jueves, 10 de abril de 2008

Measurable Security


Leyendo sobre SSA (una utilidad que permite chequear tu equipo), he encontrado este sitio web de Mitre, que no conocía: Measurable Security.

Es básicamente un pequeño compendio de proyectos útiles, ya sean de Mitre o no, que sirven para que la seguridad de una organización pueda ser medida más fácilmente, definiendo los conceptos que han de ser medidos, y facilitando la transmisión de sus resultados. Creo que todos los que llevamos algo de tiempo en el mundillo de la seguridad habremos visto alguno, y en mi opinión, hay que alabar todos sus esfuerzos.

Está por ejemplo el estándar CVE, que proporciona un identificador único a cada vulnerabilidad, y que se ha impuesto como una referencia. Prácticamente todos los fabricantes, herramientas de análisis y bases de datos de vulnerabilidades, utilizan este identificador, imprescindible para poder relacionar la descripción de una vulnerabilidad en una fuente con otra.

Otro de mis favoritos es el estándar CVSS, que permite valorar una vulnerabilidad, para saber si es crítica o no, en una escala de 0 a 10, atendiendo a tres tipos de criterios:
  • "Base" son características que se identifican en el momento de la vulnerabilidad y que no van a cambiar con el tiempo, por ejemplo, si es explotable de forma local o remota.
  • "Temporal" son características que sí pueden cambiar posteriormente, por ejemplo, si hay un exploit público para la vulnerabilidad.
  • "Environment" son características que dependen del entorno en el que evalúas la vulnerabilidad, por ejemplo, la criticidad del servidor que se esté analizando.
Esta es además otra iniciativa de FIRST, una de las agrupaciones de Centros de Respuesta a Emergencias, del que ya hemos hablado.

Puedo estar un rato muy largo hablando de estos proyectos, pero... ¡mejor míralos tú mismo!. Son, de verdad, de las mejores iniciativas que se puede encontrar :)

Slds!

1 comentario:

Zipp0 dijo...

Buenas,

muy interesantes los proyectos ;)

Salu2 amigo

ATT: Zipp0