This is an old revision of the document!
The University of Trento, with the support of Oracle Community for Security, Clusit, and Aused holds a training day for security professionals on the Common Vulnerability Scoring System (CVSS), the worldwide standard for software vulnerability scoring.
The training is free-of-charge and capped at 35 participants, and will be hold at Oracle’s offices on the 12th of Semptember 2016, in Milan, Cinisello Balsamo, Italy.
The training day includes:
The course will be held in Italian, but all the material will be in English.
What follows is an activity description (in Italian) of the training day. For any information feel free to contact luca [dot] allodi [at] unitn [dot] it.
L’Università degli Studi di Trento, con il patrocinio di Oracle Community for Security, Clusit, ed Aused offre una giornata di training a titolo gratuito per professionisti sull’utilizzo del Common Vulnerability Scoring System (CVSS), lo standard mondiale per la valutazione delle vulnerabilità nel software.
Il training è limitato ad un massimo di 35 persone, ed avrà luogo il 12 settembre 2016, presso la sede di Oracle a Cinisello Balsamo.
La giornata di training comprende:
Il corso si terrà in italiano, mentre il materiale fornito sarà in lingua inglese.
Il Common Vulnerability Scoring System è lo standard di riferimento nell’industria per la valutazione delle vulnerabilità nel software.
CVSS è nato nel 2004, diventato standard-de-facto nel 2007 con la sua seconda release, ed aggiornato nel Giugno 2015 con la terza, CVSS v3 – che è ora la metrica di riferimento. v3 rappresenta sostanziali modifiche rispetto a v2, e ne migliora la precisione e la “potenza” (intesa come capacità di rappresentare correttamente la vulnerabilità) dello scoring.
Il suo utilizzo è prescritto da best practices e standard internazionali quali NIST 800-30 e PCI-DSS, ed è utilizzato nei più diffusi tool di vulnerability assessment e penetration testing, entrambi fondamentali in ogni attività di security assessment.
L’utilizzo corretto di CVSS e la sua corretta interpretazione sono dunque fattori fondamentali in ogni organizzazione con un occhio alla security.
L’utilizzo corretto di CVSS da parte dell’assessor richiede: - La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione. - La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto. - La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard.
La Figura sottostante esemplifica schematicamente l’attività dell’assessor.
Il training è offerto a professionisti del settore security di ogni organizzazione.
È richiesta inoltre:
- Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc. - Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard.
Contattare la Oracle Security Community: securityCommunity_it@oracle.com