User Tools

Site Tools


teaching_activities:cvss

http://disi.unitn.it

Training day on the usage of the Common Vulnerability Scoring System

The Security Group of the University of Trento, with the support of Oracle Community for Security, Clusit, and Aused holds a training day for security professionals on the Common Vulnerability Scoring System (CVSS), the worldwide standard for software vulnerability scoring.

Training day – executive summary (English)

The training is free-of-charge and capped at 35 participants, and will be hold at Oracle’s offices on the 12th of Semptember 2016, in Milan, Cinisello Balsamo, Italy.

The training day includes:

  • CVSS v3 introduction
  • Description of metrics and differences with v2 definitions
  • Discussion on metric usage and interpretation, with examples
  • Demo scoring exercise with interaction with the lecturer
  • Individual scoring exercise
  • Discussion and review of individual scores

The course will be held in Italian, but all the material will be in English.

What follows is general introduction to the standard and a few details to subscribe to this event (in Italian).

For information on replicating this course or technical content please contact luca.allodi@unitn.it For registration information, please see below at the end.

Descrizione del corso (Italian)

L’Università degli Studi di Trento, con il patrocinio di Oracle Community for Security, Clusit, ed Aused offre una giornata di training a titolo gratuito per professionisti sull’utilizzo del Common Vulnerability Scoring System (CVSS), lo standard mondiale per la valutazione delle vulnerabilità nel software.

Il training è limitato ad un massimo di 35 persone, ed avrà luogo il 12 settembre 2016, presso la sede di Oracle a Cinisello Balsamo.

La giornata di training comprende:

  • Presentazione CVSS v3
  • Descrizione delle metriche e loro nuove definizioni
  • Discussione approfondita del loro utilizzo, con esempi
  • Scoring exercise collettivo su un sample di vulnerabilità
  • Scoring exercise individuale su un set di vulnerabilità
  • Discussione finale

Il corso si terrà in italiano, mentre il materiale fornito sarà in lingua inglese.

Introduzione al CVSS

Il Common Vulnerability Scoring System è lo standard di riferimento nell’industria per la valutazione delle vulnerabilità nel software.

CVSS è nato nel 2004, diventato standard-de-facto nel 2007 con la sua seconda release, ed aggiornato nel Giugno 2015 con la terza, CVSS v3 – che è ora la metrica di riferimento. v3 rappresenta sostanziali modifiche rispetto a v2, e ne migliora la precisione e la “potenza” (intesa come capacità di rappresentare correttamente la vulnerabilità) dello scoring.

Il suo utilizzo è prescritto da best practices e standard internazionali quali NIST 800-30 e PCI-DSS, ed è utilizzato nei più diffusi tool di vulnerability assessment e penetration testing, entrambi fondamentali in ogni attività di security assessment.

L’utilizzo corretto di CVSS e la sua corretta interpretazione sono dunque fattori fondamentali in ogni organizzazione con un occhio alla security.

L’utilizzo corretto di CVSS da parte dell’assessor richiede:

  • La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione.
  • La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto.
  • La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard.

La Figura sottostante esemplifica schematicamente l’attività dell’assessor.

Profili dei partecipanti

Il training è offerto a professionisti del settore security di ogni organizzazione.

È richiesta inoltre:

  • Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc.
  • Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard.

Modalità di iscrizione.

Contattare la Oracle Security Community: securityCommunity_it@oracle.com

Agenda della giornata

10.00 → 11.30: introduzione al CVSS base score ed esercizi

11.30 → 11.45: break

11.45 → 13.30: vulnerability assessment exercise individuale

13.30 → 14.30: pausa pranzo

14.30 → 16.00: introduzione alle metriche CVSS Scope, Temporal ed Environmental ed esercizi

teaching_activities/cvss.txt · Last modified: 2021/01/29 10:58 (external edit)