漏洞评估 - 漏洞分类法?

信息安全 术语
2021-09-08 21:44:18

全部,

这里的第一个问题,所以请尽可能温柔:-)

我一直在寻找有关漏洞分类标准的任何著作或论文。不是从严重性/风险/影响的角度来看,而是进行分类,例如对所有“丢失的补丁”、“弱身份验证管理”、网络的出/入规则等进行分组。现在我知道很多人已经完成了这项工作,包括我自己。我有兴趣知道是否有人在更正式/标准的基础上做了一些事情?

很长的问题,所有的回答都热烈欢迎。

2个回答

MITRE 为此提供了一些系统。CVE 用于需要修补的东西;CWE 用于需要避免/修复的错误,CAPEC 描述对您的基础设施的攻击;用于配置需求的 CCE;CPE 用于适当的命名方案;和 CEE 用于事件交换信息。

http://makingsecuritymeasurable.mitre.org

您将找到与 MITRE 标准一起使用或性质相似的其他资源的链接。

OWASP 前十的分类正是这种东西。诚然,他们选择将范围大幅缩小到前十名的攻击类型。

其它你可能感兴趣的问题
上一篇我在哪里可以找到关于逆转网络恶意软件的好资源? 下一篇Biba、Bell-LaPadula 等模型的实际非政府用途