W stale zmieniającym się krajobrazie cyberbezpieczeństwa dokładna ocena i priorytetyzacja luk w zabezpieczeniach jest krytycznym zadaniem dla organizacji na całym świecie. Common Vulnerability Scoring System (CVSS) od dawna stanowi branżowy standard ilościowego określania wagi luk w zabezpieczeniach. Jednak ostatnie analizy sugerują, że wyniki CVSS nie zawsze zapewniają realistyczny obraz rzeczywistych zagrożeń stwarzanych przez luki w zabezpieczeniach w rzeczywistych scenariuszach. Ten wpis na blogu zagłębia się w ograniczenia punktacji CVSS, podkreślając wyniki kompleksowej analizy luk w oprogramowaniu open source przeprowadzonej przez JFrog. Zbadamy, dlaczego te wyniki mogą nadmiernie upraszczać złożone kwestie bezpieczeństwa i omówimy potencjalne ulepszenia w celu lepszego dostosowania ocen podatności do rzeczywistych zagrożeń.
Zrozumienie CVSS i jego roli w ocenie podatności na zagrożenia
Common Vulnerability Scoring System (CVSS) to otwarty standard branżowy przeznaczony do oceny wagi luk w zabezpieczeniach. Zarządzany przez organizację non-profit Forum of Incident Response and Security Teams (FIRST), CVSS zapewnia wynik liczbowy odzwierciedlający potencjalny wpływ podatności, pomagając organizacjom w ustalaniu priorytetów działań naprawczych.
National Vulnerability Database (NVD), prowadzona przez National Institute of Standards and Technology (NIST), przypisuje wyniki CVSS do potwierdzonych luk w zabezpieczeniach, udostępniając te informacje publicznie. Wyniki te są powszechnie wykorzystywane przez zespoły ds. bezpieczeństwa do oceny pilności zajęcia się określonymi lukami.
Analiza JFrog: Rozbieżności między wynikami CVSS a wpływem na rzeczywisty świat
W 2022 r. dostawca narzędzi zabezpieczających JFrog przeprowadził analizę 50 najczęstszych podatności i zagrożeń (CVE ), aby ocenić rzeczywisty wpływ błędów bezpieczeństwa w oprogramowaniu typu open source. Ustalenia ujawniły znaczne rozbieżności między publicznymi wynikami CVSS dostarczonymi przez NVD a własnymi ocenami dotkliwości JFrog.
- Przeszacowanie dotkliwości: W 64% przypadków JFrog przypisał niższą ocenę dotkliwości niż NVD. Wskazuje to, że wiele luk w zabezpieczeniach może być wyolbrzymianych, co potencjalnie prowadzi organizacje do nieefektywnej alokacji zasobów.
- Studium przypadku – CVE-2022-3602: Przekroczenie bufora w weryfikacji certyfikatów X.509 zostało początkowo uznane za poważne zagrożenie. Jednak dogłębna analiza JFrog wykazała, że rzeczywisty wpływ był marginalny ze względu na złożoność wymaganą do wykorzystania luki.
- Podatności o niskim priorytecie: JFrog odkrył również, że 10 z najbardziej rozpowszechnionych podatności mających wpływ na przedsiębiorstwa miało niskie oceny ważności CVSS. Podatnościom tym często poświęca się mniej uwagi, co opóźnia ich usunięcie i zwiększa ryzyko ich wykorzystania w miarę upływu czasu.
Czynniki przyczyniające się do ograniczeń CVSS
Kilka kluczowych czynników przyczynia się do rozbieżności między wynikami CVSS a rzeczywistym ryzykiem stwarzanym przez luki w zabezpieczeniach:
1. Brak uwzględnienia kontekstu
Wyniki CVSS są obliczane na podstawie zestawu predefiniowanych metryk, ale często brakuje im kontekstu dotyczącego tego, jak oprogramowanie jest wdrażane i używane w różnych środowiskach. Na przykład:
- Konfiguracje środowiskowe: Niektóre luki w zabezpieczeniach wymagają określonych konfiguracji systemu lub warunków, aby można je było wykorzystać, które nie są uwzględniane w podstawowej punktacji CVSS.
- Scenariusze wdrożenia: Ryzyko związane z luką może się znacznie różnić w zależności od tego, czy oprogramowanie jest używane w odizolowanym środowisku, czy też jest narażone na działanie sieci zewnętrznych.
2. Nadmierne uproszczenie złożoności ataku
Ramy CVSS zawierają metrykę złożoności ataku, ale może ona nie w pełni uchwycić niuanse wykorzystania podatności:
- Specjalistyczna wiedza i umiejętności: Niektóre luki w zabezpieczeniach wymagają zaawansowanej wiedzy technicznej, aby je wykorzystać, co zmniejsza prawdopodobieństwo powszechnych ataków.
