Hodnocení zranitelností – 2. díl
V tomto příspěvku se zamyslíme nad otázkami, které by nám měly pomoci určit závažnost zranitelnosti.
Podobné otázky pro hodnocení zranitelností používá např. Common Vulnerability Scoring System (CVSS) nebo i taková společnosti jako je Microsoft.
Jaké informace o dané zranitelnosti byly zveřejněny?
Je zřejmé, že čím více informací bude o dané zranitelnosti k dispozici, tím snazší bude dané zranitelnosti zneužít. Pokud se tedy na internetu se objeví informace, že určitá aplikace obsahuje zranitelnost bez jakéhokoliv dalšího popisu, lze této informace využít a dočasně třeba danou aplikaci nepoužívat, zablokovat ji, nahradit ji jinou apod. Prakticky nikdo nebude moci dané zranitelnosti zneužít, a proto ji můžeme označit jako nízkou. V případě, že by byl zveřejněn detailní popis toho, jak lze dané zranitelnosti zneužít, lze danou zranitelnost označit jako kritickou. Obvykle se vždy pohybujeme mezi těmito dvěma extrémy.
Je k dispozici exploit?
V okamžiku, kdy je k dispozici funkční exploit, je v podstatě irelevantní, jak detailní informace byly o dané zranitelnosti zveřejněny, protože kdokoliv si může exploit stáhnout a použít. Proto se musíme ptát, zda je exploit plně funkční a kdokoliv ho může použít a dané zranitelnosti zneužít nebo je ještě potřeba splnění nějakých dalších podmínek. Pokud je tedy volně k dispozici plně funkční exploit, můžeme danou zranitelnost označit jako kritickou, v opačném případě jako nízkou. V případě, že se jedná o zranitelnost, kdy žádný exploit není potřeba, může danou zranitelnost též označit jako kritickou.
Je možné zneužití dané zranitelnosti odkudkoliv?
Pokud je možné dané zranitelnosti zneužít vzdáleně, prakticky z jakéhokoliv počítače na světě, můžeme danou zranitelnost označit jako kritickou. To je případ webových aplikací a zranitelností umožňující např. XSS nebo SQL injection. Pokud je nutné mít k danému zařízení, na kterém se nachází aplikace obsahující určitou zranitelnost, fyzický přístup, tak potom můžeme danou zranitelnost označit jako nízkou. Jako střední pak lze označit takovou zranitelnost, která vyžaduje, aby se útočník nacházel na stejné síti.
Je možné zneužít danou zranitelnost kdykoliv?
Některé zranitelnosti je možné zneužít jen v případě, že jsou splněny určité podmínky. Jestliže je tedy možné zranitelnost zneužít v podstatě kdykoliv, jedná se o kritickou zranitelnost, pokud je možné ji zneužít jen za určitých podmínek, které nemusí nastat, tak je možné ji označit jako nízkou.
Je nutná nějaká součinnost?
V případě, že je možné dané zranitelnosti zneužít aniž by byla nutná nějaká akce ze strany oběti, jedná se o kritickou zranitelnost. V okamžiku, kdy je k tomu, aby daná zranitelnost mohla být vůbec zneužita, ještě nutná součinnost uživatele daného systému, můžeme danou zranitelnost označit jako nízkou až vysokou a to podle toho, jaké akce budou po uživateli vyžadovány.
Je náročné danou zranitelnost zneužít?
Zde se musíme ptát, zda jsou potřeba detailní informace, nástroje a zda dané zranitelnosti může zneužít obyčejný uživatel nebo ji dokáže zneužít jen expert na danou oblast. Za kritickou můžeme označit takovou zranitelnost, které dokáže zneužít i obyčejný uživatel, za vysokou pak takovou, které dokáže zneužít pokročilý uživatel, za střední takovou, kterou dokáže zneužít pouze počítačový specialista a za nízkou pak takovou, které dokáže zneužít jen expert na danou oblast.
Kolik uživatelů může být zasaženo?
Pokud bude dané zranitelnosti zneužito, bude to mít vliv na narušení důvěrnosti, integrity nebo dostupnosti dat nebo služby pro jednoho uživatele, nebo všechny uživatele. V případě jednoho uživatele můžeme zranitelnost označit jako nízkou, v případě všech uživatelů jako kritickou.
Co může být ovlivněno?
V případě narušení důvěrnosti, je třeba rozlišit, zda může dojít k úniku jen určitých informací např. o systému, pak je zranitelnost nízká nebo jakýchkoliv, pak je kritická. A Podobně je tomu i u integrity, pokud je možné modifikovat jen určité informace, můžeme zranitelnost označit jako nízkou, v případě, že je možné modifikovat jakékoliv informace, můžeme zranitelnost označit jako kritickou. Pokud jde o dostupnost, tak můžeme postupovat obdobně, umožňuje-li zranitelnost kompletně vyřadit server z provozu, potom ji lze označit jako kritickou, v případě, že dojde jen k částečnému zpomalení nebo omezení některých služeb, můžeme ji označit jako nízkou.
Je k dispozici patch?
Otázka zda je k dispozici patch, hot-fix nebo nějaké jiné řešení ke snížení dané zranitelnosti, je sice namístě, ovšem, existence řešení by neměla být používána ke stanovení míry zranitelnosti, protože se jedná o bezpečnostní opatření, které může, ale také nemusí být vůbec nasazeno. Pokud by existence patche měla vést ke snížení míry zranitelnosti, mohlo by se snadno stát, že by dané zranitelnosti mohla být věnován nižší pozornost, právě díky nižšímu skóre.
Kolik systémů může být napadeno?
Otázka je relevantní pouze v případě porovnávání zranitelností mezi sebou napříč platformami. Pro toho, kdo daný systém či aplikaci nevlastní, je tato otázka irelevantní. Pokud se jedná o zranitelnost pro minoritní systém nebo aplikaci, tak přesto pro provozovatele daného systému může být kritická, zatímco pro ostatní irelevantní.
Štítky: hodnocení zranitelností
K článku “Hodnocení zranitelností – 2. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.