Zoom漏洞影响评分系统(VISS)概述
Zoom漏洞影响评分系统(Vulnerability Impact Scoring System, VISS)旨在帮助组织基于一种新的漏洞评分方法实施安全措施,该方法优先考虑实际影响而非理论上的安全影响可能性。
VISS的核心理念
VISS与常见的漏洞评分系统(CVSS)不同,它不关注最坏情况,而是从防御者的角度更客观地衡量漏洞的实际影响。VISS提供了一个基于Web的用户界面,允许用户根据多个参数计算漏洞评分,这些参数分为平台、基础设施和数据组,涵盖13个方面,如对平台的影响、受影响的租户数量、数据影响等。
VISS的主要特点
- 可调整的评分:通过使用“补偿控制”指标,VISS评分具有可调整性,允许环境所有者根据其个人风险概况和容忍度定制评分。
- 默认配置:VISS附带一个默认配置,旨在提供平滑的评分分布,其中约50%的报告被归类为中等严重性,而低和高严重性报告各占约25%。此配置可根据用户需求进行调整。
- 与CVSS的互补性:VISS并不取代CVSS,而是提供了一个额外的评估视角,以补充现有系统。
VISS的应用
Zoom已将VISS作为其漏洞悬赏计划中的评估工具,显著提高了提交报告的质量,并帮助公司了解应集中时间和精力以获得最大价值的地方。VISS有助于主动保护环境,并优先处理最有可能对组织产生影响的漏洞。
开源与未来发展
VISS在过去一年中开发,并已于最近开源。其代码和用户指南可在GitHub上获取,这为更广泛的社区提供了使用和进一步开发的机会。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。