Hodnocení slabin pomocí CWSS

Common Weakness Scoring System, zkr. CWSS, by měl umožnit hodnocení slabin bez ohledu na to, v jakém produktu byla daná slabina nalezena a následně je mezi sebou porovnat.

Ovšem pozor, nepleťte si CWSS se systémem CVSS používaným pro hodnocení zranitelností.

Mezi těmito systémy neexistuje žádný převodník a MITRE ani neusiluje o to, aby nějaký vznikl, neboť považuje oba tyto systémy za zcela nezávislé a určené k naprosto rozdílnému účelu. Na tomto místě je třeba znovu připomenout, že slabina a zranitelnost není totéž.

Hodnota slabiny stanovená pomocí CWSS může nabývat hodnot z intervalu 0 až 100. Pro stanovení závažnosti slabiny je nutné vyhodnotit několik faktorů, podobně jako je tomu u stanovení závažnosti zranitelnosti, a některé jsou si i podobné.

Osobně mi účel i způsob hodnocení slabin pomocí CWSS nedává moc smysl, protože některé z použitých faktorů mi přijdou irelevantní. Pozitivně vnímám faktor Technical Impact (TI), který obsahuje to, co mi schází např. u OWASP.

Ovšem další faktory jako jsou Acquired privilege (AP), Acquired Privilege Layer (AL), však rozvádí spíše jen onen TI, takže je otázka, proč nejsou jeho součástí a neslouží k určení hodnoty TI.

Required privilege (RP), Access Vector (AV) a Level of Interaction (IN) v zásadě odpovídají faktorům použitým v CVSS. Authentication Strength (AS) pak v zásadě doplňuje RP. Required Privilege Layer (RL) mi pak přijde celkem zbytečný, když už máme AV.

Faktory Internal Control Effectivness (IC) a External Control Effectivness (EC) mohou být v každé organizaci jiné, takže bych s nimi vůbec nepočítal.

Likelihood of Discovery (DI) a Likelihood of Exploit (EX) jsou pak faktory, které nemají v CVSS ekvivalent, tedy nebereme-li v úvahu Attack Complexity (AC), ale jsou zase uvedeny v OWASP a považuji je za užitečné.

Finding Confidence (FC) v zásadě odpovídá Report Confidence (RC) v CVSS, ovšem kde se s ním počítá až v sekci Temporal Score. Osobně bych s ním vůbec neztrácel čas, obzvlášť pokud se o slabinu nejedná. Stejně tak bych ignoroval i faktor Deployment Scope (SC).

Prevelance (P) je faktor popisující, jak často se daná slabina v SW vyskytuje, ale to přeci nemá s její závažností moc společného, tedy kromě toho, že bude asi první, kterou útočník vyzkouší.

Business Impact (BI) je u slabin rovněž velice problematické stanovit, protože v každé organizaci nebo minimálně odvětví tomu bude jinak, ale budiž. Možná proto MITRE přišel s CWRAF o kterém si povíme možná někdy příště.

Model však zdá se s tím, že každý nebude s jednotlivými faktory souhlasit, počítá a umožňuje vybrat volbu Not Applicable. Následně by pak mělo být možné pro každou slabinu stanovit její závažnost.

Pokud byste si chtěli vyzkoušet, jak takové hodnocení slabin funguje, tak vězte, že oficiální kalkulátor není k dispozici. Můžete si však stáhnout tento spreadsheet, který příslušný vzorec pro stanovení hodnoty slabiny obsahuje a trochu si s ním pohrát.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Hodnocení slabin pomocí CWSS” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: