Wsparcie procesu zarządzania płatnościami przy użyciu konwersji bazowej CVSS 2.0 do 3.x

Nowak, Maciej; Walkowski, Michał; Sujecki, Sławomir

doi:10.15199/59.2022.4.32

Artykuł - szczegóły

Tytuł artykułu

Wsparcie procesu zarządzania płatnościami przy użyciu konwersji bazowej CVSS 2.0 do 3.x

Autorzy

Nowak Maciej , Walkowski Michał , Sujecki Sławomir

Identyfikatory

DOI

10.15199/59.2022.4.32

Warianty tytułu

Support for the vulnerability management proces using conversion CVSS base score 2.0 to 3.x

Konferencja

Multikonferencja Krajowego Środowiska Tele- i Radiokomunikacyjnego (7-9.09.2022 ; Warszawa, Polska)

Języki publikacji

Abstrakty

Przedstawiamy koncepcję oraz analizę użycia algorytmów uczenia maszynowego do konwersji oceny bazowej standardu Common Vulnerability Scoring System (CVSS) z wersji 2.0 do 3.x. CVSS jest międzynarodowym branżowym standardem opisującym luki w oprogramowaniu oraz podającym mierzalne wskaźniki zagrożenia. Nie wszystkie publicznie znane podatności posiadają ocenę krytyczności w CVSS 3.x, co wymusza na organizacjach jednoczesne używanie dwóch wersji standardu. To stanowi problem w jednoznacznej priorytetyzacji podatności.

We present the concept and analysis of the use of machine learning algorithms to convert the base score of the Common Vulnerability Scoring System (CVSS) from version 2.0 to 3.x. CVSS is an international industry standard that describes software vulnerabilities and provides measurable risk indicators. Not all publicly known vulnerabilities have a criticality rating in CVSS 3.x, which forces organizations to use two versions of the standard simultaneously. This causes a problem in unambiguous prioritization of vulnerabilities.

Słowa kluczowe

bezpieczeństwo systemów IT standard CVSS uczenie maszynowe

security of IT systems CVSS standard machine learning

Wydawca

Wydawnictwo SIGMA-NOT

Czasopismo

Przegląd Telekomunikacyjny + Wiadomości Telekomunikacyjne

Rocznik

2022

Tom

nr 4

Strony

246--249

Opis fizyczny

Bibliogr. 17 poz., rys., tab.

Twórcy

autor

Nowak Maciej

maciej.nowak@pwr.edu.pl

Politechnika Wrocławska, Wrocław

autor

Walkowski Michał

michal.walkowski@pwr.edu.pl

Politechnika Wrocławska, Wrocław

autor

Sujecki Sławomir

slawomir.sujecki@pwr.edu.pl

Politechnika Wrocławska, Wrocław

Bibliografia

[1] Booth, Harold, Rike Doug,. Witte Gregory A. 2013. ,,The national vulnerability database (nvd): Overview". NVD.
[2] CIS, The CIS Security Metrics. 2010. Dostęp 25.04.2022.
[3] DSecure.me. 2021. VMC: Vulnerability Management Center. Dostęp 01.05.2022. https://github.com/DSecure.Me/vmc
[4] Eschelbeck, Gerhard. 2005. ,,The Laws of Vulnerabilities: Which security vulnerabilities really matter?" lnformation Security Technical Report, 10(4): 213-219.
[5] Fall Doudou, Kadobayashi Youki. 2019. „The.common vulnerability scoring system vs. rock star vulnerabilities: Why the discrepancy?". ICISSP, 405-411.
[6] FIRST. 2017. A Complete Guide to the Common Vulnerability Scoring System Version 2.0. Dostęp 01.05.2022. https ://www.first.orglcvss/v2/guide
[7] FIRST. 2017. Common Vulnerability Scoring System 3.0: Specification Document. Dostęp 01.05.2022. https://www.first.orglcvss/v3.0/specification-document
[8] FIRST. 2019.Common Vulnerability Scoring System v3.1: Specification Documen. Dostęp 01.05.2022. https://www.first.orglcvss/v3.1/specification-document
[9] F-Secure. 2021. Vulnerability Management Tool. Dostęp 28.04.2022.
[10] Gartner. 2019. A Guidance Framework for Developing and Implementing Vulnerability Management. Dostęp 01.05.2022. https://www.gartner.com/en/documents/3970669
[11] IBM IBM X-Force Threat Intelligence. Dostęp 28.05.2022.
[12] Klinedinst Dan J. 2015. ,,CVSS and the Internet of Things". Dostęp 01.05.2022. https://insights.sei.cmu.edulbloglcvss-and-the-intemet-ofthings/
[13] Lai, Yeu-Pong, Hsia Po-Lun. 200 7. ,,Using the vulnerability information of computer systems to improve the network security". Computer Communications, 30(9): 2032-2047.
[14] Nowak Maciej Roman, Zdunek Rafał, Edward Pliński, Świątek Piotr, Strzelecka Magdalena, Malinka Wieslaw, Plińska Stanisława. 2019. ,,Recognition of pharmacological bi-heterocyclic compounds byusing terahertz time domain spectroscopy and chemometrie," Sensor, 19(15): 3349.
[15] Nowak Maciej, Walkowski Michal, Sujecki Sławomir. 2021. ,,CVSS 2.0 extended vectordatabase". Dostęp 01.05.2022. https:/fgithub.com/mwalkowski/cvss-2-extended-vector-database
[16] Nowak Maciej, Walkowski Michał, Sujecki Sławomir. 2021. ,,Machine learning algorithms for conversion of cvss base score. from 2.0 to 3.x”. Springer International Conference on Computational Science, 255-269.
[17 ] Rieke Roland. 2006. ,,Modelling and analysing network security policies in a given vulnerability setting". Springer International Workshop on Critical Information Infrastructures Security, 67-78.

Uwagi

Opracowanie rekordu ze środków MEiN, umowa nr SONP/SP/546092/2022 w ramach programu "Społeczna odpowiedzialność nauki" - moduł: Popularyzacja nauki i promocja sportu (2022-2023).

Typ dokumentu

Bibliografia

Identyfikator YADDA

bwmeta1.element.baztech-5b4f5cb5-0d90-4822-afaf-477822916331