Zoom Open-sources Nouveau système de notation de l’impact des vulnérabilités VISS

Système de notation de l’impact des vulnérabilités Zoomou VISS en abrégé, vise à aider les organisations à appliquer des mesures de sécurité basées sur une nouvelle approche de notation des vulnérabilités qui donne la priorité à l’impact réel démontré par rapport aux possibilités d’impact théorique sur la sécurité.

Développé au cours de la dernière année et récemment open source, TOUT diffère du Common Vulnerability Scoring System (CVSS) en ne se concentrant pas sur les pires scénarios et en tentant de mesurer plus objectivement l’impact des vulnérabilités du point de vue d’un défenseur. Dans ce but, VISS propose un Interface utilisateur Web pour calculer le score de vulnérabilité en fonction de plusieurs paramètres, classés en groupes de plate-forme, d’infrastructure et de données. Ceux-ci incluent 13 aspects tels que l’impact sur la plateforme, le nombre de locataires concernés, l’impact sur les données, etc.

Grâce à la métrique Compensating Controls, les scores VISS sont ajustables et offrent aux propriétaires d’environnement la flexibilité d’adapter les scores en fonction de leur profil de risque et de leur tolérance individuels.

Zoom a mis en œuvre VISS en tant qu’outil pour évaluer les récompenses au sein de son programme Bug Bounty avec un impact notable sur la qualité des rapports soumis, l’aidant ainsi à comprendre où concentrer son temps et ses efforts pour une valeur maximale.

Au lieu de concentrer de précieuses ressources limitées sur des vulnérabilités moins susceptibles d’avoir un impact tangible, VISS peut vous aider à protéger votre environnement de manière proactive et à prioriser les vulnérabilités les plus susceptibles d’avoir un impact sur votre organisation.

VISS est livré avec une configuration par défaut calibré pour fournir une répartition fluide des scores où environ 50 % des rapports sont classés comme de gravité moyenne, tandis que les rapports de gravité faible et élevée représentent environ 25 % chacun. Cette configuration peut être adaptée en fonction des besoins des utilisateurs.

Il convient de noter que VISS ne remplace pas CVSS, mais le complète plutôt pour fournir un point de vue d’évaluation supplémentaire.