Pressure Drop Comparison with Experimental Results

As m´etricas de ambiente tˆem uma importˆancia muito grande neste trabalho, pois ´e atrav´es desta m´etrica que o risco medido poder´a ser eficaz ou n˜ao contra a infra-estrutura da empresa.

A importˆancia se deve ao fato de que uma vulnerabilidade descoberta, afe- tando um servi¸co para um sistema operacional, pode ter seu impacto redu- zido caso este sistema afetado tenha uma participa¸c˜ao inexpressiva, por esse motivo ´e muito importante que conste, na ferramenta que ir´a implantar, a metodologia proposta uma maneira de se medir o n´umero total de sistemas operacionais.

5.3.3.1 Collateral Damage Potential (CDP)

Esta m´etrica mede o potencial para a perda de vida ou de recursos f´ısicos com os danos ou o roubo da propriedade ou do equipamento. A m´etrica pode tamb´em medir a perda econˆomica da produtividade ou do rendimento. Quanto maior o potencial dos danos, mais elevada o escore da vulnerabili- dade. Os valores poss´ıveis para esta m´etrica s˜ao:

None (N) : N˜ao h´a nenhum potencial para a perda de vida, de recursos f´ısicos, de produtividade ou de rendimento;

Low (L) : Um exploit bem sucedido para esta vulnerabilidade pode re- sultar em danos pequenos. Ou, pode haver uma perda pequena do rendimento ou da produtividade `a organiza¸c˜ao;

Low-Medium (LM) : Um exploit bem sucedido para esta vulnerabili- dade pode resultar em danos moderados. Ou, pode haver uma perda moderada do rendimento ou da produtividade `a organiza¸c˜ao;

Medium-High (MH) : Um exploit bem sucedido para esta vulnerabili- dade pode resultar em danos ou perdas significativas. Ou, pode haver uma perda significativa do rendimento ou da produtividade;

High (H) : Um exploit bem sucedido para esta vulnerabilidade pode re- sultar em danos ou perdas catastr´oficas. Ou, pode haver uma perda catastr´ofica do rendimento ou da produtividade;

Not Defined (ND) : Atribuir este valor a m´etrica n˜ao influenciar´a o es- core. ´E um sinal para equa¸c˜ao saltar esta m´etrica.

5.3.3.2 Target Distribution (TD)

Indica o tamanho relativo da quantidade de sistemas que s˜ao suscet´ıveis `a vulnerabilidade (Nenhum; Baixo at´e 15%; M´edio at´e 49% ou Alto - se acima de 50% dos sistemas s˜ao vulner´aveis). Os valores poss´ıveis para esta m´etrica s˜ao:

None (N) : N˜ao existe sistema alvo, ou os alvos s˜ao altamente especializa- dos e existem somente em laborat´orio. Eficazmente 0% do ambiente est´a no risco;

Low (L) : Os alvos existem dentro do ambiente, mas em uma escala pe- quena. Entre 1% - 25% do ambiente total est´a em risco;

Medium (M) : Os alvos existem dentro do ambiente, mas em uma escala m´edia. Entre 26% - 75% do ambiente total est´a em risco;

High (H) : Os alvos existem dentro do ambiente em uma escala consi- der´avel. Entre 76% - 100% do ambiente total s˜ao considerados de risco;

Not Defined (ND) : Atribuir este valor a m´etrica n˜ao influenciar´a o score. ´E um sinal para equa¸c˜ao saltar esta m´etrica.

5.3.3.3 Security Requirements (CR, IR, AR)

Estas m´etricas permitem ao analista a customiza¸c˜ao do CVSS dependendo da importˆancia para efeito do ativo de TI aos usu´arios da organiza¸c˜ao, permitindo medir os termos para confidencialidade, integridade, e da dis- ponibilidade, isto ´e, se recurso de TI suporta uma fun¸c˜ao do neg´ocio onde a disponibilidade ´e a mais importante, o analista pode atribuir um valor maior `a disponibilidade, relativo `a confidencialidade e `a integridade. Cada exigˆencia da seguran¸ca tem trˆes valores poss´ıveis: ”baixo”, ”meio”, ou ”ele- vado”.

O efeito total para a vari´avel de ambiente ´e determinado pela correspondˆencia do impacto das m´etricas b´asicas, notando que em m´etricas b´asicas o valor

dado a CIA (confidencialidade, integridade e a disponibilidade), ele mesmo, n˜ao ´e mudado. Isto ´e, estas m´etricas modificam o score para as m´etricas de ambiente pelo rec´alculo da base do impacto das m´etricas, confidencialida- des, integridade e da disponibilidade. Para o exemplo temos: O impacto da confidencialidade (C) aumentou o peso se a exigˆencia da confidencialidade (CR) fosse ”alta”. Do mesmo modo, o impacto da confidencialidade dimi- nuiu o peso se a exigˆencia da confidencialidade fosse ”baixa”. O impacto da confidencialidade se torna neutro se a exigˆencia da confidencialidade for ”m´edia”. Esta mesma l´ogica ´e aplicada `as exigˆencias da integridade e da disponibilidade.

Note que a exigˆencia da confidencialidade n˜ao afetar´a o score da vari´avel de ambiente se a vari´avel b´asica da confidencialidade for ajustado para ne- nhum. Tamb´em, aumentar a exigˆencia da confidencialidade de m´edio para alto n˜ao mudar´a o score para a vari´avel de ambiente quando as vari´aveis b´asicas estiverem ajustadas para completo. Isto ´e porque o c´alculo do score parte da m´etrica b´asica que j´a est´a em um valor m´aximo de 10.

Maior a exigˆencia da seguran¸ca, maior o score, por default ´e m´edio. Estas m´etricas modificar˜ao o score tanto para mais quanto para menos com um m´ınimo de 2.5. Os valores poss´ıveis s˜ao usados para as trˆes m´etricas e s˜ao:

Low (L) : Perda de confidencialidade, integridade ou disponibilidade, ´e prov´avel ter somente um efeito adverso limitado na organiza¸c˜ao ou nos indiv´ıduos, associada com a organiza¸c˜ao (por exemplo, empregados, clientes).

Medium (M) : Perda de confidencialidade, integridade ou disponibili- dade, ´e prov´avel ter um efeito adverso s´erio na organiza¸c˜ao ou nos indiv´ıduos, associada com a organiza¸c˜ao (por exemplo, empregados, clientes).

High (H) : Perda de confidencialidade, integridade ou disponibilidade, ´e prov´avel ter um efeito adverso catastr´ofico na organiza¸c˜ao ou nos indiv´ıduos, associada com a organiza¸c˜ao (por exemplo, empregados, clientes).

Not Defined (ND) : Atribuir este valor a m´etrica n˜ao influenciar´a o es- core. ´E um sinal para equa¸c˜ao saltar esta m´etrica.