النوعي مقابل الكمية: وقت التغيير كيف يمكننا تقييم مدى خطورة ثغرات الطرف الثالث؟

مؤلف: Roger Morrison
تاريخ الخلق: 26 شهر تسعة 2021
تاريخ التحديث: 21 يونيو 2024
Anonim
The Great Gildersleeve: Gildy’s New Car / Leroy Has the Flu / Gildy Needs a Hobby
فيديو: The Great Gildersleeve: Gildy’s New Car / Leroy Has the Flu / Gildy Needs a Hobby

المحتوى


المصدر: BrianAJackson / iStockphoto

يبعد:

لقد حان الوقت لتغيير الأمور بطريقة تفكيرنا في تقييم مخاطر المكونات مفتوحة المصدر.

يعد تطوير نظام لتقييم مدى جدية مجتمع تطوير البرامج في مواجهة الثغرات الأمنية تحديًا صعبًا. الرمز مكتوب من قبل البشر ، وسيكون دائمًا به عيوب. والسؤال إذن ، إذا افترضنا أنه لن يكون هناك أي شيء على الإطلاق ، هو كيف يمكننا تصنيف المكونات وفقًا لمخاطرها بطريقة تسمح لنا بمواصلة العمل بشكل منتج؟

فقط الحقائق

في حين أن هناك العديد من الطرق المختلفة التي يمكن للمرء اتباعها في معالجة هذه المشكلة ، ولكل منها تبريرها الصحيح ، يبدو أن الطريقة الأكثر شيوعًا تعتمد على نموذج كمي.

من ناحية ، يمكن أن يكون استخدام نهج كمي للحكم على شدة الثغرة مفيدًا لأنه أكثر موضوعية وقياسًا ، استنادًا إلى العوامل المرتبطة بضعف نفسه.

تبحث هذه المنهجية في نوع الضرر الذي يمكن أن يحدث في حالة استغلال الثغرة الأمنية ، مع مراعاة مدى استخدام المكون أو المكتبة أو المشروع على نطاق واسع في جميع أنحاء صناعة البرمجيات ، فضلاً عن عوامل مثل نوع الوصول الذي يمكن أن يوفر للمهاجمين حطام الفوضى يجب عليهم استخدامها لخرق هدفهم. يمكن لعوامل مثل سهولة الاستغلال المحتملة أن تلعب دورًا كبيرًا في التأثير على النتيجة. (لمعرفة المزيد حول الأمان ، تحقق من الأمن السيبراني: كيف تقدم التطورات الجديدة تهديدات جديدة والعكس صحيح.)


إذا كنا نريد أن ننظر إلى مستوى ماكرو ، فإن المنظور الكمي يبحث في كيف يمكن أن تؤذي الثغرة القطيع ، مع التركيز بدرجة أقل على الأضرار التي قد تقع على الشركات التي تعرضت بالفعل للهجوم.

تعتمد قاعدة البيانات الوطنية للتعرض لنقص المناعة (NVD) ، والتي ربما تكون قاعدة البيانات الأكثر شهرة عن الثغرات الأمنية ، هذا الأسلوب لكلا الإصدارين 2 و 3 من نظام نقاط الضعف المشتركة (CVSS). في صفحتهم يشرحون مقاييسهم لتقييم نقاط الضعف ، يكتبون عن طريقتهم:

يضمن نموذجها الكمي القياس الدقيق القابل للتكرار مع تمكين المستخدمين من رؤية خصائص الضعف الأساسية التي تم استخدامها لإنشاء النتائج. وبالتالي ، فإن CVSS مناسب تمامًا كنظام قياس قياسي للصناعات والمؤسسات والحكومات التي تحتاج إلى درجات تأثير ثبات دقيقة ومتسقة.

استنادًا إلى العوامل الكمية في اللعب ، فإن NVD قادرًا بعد ذلك على الحصول على درجة شدة ، وكلاهما برقم على مقياسهما - من 1 إلى 10 ، مع 10 من أشدها - وكذلك فئات LOW و MEDIUM و HIGH .

No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.


المحاسبة عن التأثير؟

ومع ذلك ، يبدو أن NVD يبذل جهداً ليبقى واضحًا فيما يمكن أن نعتبره مقياسًا نوعيًا للضعف ، استنادًا إلى مدى تأثير استغلال معين في التسبب في ضرر. ولكي نكون منصفين ، فهي تدمج التأثير بقدر ما تقيس تأثير الثغرة الأمنية على النظام ، وتبحث في عوامل السرية والنزاهة والتوافر. هذه كلها عناصر مهمة يجب مراعاتها - كما هو الحال مع متجه الوصول الأكثر قابلية للقياس ، وتعقيد الوصول ، والمصادقة - لكنها لا تشعر بمهمة ربط التأثير الواقعي عندما تتسبب الثغرة الأمنية في خسائر حقيقية للمؤسسة.

خذ على سبيل المثال خرق Equifax الذي كشف معلومات التعريف الشخصية لحوالي 145 مليون شخص ، بما في ذلك تفاصيل رخصة القيادة الخاصة بهم وأرقام الضمان الاجتماعي وغيرها من البتات التي يمكن استخدامها من قبل شخصيات عديمي الضمير لتنفيذ عمليات احتيال واسعة النطاق.

كانت الثغرة (CVE-2017-5638) التي تم اكتشافها في مشروع Apache Struts 2 التي استخدمها Equifax في تطبيق الويب الخاص به والتي سمحت للمهاجمين بالسير في الباب الأمامي وجعله في نهاية المطاف بأذرعهم ممتلئة بالمعلومات الشخصية المثيرة. .

في حين أن NVD قد أعطاها بحق درجة شدة قدرها 10 و HIGH ، إلا أن قرارهم كان بسبب تقييمهم الكمي لأضراره المحتملة ولم يتأثر بالأضرار الواسعة التي حدثت لاحقًا عندما أصبح اختراق Equifax عامًا.

هذه ليست رقابة من قبل NVD ، ولكن جزء من سياستهم المعلنة.

يوفر NVD "النقاط الأساسية" لـ CVSS والتي تمثل الخصائص الفطرية لكل ثغرة أمنية. لا نقدم حاليًا "علامات زمنية" (المقاييس التي تتغير بمرور الوقت بسبب أحداث خارجة عن الضعف) أو "علامات بيئية" (درجات مخصصة لتعكس تأثير الثغرة الأمنية على مؤسستك).

بالنسبة لصانعي القرار ، يجب ألا يقل أهمية نظام القياس الكمي نظرًا لأنه يبحث في فرص انتشار الضرر عبر الصناعة. إذا كنت من منظمات المجتمع المدني التابعة لأحد البنوك ، فيجب أن تهتم بالتأثير النوعي الذي يمكن أن يحدثه أي استغلال إذا تم استخدامه للتغلب على بيانات العميل الخاصة بك ، أو ما هو أسوأ من ذلك. (تعرف على أنواع مختلفة من الثغرات الأمنية في The 5 Scariest Threats In Tech.)

حان الوقت لتغيير النظام؟

لذلك يجب أن تحصل نقاط الضعف في Apache Strusts 2 التي تم استخدامها في علبة Equifax على تصنيف أعلى في ضوء مدى اتساع نطاق الضرر ، أو جعل هذا التحول غير موضوعي بدرجة كبيرة بالنسبة لنظام مثل NVD مواكبة؟

نحن نمنح أن الخروج بالبيانات اللازمة للتوصل إلى "درجة بيئية" أو "درجة زمنية" كما هو موضح من قبل NVD سيكون صعباً للغاية ، مما يفتح مديري فريق CVSS المجاني على نقد لا ينتهي وطول من العمل ل NVD وغيرها لتحديث قواعد البيانات الخاصة بهم كما يخرج معلومات جديدة.

هناك بالطبع سؤال حول كيفية تجميع مثل هذه النتيجة ، حيث من المحتمل أن عددًا قليلاً جدًا من المنظمات ستقدم البيانات اللازمة حول تأثير الانتهاك ما لم يكن مطلوبًا بموجب قانون الكشف. لقد رأينا من حالة أوبر أن الشركات مستعدة للدفع بسرعة على أمل الحفاظ على المعلومات المحيطة بخرق من الوصول إلى الصحافة خشية أن تواجه ردة فعل عامة.

ربما يكون الأمر ضروريًا هو نظام جديد يمكنه دمج الجهود الجيدة من قواعد بيانات الثغرات الأمنية ، وإضافة نقاط إضافية عند توفر المعلومات.

لماذا تحفز هذه الطبقة الإضافية من التهديف عندما يبدو أن الطبقة السابقة قد أنجزت عملها بشكل جيد طوال هذه السنوات؟

بصراحة ، يعود الأمر إلى مساءلة المؤسسات عن تحمل مسؤولية طلباتها. في عالم مثالي ، سيتحقق الجميع من عشرات المكونات التي يستخدمونها في منتجاتهم قبل إضافتها إلى مخزونهم ، ويتلقون تنبيهات عند اكتشاف ثغرات جديدة في المشاريع التي كان يُعتقد سابقًا أنها آمنة ، وتنفيذ جميع التصحيحات اللازمة بمفردهم .

ربما إذا كانت هناك قائمة أظهرت مدى الدمار الذي قد تحدثه بعض نقاط الضعف هذه بالنسبة للمؤسسة ، فقد تشعر المنظمات بمزيد من الضغط حتى لا تتعرض للمكونات الخطرة. على الأقل ، قد يتخذون خطوات لإجراء جرد حقيقي للمكتبات مفتوحة المصدر الموجودة لديهم بالفعل.

في أعقاب الفشل الذري في Equifax ، كان من المحتمل أن يتدافع أكثر من مسؤول تنفيذي من المستوى C للتأكد من أنهم لم يكن لديهم النسخة المستضعفة من الدعامات في منتجاتهم. من المؤسف أن الأمر استغرق حادثًا بهذا الحجم لدفع الصناعة إلى أخذ أمنهم في المصادر المفتوحة بجدية.

نأمل أن يكون للدرس الذي مفاده أن الثغرات الأمنية في مكونات المصادر المفتوحة للتطبيقات الخاصة بك عواقب حقيقية للغاية سيكون له تأثير على كيفية إعطاء صناع القرار الأولوية للأمن ، واختيار الأدوات المناسبة للحفاظ على أمان منتجاتهم وبيانات العملاء.