Kvalitatīvs un kvantitatīvs: laiks mainīt, kā mēs novērtējam trešo personu ievainojamību nopietnību?

Autors: Roger Morrison
Radīšanas Datums: 26 Septembris 2021
Atjaunināšanas Datums: 21 Jūnijs 2024
Anonim
How to understand QUANTITATIVE and QUALITATIVE analysis in Cybersecurity
Video: How to understand QUANTITATIVE and QUALITATIVE analysis in Cybersecurity

Saturs


Avots: BrianAJackson / iStockphoto

Izņemšana:

Ir pienācis laiks pārdomāt, kā mēs domājam par atvērtā pirmkoda komponentu riska novērtēšanu.

Izsakot sistēmu, lai novērtētu, cik nopietni programmatūras izstrādātāju kopienai vajadzētu uztvert ievainojamības, ir izaicinājums. Kodu raksta cilvēki, un tam vienmēr būs trūkumi. Ja rodas pieņēmums, ka nekad nekas nebūs ideāls, jautājums ir, kā mēs vislabāk klasificējam komponentus pēc to riska tā, lai mēs varētu turpināt produktīvu darbu?

Tikai fakti

Lai arī ir daudz dažādu pieeju, kuras varētu izmantot šīs problēmas risināšanā, katrai no tām ir savs pamatots pamatojums, šķiet, ka visizplatītākā metode ir balstīta uz kvantitatīvo modeli.

No vienas puses, kvantitatīvas pieejas izmantošana ievainojamības nopietnības novērtēšanai var būt noderīga, jo tā ir objektīvāka un izmērāmāka, balstoties tikai uz faktoriem, kas saistīti ar pašu neaizsargātību.

Šajā metodoloģijā apskatīts, kāda veida kaitējums varētu rasties, ja ievainojamība tiks izmantota, ņemot vērā, cik plaši tiek izmantots komponents, bibliotēka vai projekts visā programmatūras nozarē, kā arī tādus faktorus kā, piemēram, kāda veida piekļuvi tas varētu dot uzbrucējam vraku postījumi, ja viņi to izmantotu sava mērķa pārkāpšanai. Faktoriem, piemēram, vieglai potenciālai izmantojamībai, šeit var būt liela nozīme rezultāta ietekmē. (Lai uzzinātu vairāk par drošību, skatiet kiberdrošību: kā jaunie sasniegumi rada jaunus draudus - un vice Versa.)


Ja mēs vēlamies aplūkot makro līmeni, kvantitatīvajā perspektīvā tiek apskatīts, kā ievainojamība varētu kaitēt ganāmpulkam, mazāk koncentrējoties uz zaudējumiem, kas varētu rasties uzņēmumiem, kuri faktiski ir cietuši uzbrukumā.

Nacionālā ievainojamības datu bāze (NVD), iespējams, vispazīstamākā ievainojamību datu bāze, izmanto šo pieeju abām 2. un 3. versijai - to kopējai ievainojamības vērtēšanas sistēmai (CVSS). Lapā, kurā izskaidro savu ievainojamības novērtēšanas metriku, viņi raksta par savu metodi:

Tās kvantitatīvais modelis nodrošina atkārtojamu precīzu mērīšanu, vienlaikus ļaujot lietotājiem redzēt galvenos ievainojamības raksturlielumus, kas tika izmantoti punktu veidošanai. Tādējādi CVSS ir labi piemērots kā standarta mērīšanas sistēma nozarēm, organizācijām un valdībām, kurām nepieciešami precīzi un konsekventi ievainojamības ietekmes rādītāji.

Balstoties uz spēles kvantitatīvajiem faktoriem, NVD pēc tam var nākt klajā ar smaguma pakāpi, abām vērtējot pēc skalas - no 1 līdz 10, no kurām 10 ir vissmagākās, kā arī ar zemu, vidēju un augstu kategoriju. .


Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi

Jūs nevarat uzlabot savas programmēšanas prasmes, kad nevienam nerūp programmatūras kvalitāte.

Ietekmes uzskaite?

Tomēr šķiet, ka NVD cenšas saglabāt skaidrību par to, ko mēs varam kvalificēt kā vairāk ievainojamības kvalitatīvu rādītāju, pamatojoties uz to, cik efektīva ir bijusi kāda ekspluatācija, radot kaitējumu. Lai būtu taisnīgi, tajos ir iekļauta ietekme, ciktāl tie mēra ievainojamības ietekmi uz sistēmu, aplūkojot konfidencialitātes, integritātes un pieejamības faktorus. Tie visi ir svarīgi aplūkotie elementi, piemēram, ar vieglāk izmērāmu piekļuves vektoru, piekļuves sarežģītību un autentifikāciju, taču tie neuzskata par uzdevumu saistīt reālās pasaules ietekmi, kad ievainojamība organizācijai rada reālus zaudējumus.

Piemēram, Equifax pārkāpums, kas atklāja apmēram 145 miljonu cilvēku personiski identificējamu informāciju, ieskaitot informāciju par viņu vadītāju apliecībām, sociālās apdrošināšanas numurus un citas bites, kuras negodīgi personāži varēja izmantot, lai veiktu masveida krāpšanas operācijas.

