Kvalitativní vs. kvantitativní: čas na změnu Jak hodnotíme závažnost zranitelností třetích stran?

Autor: Roger Morrison
Datum Vytvoření: 26 Září 2021
Datum Aktualizace: 21 Červen 2024
Anonim
Kvalitativní vs. kvantitativní: čas na změnu Jak hodnotíme závažnost zranitelností třetích stran? - Technologie
Kvalitativní vs. kvantitativní: čas na změnu Jak hodnotíme závažnost zranitelností třetích stran? - Technologie

Obsah


Zdroj: BrianAJackson / iStockphoto

Odnést:

Je na čase probudit to, jak přemýšlíme o hodnocení rizika pro komponenty s otevřeným zdrojovým kódem.

Vyvinout systém pro hodnocení toho, jak vážně by komunita pro vývoj softwaru měla brát zranitelná místa, je výzvou, abych to řekl lehce. Kód je napsán lidmi a vždy bude mít nedostatky. Otázkou tedy, pokud předpokládáme, že nic nebude nikdy dokonalé, je, jak nejlépe roztřídit komponenty podle jejich rizika způsobem, který nám umožňuje pokračovat v produktivní práci?

Jen fakta

I když existuje mnoho různých přístupů, které by bylo možné při řešení tohoto problému přijmout, každý s vlastním platným zdůvodněním, zdá se, že nejběžnější metoda je založena na kvantitativním modelu.


Na jedné straně může být použití kvantitativního přístupu k posouzení závažnosti zranitelnosti užitečné v tom, že je objektivnější a měřitelnější, založené pouze na faktorech souvisejících se samotnou zranitelností.

Tato metodika zkoumá, jaký druh poškození by se mohl vyskytnout, pokud by se zranitelnost měla zneužít, s ohledem na to, jak často se komponenta, knihovna nebo projekt používá v softwarovém průmyslu, a také faktory, jako je například jaký přístup může útočníkovi poskytnout zničit trosky, pokud by je použily k porušení svého cíle. Faktory, jako je snadná potenciální využitelnost, mohou hrát při ovlivňování skóre velkou roli. (Další informace o zabezpečení naleznete v tématu Cybersecurity: Jak nové pokroky přinášejí nová nebezpečí - a naopak).


Pokud se chceme podívat na makroúrovni, kvantitativní pohled se dívá na to, jak by zranitelnost mohla zranit stádo, méně se zaměřit na škody, které by mohly dopadnout na společnosti, které jsou útokem skutečně zasaženy.

Národní databáze zranitelností (NVD), možná nejznámější databáze zranitelností, používá tento přístup pro obě verze 2 a 3 pro svůj společný systém hodnocení zranitelnosti (CVSS). Na své stránce vysvětlující své metriky pro hodnocení zranitelností píšou o své metodě, která:

Jeho kvantitativní model zajišťuje opakovatelné přesné měření a umožňuje uživatelům vidět základní charakteristiky zranitelnosti, které byly použity ke generování skóre. CVSS je tedy vhodný jako standardní měřicí systém pro průmyslová odvětví, organizace a vlády, které vyžadují přesné a konzistentní skóre dopadu zranitelnosti.

Na základě kvantitativních faktorů při hře, NVD je pak schopen přijít se skóre závažnosti, a to jak s číslem na stupnici - 1 až 10, s 10 nejzávažnějšími - a také s kategoriemi LOW, MEDIUM a HIGH .

Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života

Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.

Účtování dopadu?

Zdá se však, že NVD usiluje o to, aby se vyhnul tomu, co můžeme nazvat kvalitativnějším měřítkem zranitelnosti, a to na základě toho, jaký dopad má určité zneužití na způsobení škody. Abychom byli spravedliví, začleňují dopad, pokud měří dopad zranitelnosti na systém, přihlížejí k faktorům důvěrnosti, integrity a dostupnosti. To jsou všechny důležité prvky, na které je třeba se podívat - stejně jako u snadno měřitelného přístupového vektoru, složitosti přístupu a autentizace - ale necítí se za úkol spojovat dopad skutečného světa, když zranitelnost způsobí skutečné ztráty organizace.

Vezměte si například porušení Equifaxu, které odhalilo osobní identifikační údaje asi 145 milionů lidí, včetně údajů o řidičských průkazech, číslech sociálního zabezpečení a dalších bitech, které by bezohledné postavy mohly použít k provádění rozsáhlých podvodných operací.

