Upptäck VISS – en revolutionerande metod för bedömning av sårbarhetspåverkan

Vi är glada att kunna meddela att vårt innovativa projekt med öppen källkod, Vulnerability Impact Scoring System eller VISS, nu är allmänt tillgängligt i syfte att omvandla landskapet för sårbarhetsbedömning och incidenthantering. Projektet har utvecklats under det senaste året och syftar till att förbättra säkerhetsåtgärderna och skapa ett säkrare digitalt landskap genom vår banbrytande metod för sårbarhetsbedömning. VISS har ett användarvänligt, webbaserat gränssnitt och avancerade algoritmer som prioriterar faktisk påvisad påverkan framför teoretiskt möjlig säkerhetspåverkan.

Medan traditionella poängsystem som Common Vulnerability Scoring System (CVSS) fokuserar på angriparens perspektiv och värsta tänkbara scenarier har VISS en annan infallsvinkel. Det kompletterar CVSS genom att erbjuda ett unikt bedömningssystem som utökar möjligheten att hantera incidenter. Genom att objektivt mäta sårbarheters påverkan ur en försvarares perspektiv kan VISS basera utvärderingarna på ansvarsfullt påvisade säkerhetshål istället för teoretiska hot. 

Zoom har använt sig av det här innovativa poängsystemet för att bedöma hur belöningar ska betalas ut inom vårt belöningsprogram för fel sedan mars 2023. Programmet erbjuder en säker plats där säkerhetsforskare och produktanvändare kan upptäcka och informera Zoom om säkerhetsproblem utan att riskera juridiska påföljder. Initiativet omfattar ofta en hittelön – en så kallad belöning – och har lett till en märkbar förändring av de inskickade rapporterna, vilket innebär en betydande utveckling jämfört med tidigare metoder.

Vi tror att den tydliga trenden mot upptäckter som har större påverkan och allt mer avancerade exploateringar i flera steg återspeglar att forskare lägger mer tid på att utforska nyanserna hos potentiella sårbarheter.

Istället för att du lägger dyrbara, begränsade resurser på sårbarheter som innebär mindre risk för påtaglig påverkan kan VISS hjälpa dig att proaktivt skydda din miljö och prioritera de sårbarheter som utgör störst risk för organisationen. Eftersom många företag minskat personalstyrkan det senaste året är den här typen av prioriteringar avgörande för att veta vad man ska fokusera på för att få ut mesta möjliga värde.

VISS analyserar sårbarheter utifrån 13 påverkansaspekter som kategoriseras in i grupperna plattform, infrastruktur och data. Den resulterande poängsiffran – mellan 0 och 100 – återspeglar hur allvarlig påverkan är inom en viss miljö. VISS-poängen kan justeras med hjälp av måtten för kompensationskontroller och ger miljöernas ägare flexibilitet att anpassa poängen efter sina individuella riskprofiler och toleranser via en robust administrationsportal.

Ta en titt på de fullständiga VISS-specifikationerna om du vill fördjupa dig i detaljerna och testa Zooms implementering av VISS-kalkylatorn.

Zoom sponsrade live-hackingevenemanget HackerOne H1-4420 i London 2023. Under evenemanget genomgick hackarnas inskickade sårbarhetsrapporter en avancerad process för felutvärdering med både CVSS och VISS. Metoden möjliggjorde förbättrad resurstilldelning och ökat fokus på hanteringen av kritiska och mycket allvarliga sårbarheter och visade hur effektivt VISS är. 

Efter övergången till VISS har de inskickade sårbarhetsrapporterna gått från låg eller medelhög allvarsgrad till hög eller kritisk. Forskare ägnar mer tid och energi åt att utveckla exploateringar som är mindre teoretiska och mer inriktade på påvisad påverkan. Under perioden mars 2023 till 1 december 2023 såg Zoom en ökning på 28 % av antalet rapporter med kritisk allvarsgrad och en ökning på 12 % av rapporter med hög allvarsgrad. Framför allt skedde det en avsevärd minskning på 59 % av antalet rapporter med medelhög allvarsgrad jämfört med de föregående åtta månaderna innan VISS infördes i mars 2023. 

VISS uppdrag sträcker sig bortom Zoom och syftar till att förbättra incidenthantering och säkerhetsteam världen över. VISS bidrar till det löpande arbetet med att skapa ett säkert internet för alla genom att förse branschen med ett heltäckande och objektivt mått på sårbarhetspåverkan.
Vi välkomnar dig att utforska VISS, bidra till dess utveckling och vara med och revolutionera bedömningen av sårbarhetspåverkan. Låt oss skapa en säkrare digital framtid tillsammans. Ta en titt på datakatalogen med öppen källkod på https://github.com/zoom/viss.

Källkoden omfattas av GPL 3.0-licensen.