Sistema di classificazione dei livelli di gravità per i bollettini sulla sicurezza di Microsoft Security Response Center (rivisto, novembre 2002)
La missione di Microsoft Security Response Center (MSRC) è aiutare i clienti a lavorare in modo sicuro con sistemi e reti. Gran parte di questa missione consiste nel valutare le segnalazioni dei clienti relative a possibili vulnerabilità nei prodotti Microsoft e, se necessario, nell'assicurare che vengano prodotti e diffusi patch e bollettini sulla sicurezza che rispondano alle segnalazioni ricevute.
MSRC rilascia un bollettino per ciascuna vulnerabilità dei prodotti che potrebbe, a nostro avviso, interessare i sistemi di più clienti, indipendentemente dal grado di probabilità e dalla portata dell'effetto. Tuttavia, questo approccio conservativo per l'identificazione di vulnerabilità che richiedono azioni da parte di Microsoft ha reso più difficile per i clienti individuare le vulnerabilità con livelli di rischio particolarmente significativi.
In base alle esperienze in questo settore, gli attacchi che interessano i sistemi dei clienti sono prodotti raramente dallo sfruttamento di vulnerabilità precedentemente sconosciute da parte di utenti malintenzionati. Piuttosto, come nel caso di virus di tipo Code Red e Nimda, gli attacchi sfruttano generalmente vulnerabilità per le quali le patch sono già state rese disponibili, ma non ancora applicate.
Le vulnerabilità non hanno lo stesso impatto su tutti i clienti. In questo documento viene presentato il nostro sistema di classificazione dei livelli di gravità per i bollettini sulla sicurezza. Questo sistema, rivisto nel novembre 2002 sulla base dei commenti dei clienti, è stato ideato per consentire ai clienti di decidere quali patch è necessario applicare per evitare un impatto negativo in circostanze specifiche, nonché per determinare quanto rapidamente è necessario applicare le procedure consigliate. I clienti hanno richiesto a Microsoft di includere questo tipo di informazioni nei bollettini per poter essere in grado di valutare autonomamente i rischi.
Sistema di classificazione del livello di gravità
Il sistema di classificazione del livello di gravità fornisce una singola valutazione per ciascuna vulnerabilità. Le definizioni delle valutazioni sono le seguenti:
| Valutazione | Definizione |
Critico | Una vulnerabilità che, se sfruttata, potrebbe portare alla propagazione di un worm Internet senza azioni da parte dell'utente. |
Importante | Una vulnerabilità che, se sfruttata, potrebbe compromettere la riservatezza, l'integrità o la disponibilità dei dati dell'utente o delle risorse di elaborazione. |
Moderato | Il pericolo è attenuato molto da fattori quali una configurazione predefinita, il controllo o la difficoltà di sfruttare il punto debole. |
Basso | Una vulnerabilità molto difficile da sfruttare o il cui impatto è minimo. |
Se necessario, verranno indicati casi per i quali il livello di gravità di una vulnerabilità dipende dall'ambiente o dall'utilizzo di un sistema. Le valutazioni dimostreranno l'affermazione che sostiene che generalmente la vulnerabilità è già nota e che il codice o gli script in grado di sfruttarla sono facilmente reperibili.
Utilizzo del sistema
Il sistema di classificazione del livello di gravità verrà applicato a tutti i bollettini sulla sicurezza rilasciati da questo momento in poi. Per quanto riguarda le patch che interessano più vulnerabilità, esse verranno etichettate in base alla vulnerabilità più recente e con livello di gravità più alto che la patch è in grado di eliminare. Inoltre, il bollettino associato fornirà sempre le valutazioni per ciascun problema descritto.
Siamo convinti che i clienti che utilizzano un prodotto interessato dal problema devono applicare sempre le patch che risolvono le vulnerabilità con livello di gravità critico o importante. Le patch classificate come critiche devono essere applicate con particolare tempestività. I clienti devono leggere il bollettino sulla sicurezza associato a qualsiasi vulnerabilità classificata con livello moderato o basso per determinare se tale vulnerabilità potrebbe interessare la propria configurazione. Microsoft ritiene che le patch classificate con livello basso hanno una probabilità minore di interessare un elevato numero di clienti.
Benché il sistema di classificazione del livello di gravità sia pensato per fornire una valutazione obiettiva di ciascun problema, si consiglia ai clienti di valutare il proprio ambiente di lavoro per prendere decisioni sulle patch necessarie per la protezione dei sistemi.
Le domande frequenti, in inglese, relative alle modifiche al sistema di classificazione del livello di gravità apportate dopo la revisione di novembre 2002 sono disponibili facendo clic qui.
