Ποιοτικά vs. Ποσοτικά: Ώρα να αλλάξουμε Πώς αξιολογούμε την σοβαρότητα των τρωτότητας τρίτων;

Συγγραφέας: Roger Morrison
Ημερομηνία Δημιουργίας: 26 Σεπτέμβριος 2021
Ημερομηνία Ενημέρωσης: 21 Ιούνιος 2024
Anonim
Ποιοτικά vs. Ποσοτικά: Ώρα να αλλάξουμε Πώς αξιολογούμε την σοβαρότητα των τρωτότητας τρίτων; - Τεχνολογία
Ποιοτικά vs. Ποσοτικά: Ώρα να αλλάξουμε Πώς αξιολογούμε την σοβαρότητα των τρωτότητας τρίτων; - Τεχνολογία

Περιεχόμενο


Πηγή: BrianAJackson / iStockphoto

Πάρε μακριά:

Ήρθε η ώρα να ταρακουνήσουμε τα πράγματα με το πώς σκεφτόμαστε για την εκτίμηση του κινδύνου για συστατικά ανοικτού κώδικα.

Η ανάπτυξη ενός συστήματος για την αξιολόγηση της σοβαρότητας της κοινότητας ανάπτυξης λογισμικού θα πρέπει να αντιμετωπίσει τις αδυναμίες είναι μια πρόκληση, να το θέσουμε ελαφρώς. Ο κώδικας γράφεται από τον άνθρωπο και πάντα θα έχει ελαττώματα. Η ερώτηση λοιπόν, αν υποθέσουμε ότι τίποτα δεν θα είναι ποτέ τέλειο, είναι πώς μπορούμε καλύτερα να κατηγοριοποιούμε τα συστατικά ανάλογα με τον κίνδυνο τους με τρόπο που μας επιτρέπει να συνεχίσουμε να δουλεύουμε παραγωγικά;

Μόνο τα γεγονότα

Ενώ υπάρχουν πολλές διαφορετικές προσεγγίσεις που θα μπορούσαν να ληφθούν για την αντιμετώπιση αυτού του προβλήματος, καθένα με τη δική του έγκυρη αιτιολόγηση, η πιο κοινή μέθοδος φαίνεται να βασίζεται σε ένα ποσοτικό μοντέλο.

Αφενός, η χρήση μιας ποσοτικής προσέγγισης για την εκτίμηση της σοβαρότητας μιας ευπάθειας μπορεί να είναι χρήσιμη επειδή είναι πιο αντικειμενική και μετρήσιμη, με βάση μόνο τους παράγοντες που σχετίζονται με την ίδια την ευπάθεια.


Αυτή η μεθοδολογία εξετάζει το είδος της ζημίας που θα μπορούσε να προκύψει σε περίπτωση εκμετάλλευσης της ευπάθειας, λαμβάνοντας υπόψη πόσο ευρέως χρησιμοποιείται το στοιχείο, η βιβλιοθήκη ή το έργο που χρησιμοποιείται σε ολόκληρη την βιομηχανία λογισμικού, καθώς και παράγοντες όπως το είδος πρόσβασης που θα μπορούσε να δώσει σε έναν εισβολέα θανατηφόρο χάος εάν το χρησιμοποιήσουν για να παραβιάσουν τον στόχο τους. Παράγοντες όπως η εύκολη δυνητική εκμετάλλευση μπορούν να διαδραματίσουν σημαντικό ρόλο εδώ, επηρεάζοντας τη βαθμολογία. (Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στην Cybersecurity: Πώς οι νέες προόδους φέρνουν νέες απειλές - και αντίστροφα.)

Εάν θέλουμε να κοιτάξουμε σε μακροοικονομικό επίπεδο, η ποσοτική προοπτική εξετάζει πώς μια ευπάθεια θα μπορούσε να βλάψει το κοπάδι, εστιάζοντας λιγότερο στις ζημιές που θα μπορούσαν να βλάψουν τις εταιρείες που πραγματικά χτυπήθηκαν με την επίθεση.

Η Εθνική Βάση Δεδομένων Ευπάθειας (NVD), ίσως η πιο γνωστή βάση δεδομένων ευπάθειας, υιοθετεί αυτήν την προσέγγιση και για τις δύο εκδόσεις και το 3 το Σύστημα Κοινής Βαθμολόγησης Ευπάθειας (CVSS). Στη σελίδα τους που εξηγεί τις μετρήσεις τους για την αξιολόγηση των τρωτών σημείων, γράφουν για τη μέθοδο τους ότι:


Το ποσοτικό μοντέλο του εξασφαλίζει την επαναληπτική ακριβή μέτρηση, ενώ επιτρέπει στους χρήστες να δουν τα υποκείμενα χαρακτηριστικά ευπάθειας που χρησιμοποιήθηκαν για τη δημιουργία των αποτελεσμάτων. Έτσι, το CVSS είναι κατάλληλο ως ένα τυποποιημένο σύστημα μέτρησης για βιομηχανίες, οργανισμούς και κυβερνήσεις που χρειάζονται ακριβείς και συνεπείς βαθμολογίες επιπτώσεων ευπάθειας.

Βάσει των ποσοτικών παραγόντων στο παιχνίδι, η NVD μπορεί στη συνέχεια να παρουσιάσει μια βαθμολογία σοβαρότητας, και οι δύο με έναν αριθμό στην κλίμακα τους - 1 έως 10, με 10 το πιο σοβαρό - καθώς και κατηγορίες χαμηλών, μεσαίων και υψηλών .

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Λογιστική για επιπτώσεις;

Ωστόσο, η NVD φαίνεται να καταβάλλει προσπάθειες να αποφύγει αυτό που μπορούμε να ονομάσουμε ως περισσότερο ποιοτικό μέτρο μιας ευπάθειας, με βάση το πόσο επίπονη ήταν μια συγκεκριμένη εκμετάλλευση στην πρόκληση ζημιών. Για να είμαστε δίκαιοι, ενσωματώνουν επιπτώσεις στο μέτρο που μετρούν τον αντίκτυπο της ευπάθειας στο σύστημα, εξετάζοντας τους παράγοντες εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας. Αυτά είναι όλα τα σημαντικά στοιχεία για να εξετάσουμε - όπως με τον ευκολότερο μετρήσιμο φορέα πρόσβασης, την πολυπλοκότητα πρόσβασης και τον έλεγχο ταυτότητας - αλλά δεν αισθάνονται το καθήκον να συνδέουν τον αντίκτυπο του πραγματικού κόσμου όταν μια ευάλωτη θέση προκαλεί πραγματικές απώλειες σε μια οργάνωση.

Πάρτε, για παράδειγμα, την παραβίαση του Equifax που εξέθεσε τις προσωπικά αναγνωρίσιμες πληροφορίες περίπου 145 εκατομμυρίων ανθρώπων, συμπεριλαμβανομένων των λεπτομερειών άδειας οδήγησης, των αριθμών κοινωνικής ασφάλισης και άλλων κομματιών που θα μπορούσαν να χρησιμοποιηθούν από αδίστακτους χαρακτήρες για τη διεξαγωγή μαζικών επιχειρήσεων απάτης.

Ήταν η ευπάθεια (CVE-2017-5638) που ανακαλύφθηκε στο έργο Apache Struts 2 που χρησιμοποίησε η Equifax στην εφαρμογή τους που επέτρεψε στους επιτιθέμενους να περπατήσουν στην μπροστινή πόρτα και τελικά να το κάνουν με τα χέρια τους γεμάτα ζουμερές προσωπικές πληροφορίες .

Ενώ η NVD της χορήγησε σωστά βαθμολογία 10 και ΥΨΗΛΟ, η απόφασή τους οφειλόταν στην ποσοτική εκτίμηση των πιθανών ζημιών και δεν επηρεάστηκε από τις εκτεταμένες ζημίες που σημειώθηκαν αργότερα, όταν η παραβίαση του Equifax έγινε δημόσια.

Αυτό δεν αποτελεί επίβλεψη της NVD, αλλά ένα μέρος της δήλωσής της.

Το NVD παρέχει CVSS "βασικές βαθμολογίες" που αντιπροσωπεύουν τα εγγενή χαρακτηριστικά κάθε ευπάθειας. Αυτήν τη στιγμή δεν παρέχουμε "χρονικές βαθμολογίες" (μετρήσεις που αλλάζουν με την πάροδο του χρόνου εξαιτίας γεγονότων που είναι εκτός ευπάθειας) ή "περιβαλλοντικές βαθμολογίες" (βαθμολογίες προσαρμοσμένες ώστε να αντικατοπτρίζουν την επίδραση της ευπάθειας στον οργανισμό σας).

Για τους υπεύθυνους για τη λήψη αποφάσεων, το σύστημα ποσοτικών μετρήσεων θα πρέπει να είναι λιγότερο σημαντικό, δεδομένου ότι εξετάζει τις πιθανότητες να εξαπλωθεί βλάβη σε ολόκληρη τη βιομηχανία. Εάν είστε ο CSO μιας τράπεζας, θα πρέπει να ανησυχείτε για τον ποιοτικό αντίκτυπο που μπορεί να έχει ένα εκμεταλλευόμενο, εάν χρησιμοποιείται για να κάνει τα δεδομένα του πελάτη σας ή ακόμα χειρότερα τα χρήματά του. (Μάθετε για τους διαφορετικούς τύπους ευπάθειας στις 5 πιο τρομακτικές απειλές στην τεχνολογία)

Ώρα να αλλάξετε το σύστημα;

Έτσι, η ευπάθεια στο Apache Strusts 2 που χρησιμοποιήθηκε στην υπόθεση Equifax θα έπρεπε να έχει υψηλότερη κατάταξη ανάλογα με το πόσο εκτεταμένη ήταν η ζημιά ή ότι η μετατόπιση θα ήταν πολύ υποκειμενική για ένα σύστημα όπως το NVD συνεχίσω;

Υποστηρίζουμε ότι η συγκέντρωση των απαραίτητων δεδομένων για να καταλήξουμε σε ένα "περιβαλλοντικό αποτέλεσμα" ή "χρονική βαθμολογία" όπως περιγράφεται από το NVD θα ήταν εξαιρετικά δύσκολη, ανοίγοντας τους διαχειριστές της ελεύθερης ομάδας CVSS μέχρι την ατέλειωτη κριτική και τον τόνο εργασίας για την NVD και άλλους για την ενημέρωση των βάσεων δεδομένων τους καθώς προκύπτουν νέες πληροφορίες.

Υπάρχει βεβαίως το ερώτημα σχετικά με τον τρόπο με τον οποίο θα συγκεντρωθεί μια τέτοια βαθμολογία, καθώς πολύ λίγοι οργανισμοί είναι πιθανό να προσφέρουν τα απαραίτητα στοιχεία σχετικά με τις επιπτώσεις μιας παραβίασης, εκτός εάν απαιτείται από έναν νόμο κοινοποίησης. Έχουμε δει από την περίπτωση της Uber ότι οι εταιρείες είναι πρόθυμες να πληρώσουν γρήγορα με την ελπίδα ότι θα κρατήσουν τις πληροφορίες που περιβάλλουν μια παράβαση να φθάσουν στον Τύπο μήπως αντιμετωπίσουν μια δημόσια αντίδραση.

Ίσως αυτό που είναι απαραίτητο είναι ένα νέο σύστημα που θα μπορούσε να ενσωματώσει τις καλές προσπάθειες από τις βάσεις δεδομένων ευπάθειας και να προσθέσει το δικό του πρόσθετο αποτέλεσμα όταν διατίθενται πληροφορίες.

Γιατί προωθήστε αυτό το επιπλέον στρώμα βαθμολόγησης όταν το προηγούμενο φαίνεται να έχει κάνει τη δουλειά του αρκετά καλά όλα αυτά τα χρόνια;

Ειλικρινά, καταλήγουμε στη λογοδοσία των οργανώσεων να αναλάβουν την ευθύνη για τις αιτήσεις τους. Σε έναν ιδανικό κόσμο, όλοι θα ελέγξουν τα αποτελέσματα των συστατικών που χρησιμοποιούν στα προϊόντα τους πριν τα προσθέσουν στην απογραφή τους, θα λάβουν ειδοποιήσεις όταν ανακαλύπτονται νέα ευπάθειες σε έργα που θεωρούνται προηγουμένως ασφαλή και να εφαρμόσουν τα απαραίτητα μπαλώματα όλα αυτά καθαυτά .

Ίσως αν υπήρχε ένας κατάλογος που έδειχνε πόσο καταστροφικές κάποιες από αυτές τις ευπάθειες θα μπορούσαν να είναι για μια οργάνωση, τότε οι οργανώσεις μπορεί να αισθάνονται μεγαλύτερη πίεση να μην πιαστούν με επικίνδυνα συστατικά. Τουλάχιστον, θα μπορούσαν να λάβουν μέτρα για να κάνουν μια πραγματική απογραφή των βιβλιοθηκών ανοιχτού κώδικα που έχουν ήδη.

Μετά το fiasco του Equifax, περισσότερα από ένα στελέχη σε επίπεδο C ήταν πιθανό να ανακατεύουν για να βεβαιωθούν ότι δεν είχαν την ευάλωτη εκδοχή των Struts στα προϊόντα τους. Είναι ατυχές το γεγονός ότι χρειάστηκε ένα περιστατικό αυτού του μεγέθους για να ωθήσει τον κλάδο να λάβει σοβαρά υπόψη την ασφάλεια ανοιχτής πηγής.

Ας ελπίσουμε ότι το μάθημα ότι οι αδυναμίες στα συστατικά ανοικτής πηγής των εφαρμογών σας μπορεί να έχουν συνέπειες πολύ πραγματικού κόσμου θα έχει αντίκτυπο στον τρόπο με τον οποίο οι ιθύνοντες θα δώσουν προτεραιότητα στην ασφάλεια, επιλέγοντας τα κατάλληλα εργαλεία για να διατηρούν τα προϊόντα και τα δεδομένα των πελατών τους ασφαλή.