- Połączone exploity: Luki w zabezpieczeniach, które mogą być wykorzystane tylko w połączeniu z innymi błędami, mogą otrzymać wysokie wyniki CVSS, pomimo ich niewielkiego wpływu w pojedynkę.
3. Statyczny model punktacji
Wyniki CVSS są statyczne i nie ewoluują w czasie, aby odzwierciedlać nowe informacje lub rozwój exploitów:
- Pojawiające się zagrożenia: Luka może stać się bardziej niebezpieczna w miarę odkrywania nowych technik jej wykorzystania, ale wynik CVSS pozostaje niezmieniony, chyba że zostanie ręcznie zaktualizowany.
- Środki zaradcze i łatki: Dostępność łatek lub mechanizmów łagodzących może zmniejszyć rzeczywiste ryzyko, ale nie jest odzwierciedlona w oryginalnym wyniku CVSS.
Wpływ na organizacje i deweloperów
Rozbieżności w wynikach CVSS mają wymierne konsekwencje zarówno dla zespołów IT w przedsiębiorstwach, jak i opiekunów projektów open source:
- Alokacja zasobów: Przeszacowane wyniki CVSS mogą prowadzić organizacje do nadawania priorytetu mniej krytycznym lukom, odwracając uwagę od kwestii, które stanowią większe ryzyko.
- Opóźnione działania naprawcze: Luki w zabezpieczeniach o niskim stopniu szkodliwości mogą być pomijane lub ignorowane, pozwalając potencjalnym wektorom ataku utrzymywać się w systemach przez długi czas.
- Rozwój łatek: Programiści mogą nie traktować priorytetowo tworzenia łatek dla luk uznanych za nieistotne, zwiększając liczbę dotkniętych nimi systemów.
W kierunku ulepszonej oceny podatności na zagrożenia
Uznając te ograniczenia, istnieje rosnąca zgoda co do potrzeby ulepszenia struktury CVSS w celu zapewnienia dokładniejszych i uwzględniających kontekst ocen.
CVSS v4.0: Krok naprzód
Nadchodząca wersja CVSS 4.0, obecnie opracowywana przez FIRST, ma na celu rozwiązanie niektórych z tych problemów:
- Dodatkowe oceny pilności: Umożliwienie twórcom produktów dostarczenia dodatkowego kontekstu na temat pilności podatności w ich konkretnej implementacji.
- Ulepszone wskaźniki: Uwzględnienie czynników takich jak warunki środowiskowe i dojrzałość kodu exploita w celu udoskonalenia procesu oceny.
Chris Gibson, dyrektor wykonawczy FIRST, podkreślił, że chociaż CVSS jest cenny, nie jest kompletnym rozwiązaniem. Zauważył, że CVSS nie uwzględnia czynników kontekstowych, takich jak specyficzne środowisko lub wpływ operacyjny, a organizacje powinny używać go wraz z innymi narzędziami oceny ryzyka.
Zalecenia dla organizacji
- Kontekstowa ocena ryzyka: Organizacje powinny brać pod uwagę czynniki środowiskowe i scenariusze wdrażania podczas oceny podatności na zagrożenia.
- Dynamiczna priorytetyzacja: Ciągłe aktualizowanie ocen podatności na zagrożenia w miarę pojawiania się nowych informacji, w tym rozwoju exploitów i wydań łatek.
- Kompleksowa strategia bezpieczeństwa: Używaj wyników CVSS jako jednego z kilku narzędzi w szerszych ramach zarządzania ryzykiem, które obejmują analizę zagrożeń i krytyczność zasobów.
Wnioski
Podczas gdy wyniki CVSS zapewniają znormalizowaną metodę oceny podatności, często nie odzwierciedlają one rzeczywistych zagrożeń z powodu braku świadomości kontekstowej i nadmiernego uproszczenia. Analiza JFrog podkreśla znaczenie przyjęcia bardziej zniuansowanego podejścia do oceny podatności.
Ponieważ krajobraz cyberbezpieczeństwa staje się coraz bardziej złożony, organizacje muszą wyjść poza poleganie wyłącznie na wynikach liczbowych. Integrując informacje kontekstowe i przyjmując dynamiczne praktyki oceny ryzyka, zespoły ds. bezpieczeństwa mogą podejmować bardziej świadome decyzje, lepiej przydzielać zasoby i poprawiać ogólny stan bezpieczeństwa.