ integritás és elérhetőség ─ tekintetében a két számítási rendszer között a korrelációs együttható 0,4-nél alacsonyabb volt. Egy másik fontos tapasztalat, hogy a sérülékenységek nyilvántartására szolgáló adatbázisok között is több ellentmondás tapasztalható, és még a mérvadóként elfogadott adatbázis esetében sincs garancia az adatok pontosságára.

(enisa.europa.eu)