Zoom 提供 VISS，一种创新的漏洞评估方法

Zoom 向公众推出了最新的开源产品：漏洞影响评分系统 (VISS)。 VISS 旨在重塑漏洞评估和事件响应格局，并旨在通过创新的漏洞评分方法来增强安全措施。

通过专注于优先考虑已证明的影响（与理论安全影响能力相比），VISS 提供了由先进算法支持的基于 Web 的用户界面。 主要目标是通过优先考虑最有可能影响组织的漏洞来实现更主动的环境保护。

常见漏洞评分系统 (CVSS) 等传统评分系统主要关注攻击者的视角和最坏情况，但 VISS 不同。 它提供了一种独特的方法，通过从防御者的角度客观地衡量漏洞的集体影响来增强事件响应能力。 因此，它的评估基于负责任地证明的利用，而不是理论上的威胁。

自 2023 年 3 月起，Zoom 在其 Bug Bounty 计划中采用了这一开创性系统来评估赏金支付情况。 该软件允许安全研究人员和产品用户发现和披露 Zoom 漏洞，而无需担心法律后果。 通过引入研究人员费用，该计划显着改善了提交的报告。

Zoom 认为，这种面向更高影响力的点击和更复杂、多步骤的利用的新兴模式表明研究人员正在投入更多时间探索潜在漏洞。 VISS 根据 13 个影响方面来分析漏洞，这些方面分为平台、基础设施和数据集。 最终的分数范围从 0 到 100，显示给定环境中影响的严重程度。

VISS 可行性的另一个证明来自 Zoom 对 2023 年在伦敦举行的 HackerOne H1-4420 现场黑客活动的赞助。黑客提交的报告接受了使用 CVSS 和 VISS 的高级错误评估方法。 这种方法为加强资源分配和更加关注解决关键和高风险漏洞铺平了道路。

值得注意的是，Zoom 注意到关键和高风险报告显着增加。 2023 年 3 月至 12 月期间，关键报告增加了 28%，高风险报告增加了 12%。 中等风险的报告也显着减少了 57%。

VISS 的使命不仅限于 Zoom，其目标是增强全球安全团队的响应能力。 通过全面衡量漏洞的影响，VISS 致力于让互联网成为每个人都更安全的地方。 它鼓励感兴趣的各方探索它，为其发展做出贡献并加入漏洞记录革命。