User Tools
teaching_activities:cvss
Differences
This shows you the differences between two versions of the page.
|
teaching_activities:cvss [2016/05/03 13:25] luca.allodi@unitn.it [Descrizione del corso] |
teaching_activities:cvss [2021/01/29 10:58] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | {{:teaching:cvss:unitn.png?200 |http://disi.unitn.it}}{{:teaching:cvss:oracle_comsec.png?250 |https://www.oracle.com/it/technologies/security/partner-171975-ita.html}}{{:teaching:cvss:clusit_logo.jpg?130 |http://www.clusit.it}}{{:teaching:cvss:logo.uff.da.marcomm.aused_logo.png?150 |http://www.aused.org}} | ||
| - | ====== Training day on the usage of the Common Vulnerability Scoring System ====== | ||
| - | The University of Trento, with the support of Oracle Community for Security, Clusit, and Aused holds a training day for security professionals on the [[https://www.first.org/cvss|Common Vulnerability Scoring System (CVSS)]], the worldwide standard for software vulnerability scoring. | ||
| - | ===== Training day – executive summary (English) ===== | ||
| - | |||
| - | |||
| - | The training is free-of-charge and capped at 35 participants, and will be hold at Oracle’s offices on the 12th of Semptember 2016, in Milan, Cinisello Balsamo, Italy. | ||
| - | |||
| - | The training day includes: | ||
| - | * CVSS v3 introduction | ||
| - | * Description of metrics and differences with v2 definitions | ||
| - | * Discussion on metric usage and interpretation, with examples | ||
| - | * Demo scoring exercise with interaction with the lecturer | ||
| - | * Individual scoring exercise | ||
| - | * Discussion and review of individual scores | ||
| - | |||
| - | The course will be held in Italian, but all the material will be in English. | ||
| - | |||
| - | What follows is an activity description (in Italian) of the training day. For any information feel free to contact luca [dot] allodi [at] unitn [dot] it. | ||
| - | |||
| - | |||
| - | ===== Descrizione del corso (Italian) ===== | ||
| - | |||
| - | |||
| - | L’Università degli Studi di Trento, con il patrocinio di Oracle Community for Security, Clusit, ed Aused offre una giornata di training a titolo gratuito per professionisti sull’utilizzo del Common Vulnerability Scoring System (CVSS), lo standard mondiale per la valutazione delle vulnerabilità nel software. | ||
| - | |||
| - | Il training è limitato ad un massimo di 35 persone, ed avrà luogo il 12 settembre 2016, presso la sede di Oracle a Cinisello Balsamo. | ||
| - | |||
| - | La giornata di training comprende: | ||
| - | |||
| - | * Presentazione CVSS v3 | ||
| - | * Descrizione delle metriche e loro nuove definizioni | ||
| - | * Discussione approfondita del loro utilizzo, con esempi | ||
| - | * Scoring exercise collettivo su un sample di vulnerabilità | ||
| - | * Scoring exercise individuale su un set di vulnerabilità | ||
| - | * Discussione finale | ||
| - | |||
| - | Il corso si terrà in italiano, mentre il materiale fornito sarà in lingua inglese. | ||
| - | |||
| - | ==== Introduzione al CVSS ==== | ||
| - | |||
| - | |||
| - | Il Common Vulnerability Scoring System è lo standard di riferimento nell’industria per la valutazione delle vulnerabilità nel software. | ||
| - | |||
| - | CVSS è nato nel 2004, diventato standard-de-facto nel 2007 con la sua seconda release, ed aggiornato nel Giugno 2015 con la terza, CVSS v3 – che è ora la metrica di riferimento. v3 rappresenta sostanziali modifiche rispetto a v2, e ne migliora la precisione e la “potenza” (intesa come capacità di rappresentare correttamente la vulnerabilità) dello scoring. | ||
| - | |||
| - | Il suo utilizzo è prescritto da best practices e standard internazionali quali NIST 800-30 e PCI-DSS, ed è utilizzato nei più diffusi tool di vulnerability assessment e penetration testing, entrambi fondamentali in ogni attività di security assessment. | ||
| - | |||
| - | L’utilizzo corretto di CVSS e la sua corretta interpretazione sono dunque fattori fondamentali in ogni organizzazione con un occhio alla security. | ||
| - | |||
| - | L’utilizzo corretto di CVSS da parte dell’assessor richiede: | ||
| - | - La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione. | ||
| - | - La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto. | ||
| - | - La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard. | ||
| - | |||
| - | La Figura sottostante esemplifica schematicamente l’attività dell’assessor. | ||
| - | |||
| - | |||
| - | {{ :teaching:cvss:scoring_complexity.png?nolink&800 |}} | ||
| - | |||
| - | |||
| - | ==== Profili dei partecipanti ==== | ||
| - | |||
| - | |||
| - | Il training è offerto a professionisti del settore security di ogni organizzazione. | ||
| - | |||
| - | È richiesta inoltre: | ||
| - | |||
| - | * Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc. | ||
| - | * Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard. | ||
| - | |||
| - | ==== Modalità di iscrizione. ==== | ||
| - | |||
| - | |||
| - | Contattare la Oracle Security Community: <securityCommunity_it@oracle.com> | ||
teaching_activities/cvss.txt · Last modified: 2021/01/29 10:58 (external edit)
Page Tools
