เชิงคุณภาพเทียบกับปริมาณ: เวลาเปลี่ยนวิธีที่เราประเมินความรุนแรงของช่องโหว่ของบุคคลที่สาม

ผู้เขียน: Roger Morrison
วันที่สร้าง: 26 กันยายน 2021
วันที่อัปเดต: 19 มิถุนายน 2024
Anonim
บทเรียนธุรกิจ เปลี่ยนชุดความคิดผู้นำ สำหรับปี 2021 | The Secret Sauce MEDLEY #25
วิดีโอ: บทเรียนธุรกิจ เปลี่ยนชุดความคิดผู้นำ สำหรับปี 2021 | The Secret Sauce MEDLEY #25

เนื้อหา


ที่มา: BrianAJackson / iStockphoto

Takeaway:

ถึงเวลาที่จะเขย่าความคิดของเราเกี่ยวกับการประเมินความเสี่ยงสำหรับองค์ประกอบโอเพนซอร์ส

การพัฒนาระบบสำหรับการประเมินว่าชุมชนการพัฒนาซอฟท์แวร์ควรมีช่องโหว่เป็นเรื่องยากเพียงใด รหัสถูกเขียนขึ้นโดยมนุษย์และมักจะมีข้อบกพร่อง คำถามที่ว่าถ้าเราสมมติว่าไม่มีอะไรสมบูรณ์แบบเราจะจัดหมวดหมู่องค์ประกอบตามความเสี่ยงของพวกเขาได้ดีที่สุดในวิธีที่ทำให้เราสามารถทำงานต่อไปได้อย่างมีประสิทธิภาพหรือไม่

เพียงข้อเท็จจริง

ในขณะที่มีวิธีการที่แตกต่างกันมากมายที่เราสามารถจัดการกับปัญหานี้ได้ แต่แต่ละวิธีก็มีเหตุผลที่ถูกต้อง แต่วิธีการที่พบบ่อยที่สุดนั้นใช้แบบจำลองเชิงปริมาณ

ในอีกด้านหนึ่งการใช้วิธีการเชิงปริมาณในการตัดสินความรุนแรงของช่องโหว่นั้นมีประโยชน์ในการที่จะมีวัตถุประสงค์และวัดผลได้มากขึ้นโดยพิจารณาจากปัจจัยที่เกี่ยวข้องกับช่องโหว่นั้นเท่านั้น

วิธีการนี้จะพิจารณาว่าความเสียหายประเภทใดที่อาจเกิดขึ้นได้หากช่องโหว่ถูกนำไปใช้พิจารณาถึงการใช้งานส่วนประกอบไลบรารีหรือโครงการที่ใช้กันอย่างแพร่หลายในอุตสาหกรรมซอฟต์แวร์ตลอดจนปัจจัยต่างๆเช่นการเข้าถึงแบบใดที่สามารถโจมตีผู้บุกรุกได้ ทำลายความเสียหายที่พวกเขาควรใช้เพื่อทำลายเป้าหมายของพวกเขา ปัจจัยเช่นความสามารถในการใช้ประโยชน์ได้ง่ายนั้นมีบทบาทสำคัญในการให้คะแนน (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยตรวจสอบความปลอดภัยทางอินเทอร์เน็ต: ความก้าวหน้าใหม่นำภัยคุกคามใหม่ - และในทางกลับกัน)


หากเราต้องการมองในระดับมหภาคมุมมองเชิงปริมาณจะพิจารณาว่าช่องโหว่อาจทำร้ายฝูงได้อย่างไรโดยมุ่งเน้นที่ความเสียหายน้อยกว่าที่อาจเกิดขึ้นกับ บริษัท ที่ถูกโจมตีด้วยการโจมตีจริง

ฐานข้อมูลช่องโหว่แห่งชาติ (NVD) ซึ่งอาจเป็นฐานข้อมูลที่รู้จักกันดีที่สุดของช่องโหว่ใช้วิธีนี้สำหรับทั้งเวอร์ชัน 2 และ 3 ช่องโหว่ทั่วไประบบการให้คะแนน (CVSS) ในหน้าของพวกเขาอธิบายการวัดของพวกเขาสำหรับการประเมินช่องโหว่พวกเขาเขียนวิธีการที่:

แบบจำลองเชิงปริมาณของมันช่วยให้มั่นใจได้ว่าการวัดที่แม่นยำสามารถทำซ้ำได้ในขณะที่ทำให้ผู้ใช้สามารถดูลักษณะความอ่อนแอที่ซ่อนอยู่ซึ่งใช้ในการสร้างคะแนน ดังนั้น CVSS จึงเหมาะสมเป็นระบบการวัดมาตรฐานสำหรับอุตสาหกรรมองค์กรและรัฐบาลที่ต้องการคะแนนผลกระทบต่อช่องโหว่ที่แม่นยำและสม่ำเสมอ

จากปัจจัยเชิงปริมาณในการเล่น NVD นั้นสามารถทำคะแนนความรุนแรงได้ทั้งจาก 1 ถึง 10 และ 10 เป็นระดับที่รุนแรงที่สุดรวมถึง LOW, MEDIUM และ HIGH .

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์


การบัญชีสำหรับผลกระทบ?

อย่างไรก็ตาม NVD ดูเหมือนจะพยายามหลีกเลี่ยงสิ่งที่เราสามารถเรียกได้ว่าเป็นมาตรการเชิงคุณภาพเพิ่มเติมเกี่ยวกับช่องโหว่โดยพิจารณาจากผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่เกิดขึ้นได้รับความเสียหาย เพื่อความเป็นธรรมพวกเขารวมผลกระทบในขณะที่พวกเขาวัดผลกระทบของช่องโหว่ในระบบโดยดูที่ปัจจัยของการรักษาความลับความสมบูรณ์และความพร้อมใช้งาน สิ่งเหล่านี้ล้วนเป็นองค์ประกอบที่สำคัญที่ต้องพิจารณาเช่นการเข้าถึงเวกเตอร์ที่วัดได้ง่ายขึ้นความซับซ้อนในการเข้าถึงและการพิสูจน์ตัวตน - แต่พวกเขาไม่รู้สึกถึงหน้าที่ที่เกี่ยวข้องกับผลกระทบในโลกแห่งความจริงเมื่อช่องโหว่ทำให้องค์กรขาดทุน

ยกตัวอย่างเช่นการฝ่าฝืน Equifax ที่เปิดเผยข้อมูลที่สามารถระบุตัวบุคคลได้ถึง 145 ล้านคนรวมถึงรายละเอียดใบขับขี่หมายเลขประกันสังคมและบิตอื่น ๆ ที่สามารถใช้โดยตัวละครไร้ยางอายเพื่อปฏิบัติการฉ้อโกงครั้งใหญ่

มันเป็นช่องโหว่ (CVE-2017-5638) ที่ถูกค้นพบในโครงการ Apache Struts 2 ที่ Equifax ใช้ในเว็บแอปของพวกเขาที่อนุญาตให้ผู้โจมตีเดินไปที่ประตูหน้าและในที่สุดก็ทำให้แขนของพวกเขาเต็มไปด้วยข้อมูลส่วนตัวที่ฉ่ำ .

ในขณะที่ NVD ให้คะแนนความรุนแรงอย่างถูกต้องที่ 10 และสูงการตัดสินใจของพวกเขาคือเนื่องจากการประเมินเชิงปริมาณของความเสียหายที่อาจเกิดขึ้นและไม่ได้รับผลกระทบจากความเสียหายที่เกิดขึ้นในภายหลังเมื่อการละเมิด Equifax กลายเป็นสาธารณะ

นี่ไม่ใช่การกำกับดูแลของ NVD แต่เป็นส่วนหนึ่งของนโยบายที่ระบุไว้

NVD จัดทำ "คะแนนฐาน" CVSS ซึ่งแสดงถึงลักษณะโดยธรรมชาติของแต่ละช่องโหว่ ขณะนี้เราไม่ได้จัดทำ "คะแนนชั่วคราว" (ตัวชี้วัดที่เปลี่ยนแปลงเมื่อเวลาผ่านไปเนื่องจากเหตุการณ์ที่เกิดจากความอ่อนแอ) หรือ "คะแนนสิ่งแวดล้อม" (คะแนนที่กำหนดเองเพื่อสะท้อนผลกระทบของความอ่อนแอต่อองค์กรของคุณ)

สำหรับผู้มีอำนาจตัดสินใจระบบการวัดเชิงปริมาณควรมีความสำคัญน้อยกว่าเพราะมองถึงโอกาสที่จะแพร่กระจายความเสียหายในอุตสาหกรรม หากคุณเป็น CSO ของธนาคารคุณควรคำนึงถึงผลกระทบเชิงคุณภาพที่การเอาเปรียบอาจมีหากใช้เพื่อเปิดเผยข้อมูลของลูกค้าของคุณหรือแย่กว่านั้นคือเงินของพวกเขา (เรียนรู้เกี่ยวกับช่องโหว่ประเภทต่าง ๆ ใน The 5 Scariest Threats In Tech.)

เวลาที่จะเปลี่ยนระบบ?

ดังนั้นช่องโหว่ใน Apache Strusts 2 ที่ใช้ในกรณี Equifax จะได้รับการจัดอันดับที่สูงขึ้นในแง่ของความเสียหายที่เกิดขึ้นอย่างกว้างขวางหรือจะทำให้การเปลี่ยนแปลงกลายเป็นเรื่องส่วนตัวเกินไปสำหรับระบบเช่น NVD ติดตามต่อไป?

เราให้ที่มาพร้อมกับข้อมูลที่จำเป็นในการขึ้นกับ "คะแนนสิ่งแวดล้อม" หรือ "คะแนนชั่วคราว" ตามที่อธิบายโดย NVD จะยากมากเปิดผู้จัดการของทีม CVSS ฟรีเพื่อวิจารณ์ไม่รู้จักจบและงานมากมาย สำหรับ NVD และอื่น ๆ สำหรับการอัพเดทฐานข้อมูลเมื่อมีข้อมูลใหม่ออกมา

แน่นอนว่ามีคำถามเกี่ยวกับวิธีรวบรวมคะแนนดังกล่าวเนื่องจากมีองค์กรเพียงไม่กี่แห่งที่เสนอข้อมูลที่จำเป็นเกี่ยวกับผลกระทบของการฝ่าฝืนเว้นแต่กฎหมายกำหนดให้เปิดเผยข้อมูล เราเห็นจากกรณีของ Uber ว่า บริษัท ยินดีจ่ายเงินอย่างรวดเร็วด้วยความหวังว่าจะเก็บข้อมูลโดยรอบให้พ้นจากการเข้าถึงสื่อมวลชนเพื่อมิให้พวกเขาต้องเผชิญกับฟันเฟืองสาธารณะ

บางทีสิ่งที่จำเป็นคือระบบใหม่ที่สามารถรวมความพยายามที่ดีจากฐานข้อมูลความเสี่ยงและเพิ่มคะแนนของตนเองเมื่อมีข้อมูล

ทำไมต้องให้คะแนนชั้นพิเศษนี้เมื่อคะแนนที่ผ่านมาดูเหมือนว่าทำงานได้ดีพอทุกปี

ตรงไปตรงมาก็คือความรับผิดชอบที่องค์กรต้องรับผิดชอบต่อการสมัคร ในโลกอุดมคติทุกคนจะตรวจสอบคะแนนของส่วนประกอบที่ใช้ในผลิตภัณฑ์ก่อนเพิ่มลงในสินค้าคงคลังของตนรับการแจ้งเตือนเมื่อค้นพบช่องโหว่ใหม่ในโครงการก่อนหน้านี้ที่คิดว่าปลอดภัยและดำเนินการแก้ไขที่จำเป็นทั้งหมดด้วยตนเอง .

บางทีหากมีรายการที่แสดงให้เห็นว่าการทำลายล้างช่องโหว่เหล่านี้อาจเกิดขึ้นกับองค์กรได้อย่างไรองค์กรอาจรู้สึกกดดันมากกว่าที่จะไม่ติดกับส่วนประกอบที่มีความเสี่ยง อย่างน้อยที่สุดพวกเขาอาจทำตามขั้นตอนเพื่อดำเนินการสินค้าคงคลังจริงซึ่งมีไลบรารีโอเพ่นซอร์สที่พวกเขามีอยู่แล้ว

หลังจากเหตุการณ์ Equifax fiasco ผู้บริหารระดับ C มากกว่าหนึ่งคนมีแนวโน้มที่จะตรวจสอบเพื่อให้แน่ใจว่าพวกเขาไม่มี Struts รุ่นที่มีช่องโหว่ในผลิตภัณฑ์ของตน มันเป็นเรื่องโชคร้ายที่เกิดเหตุการณ์ขนาดนี้เพื่อผลักดันให้อุตสาหกรรมรักษาความปลอดภัยแบบโอเพ่นซอร์สอย่างจริงจัง

หวังว่าบทเรียนที่ช่องโหว่ในองค์ประกอบโอเพ่นซอร์สของแอปพลิเคชันของคุณจะมีผลกระทบในโลกแห่งความเป็นจริงมากจะส่งผลต่อวิธีการที่ผู้มีอำนาจตัดสินใจจัดลำดับความสำคัญด้านความปลอดภัยเลือกเครื่องมือที่เหมาะสมเพื่อรักษาความปลอดภัยของผลิตภัณฑ์และข้อมูลของลูกค้า