5 minutos de leitura
Atualizada em December 14, 2023
Publicado em December 14, 2023
Para ajudar a remodelar a avaliação da vulnerabilidade e os cenários de resposta a incidentes, estamos empolgados em anunciar a disponibilidade geral do nosso projeto inovador com código aberto:o Vulnerability Impact Scoring System [Sistema de pontuação de impacto de vulnerabilidade] ou VISS. Desenvolvido no último ano, esse projeto tem o objetivo de melhorar as medidas de segurança para um cenário digital mais seguro, usando nossa abordagem inovadora, a pontuação de vulnerabilidade. O VISS oferece uma IU amigável baseada na web e algoritmos avançados que priorizam o impacto real demonstrado, no lugar das possibilidade teóricas de impacto na segurança.
Enquanto os sistemas de pontuação tradicionais, como o Common Vulnerability Scoring System (CVSS), estão focados no ponto de vista do invasor e nos piores cenários, o VISS adota uma postura diferente. Ele complementa o CVSS, oferecendo um sistema de avaliação exclusivo que melhora os recursos de resposta a incidentes. Ao medir objetivamente o impacto das vulnerabilidades a partir da perspectiva da defesa, o VISS pode basear suas avaliações no ataque que foi demonstrado de forma responsável, em vez de se basear em ameaças teóricas.
Desde março de 2023, o Zoom vem empregando esse sistema de pontuação inovador para avaliar os pagamentos de prêmios do nosso Programa de prêmio de bug. Esse programa oferece um reduto seguro para que os pesquisadores de segurança e usuários do produto descubram e divulguem vulnerabilidades de segurança para o Zoom, sem a preocupação de sofrer represálias legais. Frequentemente acompanhada de uma taxa de descoberta, chamada de prêmio, essa iniciativa observou uma transformação marcante nos relatórios enviados, marcando uma evolução significativa em relação às praticas anteriores.
Acreditamos que essa tendência perceptível de descobertas de maior impacto e ataques de várias etapas cada vez mais complexos, é um reflexo de como os pesquisadores estão dedicando mais tempo para se aprofundar nas nuances das possíveis vulnerabilidades.
Em vez de concentrar recursos preciosos e limitados em vulnerabilidades com menor probabilidade de causar impacto tangível, o VISS pode ajudá-lo a proteger proativamente o seu ambiente e a priorizar as vulnerabilidades com maiores chances de afetar a sua organização. Com muitas empresas reduzindo o número de funcionários no ano passado, essa priorização é fundamental para ajudar você a entender onde focar seu tempo e esforço para extrair o máximo de valor.
O VISS analisa as vulnerabilidade, de acordo com 13 aspectos de impacto, categorizados nos grupos plataforma, infraestrutura e dados. A pontuação numérica resultante, que vai de 0 a 100, reflete a gravidade de impacto em um ambiente específico. Usando a métrica Controles de Compensação, as pontuações do VISS são ajustáveis e fornecem flexibilidade aos proprietários do ambiente para personalizar as pontuações de acordo com seu perfil de risco e tolerância individuais, em um portal de administração robusto.
Para saber mais detalhes e experimentar a implementação no Zoom da calculadora VISS, confira a especificação completa do VISS.
O Zoom patrocinou o evento de hacking ao vivo HackerOne H1-4420, em Londres, em 2023, e, durante esse evento, os envios de relatórios de vulnerabilidade dos hackers passaram por um processo avançado de avaliação de bugs usando o CVSS e o VISS. Demonstrando a eficácia do VISS, esse método facilitou a melhora de alocação de recursos e uma concentração aumentada na abordagem das vulnerabilidades de Crítica e Alta severidade.
Após mudar para o VISS, os envios de relatório de vulnerabilidade deixaram de ter gravidade Baixa e Média e passaram a ser de gravidade Alta e Crítica. Os pesquisadores estão investindo mais tempo e energia para evoluir seus ataques além do teórico e estão demonstrando mais diretamente o impacto. No período entre março de 2023 e 1º de dezembro de 2023, o Zoom observou um aumento de 28% nos relatórios de gravidade Crítica e 12% nos de gravidade Alta. Curiosamente, houve uma redução significativa de 57% nos envios de gravidade média em comparação com os oito meses anteriores à implementação do VISS, em março de 2023.
A missão do VISS vai além do Zoom, tendo o objetivo de ajudar a aprimorar a resposta a incidentes, além de melhorar as equipes de segurança de todo o mundo. Fornecendo uma mensuração abrangente e objetiva ao segmento do impacto da vulnerabilidade, o VISS contribui para a busca contínua de uma internet segura para todos.
Convidamos você a descobrir o VISS, contribuir para seu desenvolvimento e juntar-se a nós para revolucionar a pontuação do impacto da vulnerabilidade. Juntos, vamos construir um futuro digital mais seguro. Confira o repositório de código aberto em https://github.com/zoom/viss.
O código fonte está sujeito à licença GPL 3.0.
3 minutos de leitura
Ferramentas de gestão da conformidade, como o Zoom Compliance Manager, podem ajudá-lo no cenário complexo das comunicações. Veja como funciona.
3 minutos de leitura
O Programa de prêmio de bug do Zoom incentiva a descoberta e divulgação responsável de vulnerabilidades de segurança. Veja os destaques do ano passado.
2 minutos de leitura
Agora, o Zoom está registrado no Programa de Avaliação e Gerenciamento de Segurança de Sistemas de Informação (ISMAP). Veja o que isso significa para os nossos clientes.
