The Security Group of the University of Trento, with the support of Oracle Community for Security, Clusit, and Aused holds a training day for security professionals on the Common Vulnerability Scoring System (CVSS), the worldwide standard for software vulnerability scoring.

The training is free-of-charge and capped at 35 participants, and will be hold at Oracle’s offices on the 12th of Semptember 2016, in Milan, Cinisello Balsamo, Italy.

The training day includes:

• CVSS v3 introduction
• Description of metrics and differences with v2 definitions
• Discussion on metric usage and interpretation, with examples
• Demo scoring exercise with interaction with the lecturer
• Individual scoring exercise
• Discussion and review of individual scores

The course will be held in Italian, but all the material will be in English.

What follows is general introduction to the standard and a few details to subscribe to this event (in Italian).

For information on replicating this course or technical content please contact luca.allodi@unitn.it For registration information, please see below at the end.

L’Università degli Studi di Trento, con il patrocinio di Oracle Community for Security, Clusit, ed Aused offre una giornata di training a titolo gratuito per professionisti sull’utilizzo del Common Vulnerability Scoring System (CVSS), lo standard mondiale per la valutazione delle vulnerabilità nel software.

Il training è limitato ad un massimo di 35 persone, ed avrà luogo il 12 settembre 2016, presso la sede di Oracle a Cinisello Balsamo.

La giornata di training comprende:

• Presentazione CVSS v3
• Descrizione delle metriche e loro nuove definizioni
• Discussione approfondita del loro utilizzo, con esempi
• Scoring exercise collettivo su un sample di vulnerabilità
• Scoring exercise individuale su un set di vulnerabilità
• Discussione finale

Il corso si terrà in italiano, mentre il materiale fornito sarà in lingua inglese.

Il Common Vulnerability Scoring System è lo standard di riferimento nell’industria per la valutazione delle vulnerabilità nel software.

CVSS è nato nel 2004, diventato standard-de-facto nel 2007 con la sua seconda release, ed aggiornato nel Giugno 2015 con la terza, CVSS v3 – che è ora la metrica di riferimento. v3 rappresenta sostanziali modifiche rispetto a v2, e ne migliora la precisione e la “potenza” (intesa come capacità di rappresentare correttamente la vulnerabilità) dello scoring.

Il suo utilizzo è prescritto da best practices e standard internazionali quali NIST 800-30 e PCI-DSS, ed è utilizzato nei più diffusi tool di vulnerability assessment e penetration testing, entrambi fondamentali in ogni attività di security assessment.

L’utilizzo corretto di CVSS e la sua corretta interpretazione sono dunque fattori fondamentali in ogni organizzazione con un occhio alla security.

L’utilizzo corretto di CVSS da parte dell’assessor richiede:

• La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione.
• La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto.
• La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard.

La Figura sottostante esemplifica schematicamente l’attività dell’assessor.

Il training è offerto a professionisti del settore security di ogni organizzazione.

È richiesta inoltre:

• Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc.
• Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard.

Contattare la Oracle Security Community: securityCommunity_it@oracle.com

10.00 → 11.30: introduzione al CVSS base score ed esercizi

11.30 → 11.45: break

11.45 → 13.30: vulnerability assessment exercise individuale

13.30 → 14.30: pausa pranzo

14.30 → 16.00: introduzione alle metriche CVSS Scope, Temporal ed Environmental ed esercizi