Ti presentiamo il VISS: un approccio rivoluzionario alla valutazione dell'impatto delle vulnerabilità

Per contribuire a dare forma al panorama della valutazione delle vulnerabilità e della risposta agli incidenti, siamo entusiasti di annunciare la disponibilità generale del nostro innovativo progetto open-source: il Vulnerability Impact Scoring System (Sistema di valutazione delle vulnerabilità comuni) o VISS. Questo progetto, sviluppato nel corso dell'ultimo anno, mira a migliorare le misure di sicurezza per un panorama digitale più sicuro grazie al nostro approccio innovativo al vulnerability scoring. Il VISS offre un'interfaccia utente di facile utilizzo e algoritmi avanzati che danno priorità all'impatto effettivo dimostrato rispetto alle possibilità teoriche dell'impatto sulla sicurezza.

Il VISS assume una posizione diversa dei sistemi di punteggio tradizionali, come il Common Vulnerability Scoring System (CVSS), che si concentrano sul punto di vista dell'utente malintenzionato e sugli scenari peggiori. Il VISS assume una posizione diversa. Esso Completa il CVSS offrendo un sistema di valutazione unico che migliora le capacità di risposta agli incidenti. Il VISS, misurando oggettivamente l'impatto delle vulnerabilità dal punto di vista di chi si difende dagli attacchi, può basare le sue valutazioni sullo sfruttamento dimostrato in modo responsabile piuttosto che su minacce teoriche. 

Zoom, da marzo 2023, utilizza questo innovativo sistema di valutazione per valutare le erogazioni delle ricompense nell'ambito del nostro programma di ricompense per i bug rilevati. Questo programma offre un rifugio sicuro ai ricercatori della sicurezza e agli utenti dei prodotti per scoprire e divulgare le vulnerabilità della sicurezza a Zoom, senza il timore di subire ritorsioni dal punto di vista legale. Questa iniziativa, spesso accompagnata da un premio per il ritrovamento, la ricompensa, ha visto una notevole trasformazione dei report inviati, segnando un'evoluzione significativa rispetto alle pratiche precedenti.

Riteniamo che questa tendenza evidente verso scoperte di maggiore impatto e sfruttamenti a diversi passaggi sempre più complessi rifletta il fatto che i ricercatori dedicano più tempo ad approfondire le sfumature delle potenziali vulnerabilità.

Anziché concentrare preziose risorse limitate su quelle vulnerabilità che hanno meno probabilità di avere un impatto tangibile, VISS può aiutarti a proteggere in modo proattivo il tuo ambiente e a dare priorità alle vulnerabilità che hanno maggiori probabilità di mettere a rischio la tua organizzazione. Con la riduzione di organico da parte di molte aziende nell'ultimo anno, la definizione delle priorità è fondamentale per capire dove concentrare tempo e sforzi per ottenere il massimo valore.

Il VISS analizza le vulnerabilità sulla base di 13 aspetti di impatto, classificati per piattaforma, infrastruttura e gruppi di dati. Il punteggio numerico risultante, da 0 a 100, riflette la gravità dell'impatto in un ambiente specifico. I punteggi del VISS, grazie alla metrica dei controlli compensativi, sono regolabili e offrono ai titolari degli ambienti la flessibilità di personalizzare i punteggi in base al proprio profilo di rischio individuale e alla propria tolleranza con un solido portale di amministrazione.

Per approfondire le specifiche e per provare l'implementazione di Zoom del calcolatore VISS, controlla la specifica completa del VISS.

Nel 2023, Zoom ha sponsorizzato HackerOne H1-4420 un evento di live-hacking a Londra , durante il quale le segnalazioni di vulnerabilità inviate dagli hacker sono state sottoposte a un processo avanzato di valutazione dei bug utilizzando sia il CVSS che il VISS. A dimostrazione dell'efficacia del VISS, questo metodo ha permesso di migliorare l'allocazione delle risorse e di concentrarsi maggiormente sulla risoluzione delle vulnerabilità critiche e di elevata gravità. 

Dopo il passaggio a VISS, le segnalazioni di vulnerabilità si sono spostate dai livelli di gravità bassi e medi a quelli elevati e critici. I ricercatori stanno investendo più tempo ed energie per far evolvere i loro exploit al di là della teoria e verso un impatto dimostrato. Nel periodo compreso tra marzo 2023 e il 1° dicembre 2023, Zoom ha osservato un aumento del 28% delle segnalazioni di gravità critica e del 12% di quelle di gravità elevata. In particolare, si è registrata una significativa riduzione del 57% delle segnalazioni di media gravità rispetto agli 8 mesi precedenti all'implementazione di VISS a marzo 2023. 

La mission del VISS si estende oltre Zoom, e ha l'obiettivo di contribuire a migliorare la risposta agli incidenti e aiutare i team di sicurezza a livello globale. Il VISS, fornendo al settore una misura completa e oggettiva dell'impatto delle vulnerabilità, contribuisce alla ricerca continua di un Internet sicuro per tutti.
Ti invitiamo a esplorare il VISS, a contribuire al suo sviluppo e a unirti a noi per rivoluzionare la valutazione dell'impatto della vulnerabilità. Costruiamo un futuro digitale più sicuro, insieme. Guarda il repository open source all'indirizzo https://github.com/zoom/viss.

Il codice sorgente è soggetto alla licenza GPL 3.0.