Právě zranitelnost (CVE-2017-5638), která byla objevena v projektu Apache Struts 2, použila společnost Equifax ve své webové aplikaci, která útočníkům umožnila procházet předními dveřmi a nakonec je vydělat s rukama plnými šťavnatých osobních informací .

Přestože NVD správně dala skóre závažnosti 10 a VYSOKÉ, jejich rozhodnutí bylo způsobeno kvantitativním posouzením jeho potenciální škody a nebylo ovlivněno rozsáhlou škodou, ke které došlo později, když se porušení Equifax stalo veřejným.

Nejedná se o dohled NVD, ale o součást jejich stanovené politiky.

NVD poskytuje CVSS „základní skóre“, které představuje vrozené vlastnosti každé zranitelnosti. V současné době neposkytujeme „časové skóre“ (metriky, které se v průběhu času mění v důsledku událostí, které jsou mimo zranitelnost) nebo „environmentální skóre“ (skóre přizpůsobená tak, aby odrážela dopad zranitelnosti na vaši organizaci).

Pro osoby s rozhodovací pravomocí by měl systém kvantitativního měření méně záležet, protože se dívá na šance, že rozšíří škodu napříč celým odvětvím. Jste-li CSO banky, měli byste se zajímat o kvalitativní dopad, který může mít zneužití, pokud se používá k vyrovnání s údaji o vašem zákazníkovi, nebo ještě horší, s jejich penězi. (Další informace o různých typech chyb zabezpečení naleznete v článku 5 nejděsivějších hrozeb v technice.)

Čas na změnu systému?

Měla by tedy zranitelnost v Apache Strusts 2, která byla použita v případě Equifax, získat vyšší hodnocení s ohledem na to, jak rozsáhlé poškození se ukázalo, nebo by se posun ukázal jako příliš subjektivní pro systém, jako je NVD, aby dál?

Přiznáváme, že přijít s potřebnými údaji, aby bylo možné dospět k „environmentálnímu skóre“ nebo „časovému skóre“, jak je popsáno v NVD, by bylo nesmírně obtížné, otevření manažerů volného týmu CVSS až do nekonečné kritiky a tuny práce pro NVD a další pro aktualizaci jejich databází, jak vycházejí nové informace.

Existuje samozřejmě otázka, jak by se takovéto skóre získalo, protože jen velmi málo organizací pravděpodobně poskytne potřebné údaje o dopadu porušení, pokud to nebylo vyžadováno zákonem o zveřejňování. Z případu Uber jsme viděli, že společnosti jsou ochotny rychle vyplatit v naději, že informace o okolnostech přestanou dostávat do tisku, aby nedošlo k veřejnému odporu.

Možná je třeba nový systém, který by mohl začlenit dobré úsilí z databází zranitelnosti a přidat další vlastní skóre, jakmile budou informace k dispozici.

Proč podněcovat tuto zvláštní vrstvu bodování, když se zdá, že předchozí po celý ta léta vykonala svou práci dostatečně dobře?

Upřímně řečeno, jde o odpovědnost za to, že organizace přebírají odpovědnost za své aplikace. V ideálním světě by každý před přidáním do svého inventáře zkontroloval skóre komponent, které používají ve svých produktech, obdržel upozornění, když se v projektech, které byly dříve považovány za bezpečné, objevily nové chyby, a všechny potřebné opravy implementoval sám. .

Možná, kdyby existoval seznam, který by ukázal, jak zničující by mohla být některá z těchto zranitelností pro organizaci, pak by organizace mohly cítit větší tlak, aby se nezachytily rizikovými součástmi. Přinejmenším by mohli podniknout kroky, aby provedli skutečný soupis toho, které open-source knihovny již mají.

Po fiasku Equifaxu se pravděpodobně více než jeden výkonný pracovník na úrovni C snažil zajistit, aby ve svých produktech neměli zranitelnou verzi Struts. Je nešťastné, že trvalo takovou událost, aby tlačilo průmysl, aby bral vážně jejich open-source zabezpečení.

Doufejme, že ponaučení, že zranitelnost v otevřených zdrojových komponentách vašich aplikací může mít velmi reálné důsledky, bude mít dopad na to, jak tvůrci rozhodnutí upřednostňují zabezpečení, výběrem správných nástrojů, které zajistí, že jejich produkty a data zákazníků budou v bezpečí.