Hodnocení zranitelností – 6. díl

minulých dílech jsem se poměrně detailně věnoval metodice hodnocení zranitelností CVSS, která je de facto průmyslovým standardem pro stanovení závažnosti zranitelností.

Dnes bych se chtěl krátce zamyslet nad tím, jak postupovat v okamžiku, kdy je např. pomocí nějakého automatizovaného skeneru detekováno větší množství poměrně závažných zranitelností.

Větší než malé množství závažných zranitelností

Pravděpodobně začnete těmi nejzávažnějšími, tedy kritickými případně vysokými. Ale co když i těch je krapet víc? V takovém případě by rozhodnutí o tom, které zranitelnosti se věnovat jako první, mělo být učiněno až po zhodnocení pravděpodobnosti jejího zneužití a velikosti dopadu.

Pozor na nadhodnocování dopadu

Problém nastává v okamžiku, když dojde k nadhodnocení dopadu, protože pak podstatně vzroste i závažnost dané zranitelnosti. Obzvlášť, pokud lze dané zranitelnosti snadno zneužít přes internet a bez interakce uživatele. Přesvědčte se sami, jak podstatně se změní base skóre, kdy dojde ke změně dopadu z Low na High.

Kde nic není, ani hacker nebere

Jenže je možné učinit rozhodnutí o tom, kterou zranitelností se zabývat jako první, jen na základě jejího skóre? Jistěže ne, protože závažnost zranitelnosti není rozhodující. Útočníci nezneužívají zranitelností jen podle toho, jak snadné je jich zneužití, ale především zda z toho budou něco mít. Jinými slovy, kde nic není, ani hacker nebere.

Zranitelnost není riziko

Pro určení priorit byste proto měli ještě vyhodnotit pravděpodobnost zneužití dané zranitelnosti a výši možné škody, která by vám mohla vzniknout nebo čeho by jejím zneužitím mohl útočník dosáhnout. Jinými slovy byste měli určit výši rizika a až podle něj technické zranitelnosti řídit, resp. zvládat, anebo ještě lépe, odstraňovat.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Hodnocení zranitelností – 6. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: