Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/2/2005
Hvor risikabel er en sårbarhed i et it-system? Det kommer der nu faste tal på takket være et fælles projekt i it-sikkerhedsbranchen. Men den nye standard savner et hjem.For øjeblikket anvender virksomhederne hver deres metode til at angive, hvor farligt et sikkerhedshul er. For eksempel bruger Microsoft en skala med fire trin: Lav, moderat, vigtig og alvorlig. Oracle anvender derimod en skala med tre trin. Og der er også forskel på, hvilke faktorer der indgår i bedømmelsen af, hvor alvorlig en sårbarhed er.
For at gøre det lettere at sammenligne advarsler om sårbarheder har National Infrastructure Advisory Council (NIAC) stået bag projektet Common Vulnerability Scoring System (CVSS). En række virksomheder har bidraget til det, blandt dem Ebay, Qualys og Internet Security Systems.
CVSS anvender matematiske formler til at udregne en sårbarheds risikovurdering. Blandt de elementer, der indgår i udregningerne, er angriberens placering: Skal han være logget ind på det sårbare system for at udnytte det, eller kan han blot afsende en kommando over internettet? Også faktorer som om der findes angrebsprogrammer, der udnytter sårbarheden, og hvor længe den har været kendt, spiller ind.
Gerhard Eschelbeck fra Qualys siger til IDG News Service, at han regner med, at CVSS bliver en fælles standard. Men han forventer, at de enkelte leverandører fortsat vil have deres egne risikovurderinger parallelt med CVSS-vurderingen.
Med CVSS kan sikkerhedsfirmaer og it-brugere prioritere, hvilke sikkerhedshuller de skal gøre mest ud af at få lukket. Men ifølge Gerhard Eschelbeck er systemet foreløbig hjemløst: Ingen organisation har endnu meldt sig til at køre systemet.