Hodnocení zranitelností
3. díl
Pojďme se společně podívat, jak se provádí hodnocení zranitelností podle metodiky CVSS.
Aby se na zranitelnosti dalo snadno odkazovat, definuje CVE jak nové zranitelnosti přidělit jednoznačný identifikátor. Detailní popis a skóre, kterého jednotlivé zranitelnosti dosáhly, je pak uveden v National Vulnerability Database, zkr. NVD. Samotné skóre je pak počítáno podle metodiky pro hodnocení zranitelností, kterou spravuje First a je nazýváno CVSS, což je zkratka pro Common Vulnerability Scoring System.
Je zřejmé, že stanovit nějakou metodiku hodnocení, která by zabránila nafukování jednotlivých zranitelností do obrovských rozměrů a dělání z komára velblouda, v originále “make mountains out of mole hills”, jak se píše na webu First, jest velice náročné, ale autoři CVSS se s tím vypořádali se ctí.
Na první pohled se zdá, že stanovení závažnosti zranitelnosti podle této metodiky je zbytečně komplikované, ale když si pár zranitelností pomocí této metodiky sami vyhodnotíte, zjistíte, že jednotlivé otázky dávají smysl, a že i výsledné skóre odpovídá realitě. A vůbec, že hodnocení zranitelností podle této metodiky je vlastně velice snadné. Pojďme si společně projít jednotlivé otázky a jak na ně odpovídat.
Na prvních 6 otázek byste měli být schopni odpovědět vždy, protože slouží ke stanovení základního skóre. Odpovědi na další 3 otázky se mohou v čase měnit, takže na ně nemusíte odpovídat a stejně tak není nezbytně nutné odpovídat ani na posledních 5 otázek, které se týkají dopadu.
Access Vector
Zde se ptáme, odkud může být veden útok. A možnosti jsou: z internetu (network), ze sítě, kde se nachází systém trpící danou zranitelností (adjacent network) nebo útočník musí mít fyzický přístup k danému systému (local).
Access Complexity
Ke zneužití dané zranitelnosti již nemusí být splněny žádné podmínky, není potřeba žádná součinnost (low), je nutné mít určité informace o systému, je potřeba minimální součinnost ze strany oběti, jako je třeba kliknutí na odkaz (medium), útok je možné realizovat jen za určitých podmínek, na určité konfiguraci a je nutné, aby oběť provedla několik kroků (high).
Authentication
Ke zneužití zranitelnosti není nutný účet v systému (none), je nutné se přihlásit (single), je nutné se přihlásit do systému i do aplikace (multiple).
Confidentiality impact
Zde se ptáme, zda zneužitím zranitelnosti dojde k získání citlivých informací, a to všech dat, která se nacházejí v paměti nebo na disku (complete), nebo jen části z nich (partial) anebo vůbec žádných (none).
Integrity impact
Zde se ptáme, zda zneužitím zranitelnosti dojde ke znehodnocení všech dat, která se nacházejí v paměti nebo na disku (complete), nebo jen části z nich (partial) anebo vůbec žádných (none).
Availability impact
Zde se ptáme, zda zneužitím zranitelnosti dojde k znepřístupnění dat nebo služby (complete), anebo jen k částečnému omezení funkčnosti a dostupnosti dat (partial) anebo to nemá vůbec žádných dopad (none).
Exploitability
K dispozici je malware, který se již šíří (high), existuje jen exploit (functional), bylo zmíněno, že se někomu podařilo zranitelnosti zneužít (proof-of-concept), nebo byla zranitelnost popsána jen v teoretické rovině (unproven). Pokud zvolíte Not Defined, tak nebude tento faktor vstupovat do výpočtu.
Remeditaion level
Momentálně neexistuje žádné řešení pro snížení zranitelnosti (unavailable), je k dispozici neoficiální řešení (workaround), je k dispozici oficiální dočasný fix, workaround od vendora (Temporary fix), je k dispozici kompletní řešení, patch od vendora (official fix). Pokud zvolíte Not Defined, tak nebude tento faktor vstupovat do výpočtu.
Report confidence
Zranitelnost byla oficiálně potvrzena vendorem (confirmed), zranitelnost byla potvrzena ostatnímu firmami (uncorroborated), o zranitelnosti informuje jen jeden zdroj, podsvětí a objevují se různé spekulace a protichůdné názory (uncomfirmed). Pokud zvolíte Not Defined, tak nebude tento faktor vstupovat do výpočtu.
Collateral damage potential
Zneužití zranitelnosti může vést ke katastrofickým škodám (high), významným škodám (medium-high), středním škodám (low-medium), drobným škodám (low), žádným škodám (none). Pokud zvolíte Not Defined, tak nebude tento faktor vstupovat do výpočtu.
Target distribution
Kolik systémů, trpících touto zranitelností může být zasaženo. 76% – 100% (high), 26% – 75% (medium), 1%- 25% (low), žádné (none). Pokud zvolíte Not Defined, tak nebude tento faktor vstupovat do výpočtu.
Security requirements
Zde se ptáme, jaký dopad by mělo narušení důvěrnosti, integrity a dostupnosti na business. Odpovědi jsou nízký (low), střední (medium), vysoký (high). Pokud zvolíte Not Defined, tak nebude tento faktor vstupovat do výpočtu.
Vyhodnocení zranitelnosti
Vzorec pro výpočet míry zranitelnosti je poměrně komplexní a najdete ho v příručce CVSS. Míra zranitelností může nabývat hodnot 0 až 10 a k dispozici je i slovní vyjádření, kdy zranitelnost, jejíž skóre se pohybuje v intervalu 0,0 – 3,9 je označena jako nízká (low), 4,0 – 6,9 střední (medium) a 7,0 – 10,0 jako vysoká (high). Případně je možné použít stupnici, která se nejspíš objeví ve verzi 3.0 a ta definuje závažnost jednotlivých zranitelností takto: 0 (žádná), 0,1 – 3,9 (nízká), 4,0 – 6,9 (střední), 7,0 – 8,9 (vysoká) a 9,0 – 10,0 (kritická). Osobně ji používám již dnes.
ČERMÁK, Miroslav, 2014. Hodnocení zranitelností – 3. díl. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/hodnoceni-zranitelnosti-3-dil/. [citováno 07.12.2024].
Štítky: hodnocení zranitelností
K článku “Hodnocení zranitelností
3. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.