Jak stanovit technický dopad dle CWRAF
Common Weakness Risk Analysis Framework, zkr. CWRAF spravovaný organizací MITRE by měl umožňovat hodnocení závažnosti slabin s ohledem na to, v jakém odvětví daná organizace působí a za jakým účelem daný produkt obsahující slabinu používá.
CWRAF nám pomáhá stanovit hodnotu tzv. technického dopadu (Technical Impact, zkr. TI), který je jedním z klíčových faktorů používaným v hodnocení slabin CWE dle CWSS.
V okamžiku, kdy již jednou dojde k vyhodnocení TI pro daný systém, tak pak již není nutné stanovovat zvlášť závažnost pro každou nově objevenou CVE zranitelnost, neboť její hodnota je de facto dána odpovídající CWE slabinou. Pozor na to, že slabina není zranitelnost.
CWRAF používá pro sektor, ve kterém organizacích působí, pojem doména (domain) a pro systémy poskytující konkrétní službu v rámci dané domény pak pojem viněta (vignette). Takovou vinětou je např. e-shop a doménou retail. Takhle vypadá např. viněta e-shopu. Každá viněta by měla obsahovat:
- název;
- ID;
- doménu;
- seznam komponent, z kterých se skládá, tzv. archeotypy (archeotypes) tvořící technologické skupiny (technology groups);
- kontext, v rámci kterého se určuje business hodnota (busines value context);
- technický dopad (Technical Impact, zkr. TI).
U každé viněty je pak třeba posoudit, jaký technický dopad by mělo narušení základních atributů bezpečnosti, jako je důvěrnost, integrita, dostupnost, neodmítnutelnost, vlastnictví a ztráta užitečnosti. Za tímto účelem je třeba vyhodnotit následujících 8 událostí:
- modifikace dat (modify data);
- čtení dat (read data, read application data);
- DoS (unreliable execution, crash, exit, restart);
- DoS (resource consumption);
- spuštění neautorizovaného kódu nebo příkazu (execute unauthorized code or command);
- získání privilegií / převzetí identity (gain privileges / assume identity);
- obejití ochranných opatření (bypass protection mechanism);
- zakrývání aktivit (hide activities);
V zásadě se jedná o stejné atributy, jaké definuje Parkerian hexad model. (To, že je zde použito 8 otázek místo 6, je dáno tím, že hned 3 otázky se týkají de facto vlastnictví, tedy spuštění neautorizovaného kódu, získání privilegií, a obejití ochranných opatření, což ve výsledku téměř vždy vede ke zmocnění se kontroly nad daným systémem). Tyto události je pak třeba vyhodnotit na těchto 4 vrstvách, kterými jsou:
- systém (system);
- aplikace (application);
- síťový prvek (network);
- kritický prvek infrastruktury (enterprise).
Kombinací událostí a vrstev v zásadě vzniká matice 8×4, která umožňuje hodnotit na stupnici 0 až 10 k jak závažnému dopadu a na jaké vrstvě dojde. Následně se vezme nejhorší možný technický dopad napříč vrstvami, a ten se podělí 10. Tím získáme pro danou vinětu až 8 různých TI, z nichž se pak opět vybírá ten nejvyšší relevantní TI, který vstupuje do výpočtu závažnosti dané slabiny dle CWSS, kde zvolíme možnost „Quantified“ a dosadíme hodnotu zjištěnou pomocí CWRAF. Příklad stanovení TI je detailně popsán zde.
Aby to fungovalo, tak musí být u každé CWE slabiny uvedeno, jaký atribut bezpečnosti je možné narušit. Je třeba si uvědomit, že daná slabina nebude zpravidla umožňovat realizaci všech 8 událostí, ale třeba jen 3.
Dále platí, že v různých doménách, byť bude použita stejná viněta, budou jednotlivé slabiny hodnoceny různě. A rovněž, že závažnost dané slabiny v organizaci, která provozuje nevýdělečný web, bude jiná, než v organizaci, která na něm bude mít postaven profitabilní business.
Stanovíme-li poctivě TI dle CWRAF pro jednotlivé viněty, tak v okamžiku, kdy se objeví zcela nová zranitelnost, je automaticky zobrazena závažnost dané zranitelnosti v jednotlivých vinětách používaných v dané organizaci.
Další výhodou použití CWRAF je konzistentní přístup pro stanovení TI, což by umožnilo, tedy pokud by o to byl zájem (za posledních 6 let se ani nikam výrazně neposunul), že organizace působící ve stejné doméně a provozující stejnou vinětu, by měla/mohla závažnost dané slabiny hodnotit stejně, takže jakmile by byla jednou stanovena hodnota TI pro danou vinětu v dané doméně, tak by ji mohly převzít všechny organizace působící ve stejném sektoru a používající obdobný systém.
Problém je, že seznam domén a vinět není bohužel v rámci popisovaného CWRAF frameworku, který se vyvíjí již několik let, zcela konzistentní, čehož si ostatně můžete všimnout sami, když se hlouběji začtete do popisu tohoto frameworku na stránkách Mitre.
Např. zde je uvedeno 17 domén, zde 15 domén a odkazovaný, údajně aktuální seznam domén pak obsahuje jen 11 domén a v rámci nich popisuje 23 vinět. Nicméně není problém si vydefinovat doménu a vinětu vlastní. Dalším problémem pak může být určitá nekonzistence mezi technical impacts uváděných zde a použitých v CWRAF a tehnical impacts uváděných v databázi CWE.
A co si myslíte o frameworku CWRAF vy, měli byste třeba zájem spolupracovat na definici jednotlivých domén a vinět?
ČERMÁK, Miroslav, 2019. Jak stanovit technický dopad dle CWRAF. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jak-stanovit-technicky-dopad-dle-cwraf/. [citováno 07.12.2024].
K článku “Jak stanovit technický dopad dle CWRAF” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.