Методика расчёта уровней критичности уязвимостей в ПО

[Макс_Ч]

Здравствуйте! Как рассчитывается уровень критичности уязвимостей программ во вкладке "Управление программами" - "Уязвимости в программах"? В справке KSC 14 на сайте support.kaspersky.com, в руководстве по эксплуатации и на форуме данной информации не нашёл.

Есть ли какая-либо взаимосвязь между уровнем критичности в Касперском и шкалой CVSS? Или быть может предельный уровень ставят при наличии публичного эксплойта?

[Goddeimos13]

Приветствую!

[Макс_Ч]

Спасибо за оперативный ответ! В моём случае предельным уровнем обозначены уязвимости, для которых не найдены ни публичный эксплойт, ни соответствующая угроза (судя по информации на скриншоте), но при этом выставлен максимальный уровень критичности.

В этой связи остаётся открытым вопрос о конкретных граничных параметрах отнесения уязвимостей к тому или иному уровню критичности. Первое предположение было, что данный уровень привязан к CVSS или им подобным официальным количественным оценкам, но в данном случае CVSS всех шести уязвимостей показал, что четыре из них имеют оценку 5,5 из 10, а две - 7,8 из 10 (CVSS 3.1).

[Goddeimos13]

К чему такая конфиденциальность?)

Скиньте номер уязвимости KLA. Посмотрим вместе что там критичного.

Обещаю, эксплуатировать уязвимость не будем ?

[Макс_Ч]

В 20.02.2023 в 17:19, Goddeimos13 сказал:

К чему такая конфиденциальность?)

Скиньте номер уязвимости KLA. Посмотрим вместе что там критичного.

Обещаю, эксплуатировать уязвимость не будем ?

Прошу прощения за длительное молчание. Дело в том, что пока уязвимость не устранена, мы не можем выложить данные о ней. Опишу проблему по-другому: НКЦКИ опубликовал алгоритм принятия решения по обновлению ПО, в котором одним из критериев принятия решения является балл по CVSS 3.1 больше 7. В этой связи, если есть какая-то взаимосвязь между баллом по CVSS и уровнем критичности уязвимости в Касперском, такая информация бы помогла сэкономить огромное количество рабочего времени.

Данный критерий я выделил в приложенном скриншоте.

[Макс_Ч]

Ответ от техподдержки Касперского:

Уровень критичности рассчитывается из максимального значения CVSS из набора CVE, входящих в KLA.
Например, если в KLA есть 10 уязвимостей, среди которых 9 со значением "уровня критичности" "Средний"
и 1 уязвимость со значением "Предельный", то уровень критичности в KLA будет "Предельный".

2. Есть ли взаимосвязь между уровнем критичности и стандартом CVSS?
Да, уровень критичности зависит от значения CVSS.
Менее 4.0 - Средний,
более 8.9 - Предельный,
иначе - Высокий

Однако, от себя замечу, что на деле фактический уровень критичности зачастую не соответствует приведённым техподдержкой значениям шкалы CVSS. По этому поводу, к сожалению, прояснить ситуацию не удалось.