Các công ty IT hàng đầu thế giới, bao gồm Cisco, Microsoft và cả Symantec đang khuếch trương một hệ thống phân cấp mức độ nghiêm trọng của nguy cơ bảo mật, nhằm chuẩn hoá việc xác định mức độ nghiêm trọng trong các lỗi phần mềm.
Một hệ thống mới, có tên là Common Vulnerability Scoring System (CVSS), đã được giới thiệu tại Hội thảo RSA Conference ở San Francisco hôm Chủ nhật vừa qua (20/2). Mike Schiffman, một chuyên gia nghiên cứu của Cisco cho rằng "nếu được chấp nhận rộng rãi, nó sẽ cung cấp một ngôn ngữ chung để biểu đạt mức độ nghiêm trọng trong các lỗi bảo mật máy tính và thay thế cho các hệ thống phân cấp riêng lẻ của từng hãng bảo mật".
Hệ thống đánh giá chuẩn mới này là một phần trong dự án của Hội đồng Cố vấn nền tảng quốc gia của Mỹ (National Infrastructure Advisory Council - NIAC), nhằm tạo ra một khung chuẩn toàn cầu cho việc công bố thông tin về mức nghiêm trọng trong các lỗi bảo mật. Các đại diện của Chính Phủ Mỹ và ngành công nghiệp IT đã cùng tham gia vào đề xuất chuẩn CVSS , bao gồm cả các hãng như eBay Inc., Qualys Inc., Internet Security Systems Inc. và Mitre Corp.
NIAC, một thành phần của Bộ An ninh nội địa Mỹ, đang lo ngại về độ bảo mật của các hệ thống thông tin hỗ trợ cho các lĩnh vực nền tảng sống còn như banking, tài chính, vận tải, năng lượng và sản xuất.
CVSS sẽ sử dụng các phương trình toán học chuẩn để tính ra mức độ nghiêm trọng của các lỗi bảo mật mới, dựa trên các thông tin cơ bản như liệu lỗi đó có thể bị khai thác từ xa không, hay liệu một kẻ tán công có phải đăng nhập vào hệ thống có lỗi trước khi khai thác lỗ hổng.
CVSS cũng cân nhắc tới các vấn đề thời gian, chẳng hạn liệu một lỗi hoặc bản sửa lỗi phần mềm có thể đưa ra trong thời gian bao lâu, và đã có được bao lâu.
Hệ thống mới này sẽ có điểm tương đồng với cơ sở dữ liệu Common Vulnerabilities and Exposures (CVE) do hãng Mitre duy trì. CSDL này cung cấp các dấu hiệu xác định và thông tin về các lỗi phần mềm. Cũng như với CVE, các nhà cung cấp hầu hết cũng sẽ thích sử dụng CVSS như một cơ sở tra cứu, nhưng vẫn tiếp tục đưa ra mức đánh giá và phân tích của riêng mình.
Hệ thống CVSS sẽ khác biệt so với các hệ thống khác như Hệ thống xác định mức độ tấn công ARIS của Symantec, bởi vì nó sẽ không được sử dụng như một hệ thống cảnh báo nạn dịch phát tán mã phá hoại.
Một khi đã được hỗ trợ và ứng dụng rộng rãi, CVSS sẽ mang tới cho các hãng và nhà quản trị IT một cách dễ dàng để ước định các nguy cơ có liên quan hoặc các lỗi phần mềm, và ưu tiên hoá công việc cấp thiết giúp khắc phục lỗi trên các mạng lớn.