FIRST представил CVSS версии 3.1

FIRST представил CVSS версии 3.1

FIRST представил CVSS версии 3.1

Форум групп безопасности и реагирования на инциденты (FIRST) на днях анонсировал версию 3.1 Единой системы определения величины уязвимостей (Common Vulnerability Scoring System, CVSS).

CVSS — общепринятый стандарт для определения степени опасности уязвимостей в программном обеспечении. CVSS обеспечивает экспертов специальным фреймворком для связи отличительных черт и степени воздействия проблем безопасности.

В 2015 году была выпущена версия CVSS v3, в которой FIRST реализовал несколько полезных нововведений. Среди них адаптация под современные киберугрозы, а также подсказки в отношении присвоения рейтинга.

Задача CVSS v3.1 — упростить и улучшить предыдущую версию, чтобы сообществу кибербезопасников было еще легче принять и воспользоваться стандартом.

Ранее специалисты по кибербезопасности в сфере здравоохранения и промышленных систем критиковали CVSS за способность генерировать вводящие в заблуждение рейтинги уязвимостей.

Чтобы исправить эту ситуацию, FIRST опубликовал для CVSS v3.1 документ, содержащий описание и характеристики, а также руководство пользователя и примеры. Чуть позже в этом году FIRST обещает сделать учебный курс, с помощью которого пользователи смогут углубиться в CVSS версии 3.1.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru