Sadržaj
- Samo činjenice
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- Računovodstvo učinka?
- Vrijeme je za promjenu sustava?
Izvor: BrianAJackson / iStockphoto
Oduzeti:
Vrijeme je da se istrebamo kako razmišljamo o procjeni rizika za komponente otvorenog koda.
Izazov je, lako rečeno, razviti sustav za procjenu koliko ozbiljno zajednica za razvoj softvera treba uzeti ranjivosti. Kod su napisali ljudi i uvijek će imati nedostataka. Pitanje je onda, ako pretpostavimo da nikad ništa neće biti savršeno, kako na najbolji način razvrstati komponente prema riziku na način koji nam omogućava da nastavimo produktivno raditi?
Samo činjenice
Iako postoji mnogo različitih pristupa koji se mogu poduzeti u rješavanju ovog problema, svaki sa svojim valjanim opravdanjem, čini se da se najčešća metoda temelji na kvantitativnom modelu.
S jedne strane, kvantitativni pristup prosuđivanju ozbiljnosti ranjivosti može biti koristan jer je objektivniji i mjerljiviji, temeljen samo na faktorima koji su povezani sa samom ugroženošću.
Ovom se metodologijom preispituje vrsta štete koja bi se mogla dogoditi u slučaju korištenja ranjivosti, s obzirom na to koliko se komponenta, knjižnica ili projekt koristi u cijeloj softverskoj industriji, kao i na faktore kao što je to kakav pristup može dati napadaču olupina pustoš ako ga koriste da bi razbili svoju metu. Čimbenici poput jednostavne potencijalne iskoristivosti mogu ovdje igrati veliku ulogu u utjecaju na rezultat. (Za više informacija o sigurnosti, pogledajte stranicu Cybersecurity: How New Advances donosi nove prijetnje - i Vice Versa.)
Ako želimo pogledati na makro razini, kvantitativna perspektiva promatra kako ranjivost može naštetiti krdu, manje se usredotočujući na štetu koja bi mogla pasti na tvrtke koje su napadom zapravo pogođene.
Nacionalna baza podataka o ranjivosti (NVD), možda najpoznatija baza ranjivosti, koristi ovaj pristup za obje verzije 2 i 3 kao njihov zajednički sustav za ocjenu ranjivosti (CVSS). Na svojoj stranici koja objašnjava svoje metrike za procjenu ranjivosti pišu svoje metode koje:
Njegov kvantitativni model osigurava precizna mjerenja koja se mogu ponoviti, omogućujući korisnicima da vide osnovne karakteristike ranjivosti koje su korištene za generiranje rezultata. Stoga je CVSS vrlo prikladan kao standardni sustav mjerenja za industrije, organizacije i vlade kojima su potrebne precizne i dosljedne ocjene utjecaja ranjivosti.
Na temelju kvantitativnih čimbenika koji se igraju, NVD je tada u mogućnosti utvrditi ozbiljnost, oboje s brojem na ljestvici - 1 do 10, s tim da je 10 najteži - kao i kategorijama NISKI, SREDNJI i VISOKI ,
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Računovodstvo učinka?
Međutim, čini se da se NVD trudi da ostane dalje od onoga što možemo nazvati kvalitativnom mjerom ranjivosti, temeljenom na tome koliko je određeni podvig učinio nanošenje štete. Da bi bili pošteni, oni uključuju utjecaj u mjeri u kojoj mjere utjecaj ranjivosti na sustav, gledajući čimbenike povjerljivosti, integriteta i dostupnosti. Sve su to važni elementi koje treba pogledati - poput jednostavnijeg mjerljivog vektora pristupa, složenosti pristupa i provjere autentičnosti - ali oni ne osjećaju zadatak povezivanja utjecaja u stvarnom svijetu kada ranjivost uzrokuje stvarne gubitke u organizaciji.
Uzmimo za primjer kršenje Equifaxa koje su otkrile osobne podatke o oko 145 milijuna ljudi, uključujući podatke o njihovim vozačkim dozvolama, brojeve socijalnog osiguranja i druge bitove koje bi beskrupulozni likovi mogli koristiti za obavljanje masovnih operacija prijevara.