Tika ievainojama (CVE-2017-5638), kas tika atklāta projektā Apache Struts 2 un kuru Equifax izmantoja savā tīmekļa lietotnē, un tas ļāva uzbrucējiem iziet ārdurvīs un galu galā padarīt tās ārā ar ieročiem, kas bija pilni ar sulīgu personisko informāciju .

Lai gan NVD pamatoti piešķīra tā smaguma pakāpi 10 un AUGSTU, viņu lēmums bija saistīts ar tā iespējamā kaitējuma kvantitatīvo novērtējumu, un to neietekmēja plašais kaitējums, kas radās vēlāk, kad Equifax pārkāpums kļuva publisks.

Tas nav NVD pārraudzība, bet gan daļa no viņu paziņotās politikas.

NVD nodrošina CVSS "bāzes punktus", kas atspoguļo katras ievainojamības iedzimtos raksturlielumus. Pašlaik mēs nesniedzam “laika rādītājus” (rādītājus, kas laika gaitā mainās sakarā ar notikumiem, kas nav saistīti ar ievainojamību) vai “vides rādītājus” (rādītājus, kas pielāgoti, lai atspoguļotu ievainojamības ietekmi uz jūsu organizāciju).

Kvantitatīvās mērīšanas sistēmai lēmumu pieņēmējiem vajadzētu būt mazāk nozīmīgai, jo tā izskata iespējas, ka tā izplatīs kaitējumu visā nozarē. Ja esat bankas PSO, jums vajadzētu uztraukties par kvalitatīvo ietekmi, kādu krāpšana var radīt, ja tā tiek izmantota, lai atlīdzinātu jūsu klienta datus vai, kas vēl ļaunāk, viņu naudu. (Uzziniet par dažāda veida ievainojamībām sadaļā 5 visbīstamākie draudi.)

Laiks mainīt sistēmu?

Tātad, ja ievainojamībai Apache Strusts 2, kas tika izmantota Equifax lietā, būtu jāpiešķir augstāks vērtējums, ņemot vērā to, cik liels kaitējums izrādījās, vai arī tas, ka maiņa būtu pārāk subjektīva, lai tāda sistēma kā NVD sekot līdzi?

Mēs piešķiram, ka būs ārkārtīgi grūti nākt klajā ar nepieciešamajiem datiem, lai izstrādātu “vides novērtējumu” vai “laika rādītāju”, kā aprakstījis NVD, atverot bezmaksas CVSS komandas vadītājus bezgalīgai kritikai un daudz darba NVD un citiem par datu bāzu atjaunināšanu, kad parādās jauna informācija.

Protams, ir jautājums par to, kā šāds vērtējums tiktu apkopots, jo ļoti maz organizāciju, visticamāk, piedāvās vajadzīgos datus par pārkāpuma ietekmi, ja vien to nepieprasa informācijas atklāšanas likums. No Uber gadījuma mēs redzējām, ka uzņēmumi ir gatavi ātri izmaksāt, cerot, ka informācija par pārkāpumu nonāk presē, lai tie nesaskartos ar sabiedrību.

Iespējams, ka ir nepieciešama jauna sistēma, kurā varētu iekļaut daudzos ievainojamības datu bāzu centienus un, kad informācija kļūst pieejama, pievienot savu papildu punktu skaitu.

Kāpēc ierosināt šo papildu punktu skaitu, kad iepriekšējais šķiet visus šos gadus ir paveicis pietiekami labi?

Atklāti sakot, organizāciju atbildība ir jāuzņemas atbildībai par viņu pieteikumiem. Ideālā pasaulē ikviens pārbaudītu komponentu rādītājus, ko viņi izmanto savos izstrādājumos, pirms pievienošanas to sarakstam, saņemtu brīdinājumus, kad projektos, par kuriem agrāk tika uzskatīts, ka tie ir droši, atklāj jaunas ievainojamības, un paši ieviestu nepieciešamos ielāpus. .

Varbūt, ja būtu saraksts, kas parādītu, cik postoša var būt kāda no šīm ievainojamībām organizācijai, tad organizācijas varētu izjust lielāku spiedienu, lai nepieķirtos ar riskantiem komponentiem. Vismaz viņi varētu veikt pasākumus, lai reāli uzskaitītu atvērtās pirmkoda bibliotēkas, kas viņiem jau ir.

Pēc Equifax fiasko vairāk nekā viens C līmeņa izpilddirektors, visticamāk, skandēja, lai pārliecinātos, ka viņu izstrādājumos nav ievainojamā Struts versijas. Žēl, ka notika tik liela mēroga starpgadījums, lai mudinātu nozari nopietni uztvert viņu atvērtā koda drošību.

Cerams, ka mācība, ka jūsu lietojumprogrammu atvērtā pirmkoda komponentu ievainojamībai var būt ļoti reālas sekas, ietekmēs to, kā lēmumu pieņēmēji prioritāti piešķir drošībai, izvēloties pareizos rīkus, lai viņu produkti un klientu dati būtu drošībā.