CWSS

De OWISAM
Saltar a: navegación, buscar
Esta página es una versión traducida de la página CWSS. La traducción está completa al 85 %.

Otros idiomas:
English • ‎español

CWSS : Common Wireless Security Scoring

Once the security risks are identified it must be assigned a risk rating based on a set of objective parameters. The standarization of risk allocation mechanism allows multiple people to classified in the same way the security or insecurity of wireless infrastructure.

OWISAM proposes to use a risk classification system compatible with CVSS [1], the de facto standard today. CVSS uses the following to sign the risk of vulnerability:

Base metrics:: "Exploitability Metrics" and "Impact Metrics"

Environment metrics:: "General Modifiers" and "Impact Subscore Modifiers"

Temporal metrics:: Temporal Score Metrics


The proposal is to modify two elements of the based metrics:

- Related exploit range (AccessVector): This element is modified by "Network Coverage" (NetworkCoverage): The values ​​can be high, medium, low.

  • Low: Need to be in a location close to the access point
  • Medium: Outside the perimeter of the building / local / office.
  • High: visibility with directional antenna.


Attack complexity (AccessComplexity): This element is modified to "Login Credentials" (Credentials) with values: Very complex, complex, weak, predictable.

  • Very complex: There isn't technical feasibility to obtain, guess or decrypt the key long term.
  • Complex: There is a possibility that the key can be guess or crack in the medium term.
  • Weak: A attack oriented guessing or decryption of passwords might get in short term.
  • Predictable: The password does not exist, is trivial, or can guess based on other operating parameters.


This risk classification system, compatible with CVSS, has been called CWSS (Common Wireless Security Scoring)


Clasificación de riesgos

La clasificación general de riesgos de una infraestructura Wireless se ilustra en la siguiente tabla:

Valor Nivel de riesgo impacto
0 – 2 Mínimo Mínimo riesgo de acceso no autorizado. Un ataque exitoso requeriría de una ventana temporal mayor al definido en el alcance de esta revisión así como un nivel de especialización alto.
3 – 4 Bajo Riesgo muy reducido de que un usuario no asociado a la organización sea capaz de acceder a la infraestructura inalámbrica existente. El impacto que puede tener sobre la infraestructura es limitado.
5 - 6 Medio Existe la posibilidad no despreciable de modificación de información, robo de credenciales o modificación del comportamiento normal del sistema, aunque las consecuencias para el sistema son limitadas. Este ataque es viable dentro de un marco temporal inferior a 1 mes.
7 - 9 Alto La probabilidad de que ocurra un acceso no autorizado a los activos de la Organización es alta, debido principalmente a la existencia de debilidades en las redes inalámbricas existentes.

Un atacante podrá impactar significativamente en la operación normal de los sistemas.

10 Crítico La probabilidad de que ocurra un acceso no autorizado en los activos de la organización es muy elevada, debido a la existencia de redes inalámbricas que tienen visibilidad de sistemas internos y que pueden ser accedidas por usuarios externos.