FIRST представил CVSS версии 3.1

FIRST представил CVSS версии 3.1

Форум групп безопасности и реагирования на инциденты (FIRST) на днях анонсировал версию 3.1 Единой системы определения величины уязвимостей (Common Vulnerability Scoring System, CVSS).

CVSS — общепринятый стандарт для определения степени опасности уязвимостей в программном обеспечении. CVSS обеспечивает экспертов специальным фреймворком для связи отличительных черт и степени воздействия проблем безопасности.

В 2015 году была выпущена версия CVSS v3, в которой FIRST реализовал несколько полезных нововведений. Среди них адаптация под современные киберугрозы, а также подсказки в отношении присвоения рейтинга.

Задача CVSS v3.1 — упростить и улучшить предыдущую версию, чтобы сообществу кибербезопасников было еще легче принять и воспользоваться стандартом.

Ранее специалисты по кибербезопасности в сфере здравоохранения и промышленных систем критиковали CVSS за способность генерировать вводящие в заблуждение рейтинги уязвимостей.

Чтобы исправить эту ситуацию, FIRST опубликовал для CVSS v3.1 документ, содержащий описание и характеристики, а также руководство пользователя и примеры. Чуть позже в этом году FIRST обещает сделать учебный курс, с помощью которого пользователи смогут углубиться в CVSS версии 3.1.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

GitHub улучшил систему двухфакторной аутентификации с помощью WebAuthn

GitHub отныне официально поддерживает веб-стандарт WebAuthn (Web Authentication). По замыслу разработчиков, новые меры помогут усовершенствовать процесс аутентификации и лучше защитят учетные записи пользователей платформы.

До этого GitHub уже поддерживал двухфакторную аутентификацию (2FA), в процессе которой пользователю приходило SMS-сообщение с кодом. Это не самая безопасная практика, так как киберпространство уже знает множество случаев, когда злоумышленники перехватывали SMS со вторым фактором.

Помимо этого, на платформе GitHub можно было использовать приложения для одноразовых кодов и ключи безопасности U2F (Universal Second Factor). При этом U2F — уже довольно старый стандарт.

Внедрение поддержки WebAuthn поможет GitHub поддерживать работу физических ключей безопасности вкупе с браузерами Firefox и Chrome в системах Windows, macOS, Linux и Android. Пользователи iOS смогут воспользоваться браузером Brave и ключом YubiKey 5Ci.

Более того, если вы используете площадку GitHub, у вас теперь есть возможность задействовать ноутбук или телефон в качестве ключа безопасности — с помощью Windows Hello, Touch ID на macOS или сканера отпечатка пальца на Android..

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru