Квалитативни према квантитативном: Време за промену како процењујемо озбиљност рањивости трећих страна?

Аутор: Roger Morrison
Датум Стварања: 26 Септембар 2021
Ажурирати Датум: 21 Јуни 2024
Anonim
Квалитативни према квантитативном: Време за промену како процењујемо озбиљност рањивости трећих страна? - Технологија
Квалитативни према квантитативном: Време за промену како процењујемо озбиљност рањивости трећих страна? - Технологија

Садржај


Извор: БрианАЈацксон / иСтоцкпхото

Одузети:

Време је да разјаснимо ствари како размишљамо о процени ризика за компоненте са отвореним кодом.

Израда система за процену колико озбиљно заједница за развој софтвера треба да схвати рањивости представља изазов, лагано речено. Код су написали људи и увек ће имати недостатака. Питање је онда, ако претпоставимо да никад ништа неће бити савршено, како на најбољи начин категорисати компоненте према ризику на начин који нам омогућава да наставимо продуктивно радити?

Само чињенице

Иако постоји много различитих приступа којима се може суочити са овим проблемом, сваки са својим валидним образложењем, чини се да се најчешћа метода заснива на квантитативном моделу.

С једне стране, коришћење квантитативног приступа процењивању озбиљности рањивости може бити корисно јер је објективније и мерљиво, засновано искључиво на факторима који су повезани са самом угроженошћу.

Ова методологија проучава какву штету може настати ако се рањивост искористи, с обзиром на то колико се широко користи компонента, библиотека или пројекат који се користи у софтверској индустрији, као и на факторе као што је какав приступ може дати нападачу олупина пустоши ако их искористе за пробијање циља. Чимбеници попут једноставне потенцијалне искористивости могу овде играти велику улогу у утицају на резултат. (Више о безбедности потражите у вези са цибер-сигурношћу: како нови успеси доносе нове претње - и вице Верса.)


Ако желимо да погледамо на макро нивоу, квантитативна перспектива гледа на то како рањивост може наштетити крду, мање се фокусирајући на штету која би могла да падне на компаније које су нападом заправо погођене.

Национална база података о рањивости (НВД), можда најпознатија база рањивости, користи овај приступ за верзије 2 и 3 као њихов заједнички систем за оцењивање рањивости (ЦВСС). На својој страници која објашњава своје метрике за процењивање рањивости, они пишу о свом методу да:

Његов квантитативни модел осигурава тачно мерење које се може поновити истовремено омогућава корисницима да виде основне карактеристике рањивости које су коришћене за генерисање резултата. Стога је ЦВСС веома погодан као стандардни систем мерења за индустрије, организације и владе којима су потребни тачни и конзистентни резултати утицаја на угроженост.

На основу квантитативних фактора који се одигравају, НВД је тада у могућности да избори оцену озбиљности, обоје са бројем на скали од 1 до 10, при чему је 10 најтежи - као и категоријама НИСКИ, СРЕДЊИ и ВИСОКИ .


Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот

Не можете побољшати своје вештине програмирања када никога није брига за квалитет софтвера.

Рачуноводство утицаја?

Међутим, чини се да НВД настоји да се ослободи онога што можемо назвати квалитативнијом мјером рањивости, заснованом на томе колико је одређени подвиг учинио наношење штете. Да би били фер, они укључују утицај у мјери у којој мјере утјецај рањивости на систем, гледајући факторе повјерљивости, интегритета и доступности. Све су то важни елементи на које треба да се позабаве - попут једноставније мерљивог вектора приступа, сложености приступа и аутентификације - али они не осећају задатак повезивања утицаја у стварном свету када рањивост нанесе организацији стварне губитке.

Узмимо за пример повреду Екуифака која је разоткрила личне податке око 145 милиона људи, укључујући податке о њиховим возачким дозволама, бројеве социјалног осигурања и друге битове које би бескрупулозни ликови могли да користе за обављање масовних операција превара.

Управо је рањивост (ЦВЕ-2017-5638) откривена у пројекту Апацхе Струтс 2 који је Екуифак користио у својој веб апликацији који је омогућавао нападачима да ходају на улазним вратима и на крају су то учинили рукама пуним сочних личних података .

Иако му је НВД с правом дао оцену степена озбиљности 10 и ХИГХ, њихова одлука је настала због квантитативне процене његове потенцијалне штете и на њу није утицала велика штета која је настала касније када је повреда Екуифака постала јавна.

Ово није надзор НВД-а, већ део њихове наведене политике.

НВД пружа ЦВСС "основне резултате" који представљају урођене карактеристике сваке рањивости. Тренутно не дајемо „временске резултате“ (метрике које се током времена мењају због догађаја изван ранљивости) или „оцене животне средине“ (оцене прилагођене да одражавају утицај рањивости на вашу организацију).

За доносиоце одлука, квантитативни систем мерења би требало да буде мање важан, јер се преиспитује шанса да ће он наштетити индустрији. Ако сте ОЦД банке, требали бисте се бринути о квалитативном утицају који експлоатација може имати ако се користи за надокнађивање података вашег клијента или, још горе, њиховог новца. (Сазнајте више о различитим врстама рањивости у Пет најстрашнијих претњи техником.)

Време је за промену система?

Тако да би рањивост у Апацхе Струстс 2 која је кориштена у случају Екуифак требала добити виши ранг с обзиром на то колико су штете испољавале или би се учинило да помак постане превише субјективан за систем попут НВД-а наставити?

Омогућујемо да би стварање потребних података за постизање „еколошке оцене“ или „временске оцене“, како је то описао НВД, било изузетно тешко, отварајући менаџере бесплатног ЦВСС тима до бескрајних критика и тона посла за НВД и друге за ажурирање својих база података како нове информације излазе.

Наравно, поставља се и питање како би се саставио такав резултат, јер ће врло мало организација вероватно понудити потребне податке о утицају кршења уколико то не захтева закон о обелодањивању. Из случаја Убера смо видели да су компаније спремне да брзо плате у нади да ће информације око кршења закона доћи до штампе да се не би суочиле са јавношћу.

Можда је потребан нови систем који би могао да укључи добре напоре из база података о рањивости и дода свој додатни резултат када информације постану доступне.

Зашто иницирати овај додатни слој бодовања када се чини да је претходни добро обављао свој посао свих ових година?

Искрено, своди се на одговорност да организације преузму одговорност за своје апликације. У идеалном свету би сви проверили делове компоненти које користе у својим производима пре него што их додају у свој инвентар, добили су упозорења када се открију нове рањивости у пројектима за које се претходно сматрало да су сигурни, и провели потребне закрпе све сами. .

Можда ако би постојала листа која би показала колико погубне неке од тих рањивости могу за организацију, онда би организације могле осетити већи притисак да се не ухвате ризичних компоненти. У најмању руку, они би могли предузети кораке да изведу стварни попис библиотека отвореног кода које већ имају.

Након фијаска Екуифак, више од једног извршног руководиоца на нивоу Ц вероватно се побркало да се увери да немају рањиву верзију Струтса у својим производима. Незгодно је да је био потребан инцидент ове величине да се индустрија натера да озбиљно схвате њихову сигурност отвореног кода.

Надамо се да ће лекција да рањивости у компонентама отвореног кода ваших апликација може имати последице у стварном свету утицати на то како доносиоци одлука дају предност безбедности, бирајући праве алате за очување података о својим производима и клијентима.