Upravo je ranjivost (CVE-2017-5638) otkrivena u projektu Apache Struts 2 koji je Equifax koristio u svojoj web aplikaciji koji je napadačima omogućio da uđu na ulazna vrata i na kraju ih razriješe rukama prepunih sočnih osobnih podataka ,
Iako mu je NVD s pravom dao ocjenu ozbiljnosti od 10 i VISOKO, njihova odluka je zbog kvantitativne procjene njegove potencijalne štete i na nju nije utjecala velika šteta koja je nastala kasnije kada je kršenje Equifaxa postalo javno.
Ovo nije nadzor NVD-a, već dio njihove navedene politike.
NVD pruža CVSS "osnovne rezultate" koji predstavljaju urođene karakteristike svake ranjivosti. Trenutno ne dajemo "vremenske rezultate" (mjerne podatke koji se vremenom mijenjaju zbog događaja izvan ranjivosti) ili "ocjene okoliša" (bodovi prilagođeni tako da odražavaju utjecaj ranjivosti na vašu organizaciju).
Za donositelje odluka, kvantitativni mjerni sustav trebao bi biti manje važan jer promatra šanse za širenje štete u industriji. Ako ste OCD banke, trebali biste se brinuti o kvalitativnom utjecaju koji eksploatacija može imati ako se koristi za nadoknađivanje s podacima vašeg klijenta ili, još gore, njihovim novcem. (Saznajte više o različitim vrstama ranjivosti u Pet najstrašnijih prijetnji tehnikom.)
Vrijeme je za promjenu sustava?
Pa bi li ranjivost u Apache Strusts 2 koja je korištena u slučaju Equifax trebala dobiti viši rang s obzirom na to koliko su štete ispoljavale ili bi se činilo da je pomak previše subjektivan za sustav poput NVD-a nastaviti?
Omogućujemo da bi stvaranje potrebnih podataka za postizanje "ekološke ocjene" ili "vremenske ocjene", kako je to opisao NVD, bilo izuzetno teško, otvarajući menadžere besplatnog CVSS tima beskrajne kritike i tonu posla za NVD i druge za ažuriranje njihovih baza podataka kada se pojave nove informacije.
Naravno, postavlja se i pitanje kako bi se sastavio takav rezultat, jer će vrlo malo organizacija vjerojatno ponuditi potrebne podatke o utjecaju kršenja prava, osim ako to zahtijeva zakon o otkrivanju podataka. Iz slučaja Uber vidjeli smo da su kompanije spremne brzo platiti u nadi da će informacije oko kršenja pravila uspjeti stići do novina kako se ne bi suočile s javnim odjekom.
Možda je potreban novi sustav koji bi mogao uključiti dobre napore iz baza podataka o ranjivosti i dodati svoj dodatni rezultat kada informacije postanu dostupne.
Zašto pokrenuti ovaj dodatni sloj bodovanja kada se čini da je prethodni dobro obavljao svoj posao svih ovih godina?
Iskreno, svodi se na odgovornost organizacije da preuzmu odgovornost za svoje prijave. U idealnom bi svijetu svi provjerili rezultate komponenti koje koriste u svojim proizvodima prije nego što ih dodaju u svoj inventar, primili su upozorenja kada se otkriju nove ranjivosti u projektima za koje se prije mislilo da su sigurni, i sami proveli potrebne zakrpe ,
Možda ako je postojao popis koji bi pokazao koliko uništavajuće neke od tih ranjivosti mogu biti za neku organizaciju, onda bi organizacije mogle osjetiti veći pritisak da ne budu uhvaćene u rizične komponente. U najmanju ruku, oni bi mogli poduzeti korake da izvedu stvarni popis biblioteka otvorenog koda koje već imaju.
Nakon fijaska Equifax, više od jednog izvršnog rukovoditelja na razini C vjerojatno će se pobrinuti da u svojim proizvodima nema ranjivu verziju Strutsa. Nezgodno je da je bilo potrebno incidenta tolike veličine da se ova industrija natjera da ozbiljno shvati njihovu sigurnost otvorenih izvora.
Nadamo se da će lekcija da ranjivosti u komponentama otvorenog koda vaših aplikacija može imati vrlo stvarne posljedice imati utjecaja na to kako donositelji odluka daju prioritet sigurnosti, odabirom pravih alata za zaštitu podataka svojih proizvoda i klijenata.