Všeobecně uznávaná metoda hodnocení závažnosti zranitelností softwaru a hardwaru se musí zrevidovat, protože poskytuje potenciálně zavádějící hodnocení závažnosti, uvedli na nedávné konferenci Black Hat Europe bezpečnostní odborníci finančního gigantu JPMorgan Chase.
Sledujete zranitelnosti svých aplikací?
Systém CVSS (Common Vulnerability Scoring System) sice využívá ke kvantifikaci závažnosti zranitelností různé metriky, podle JPMorgan ale systém přesně neodráží reálná rizika spojená se zranitelnostmi.
Problém pak spočívá v tom, že kvůli nepřesnému hodnocení mnoha zranitelností následně organizace určují priority nápravných opatření na základě chybných údajů, a tedy pro sebe nevhodným způsobem.
Skóre CVSS například nezohledňuje kontextové faktory, jako je prostředí, ve kterém zranitelnost existuje, nebo zda už byla aktivně zneužitá v kybernetickém světě.
„Metriky dopadu u CVSS přikládají stejnou váhu důvěrnosti, integritě a dostupnosti, přičemž opomíjejí jedinečné priority rizik organizací a dopad, který může zranitelnost na ně ve skutečnosti mít,“ uvádí JPMorgan.
Vloni se průměrně odhalilo 80 zranitelností denně, což je číslo, které pravidelně meziročně roste přibližně o pětinu. Přibližně 18 % zranitelností je hodnoceno jako kritické se skóre CVSS 3.0 9 nebo vyšším.
JPMorgan odhaduje, že přibližně desetina všech zranitelností je potenciálně podhodnocených.
Video ke kávě
Máte čas na rychlé a informativní video?
Například DDoS zranitelnost CVE-2020–8187, jež měla hodnocení pouze 7,5 (velmi závažné mají 9 a více) a byla odhalená během krize Covid, přitom měla „potenciál přivést zasaženou organizaci až k zastavení její činnosti“.
Výzkumníci také uvedli, že při sestavování skóre CVSS se nevěnuje dostatečná pozornost soukromí a také závislostí.
Zneužití totiž někdy vyžadují specifické nastavení nebo se spoléhají na jiné softwarové zranitelnosti – kontrola konfigurace a přístupu tak může významně ovlivnit schopnost útočníka chybu zneužít.
Ačkoli uživatelská práva mohou ovlivnit závažnost a potenciální dopad narušení, zůstávají dalším faktorem, který není ve výpočtu skóre CVSS dostatečně zastoupený, tvrdí JPMorgan.
Připravovaný rámec CVSS 4.0 zavádí rozšířené metriky ohledně dopadu či nové doplňkové metriky, které mají zlepšit přesnost hodnocení. I tak prý problémy přetrvávají.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU