Nazaj na blog Reporting

Prioritizacija ranljivosti: Onkraj ocen CVSS

Vid Grosek
Vid Grosek Etični heker & Penetracijski tester
December 08, 2024 3 min branja
Prioritizacija ranljivosti: Onkraj ocen CVSS
Nazadnje posodobljeno:

Same ocene CVSS ne kazejo dejanskega tveganja za vaso organizacijo. Po osemnajstih letih penetracijskega testiranja vam lahko povem, da je slepo sledenje CVSS pripeljalo mnoge organizacije do tega, da so najprej popravile napacne stvari. Videl sem podjetja, ki so tedne porabila za krpanje ranljivosti CVSS 9.8 na izoliranem internem testnem strezniku, medtem ko so ignorirala tezavo CVSS 6.5 na svojem placilnem prehodu, obrnjenem proti internetu. Testni streznik ni predstavljal prakticno nobenega tveganja; ranljivost placilnega prehoda je bila aktivno izkoriscana v naravi.

Dejavniki onkraj CVSS

CVSS meri tehnicne znacilnosti ranljivosti v izolaciji. Dejansko tveganje je odvisno od konteksta, ki ga lahko zagotovite samo vi in vas penetracijski tester.

  • Kriticnost sredstva - Ranljivost na vasem jedru bancne platforme je bistveno drugacna od iste ranljivosti na internem wikiju. Stranke vedno prosim, da pred zacetkom projekta zagotovijo inventar sredstev z ocenami poslovne kriticnosti.
  • Izpostavljenost - Je obrnjen proti internetu ali notranji? Je za VPN-jem? Napadna povrsina dramaticno vpliva na verjetnost izkoriscanja. Kriticna ranljivost za tremi plastmi segmentacije omrezja je manj nujna kot srednja ranljivost, neposredno dostopna z interneta.
  • Razpolozljivost exploita - Ali obstaja javni modul Metasploit ali dokaz koncepta? Ranljivosti z lahko dostopno kodo exploita se premaknejo na vrh seznama prioritet, ker je ovira za izkoriscanje prakticno nicna.
  • Obcutljivost podatkov - Dostop do javne trzne vsebine je zelo drugacna skrb kot dostop do financnih podatkov strank ali zdravstvenih zapisov. Vrsta in obseg ogrozenih podatkov morata mocno vplivati na prioritizacijo.

Matrika prioritizacije

Uporabljam kontekstualno matriko prioritizacije, ki kombinira tehnicno resnost, kriticnost sredstva, izpostavljenost in razpolozljivost exploita.

  • Kriticno - Popravite v 24-48 urah. Internetno izpostavljene ranljivosti na kriticnih sredstvih z razpolozljivimi exploiti. Obicajno identificiram eno do tri takih na projekt in jih stranki sporocim takoj ob odkritju.
  • Visoko - Popravite v 1-2 tednih. Resne ranljivosti na pomembnih sistemih, ki zahtevajo takojsnjo pozornost, vendar dopuscajo procese upravljanja sprememb.
  • Srednje - Popravite v 30 dneh. Resnicne ranljivosti z ublazujocimi dejavniki, kot sta omejena izpostavljenost ali nizja kriticnost sredstva.
  • Nizko - Popravite, ko je prirocno. Informativne ugotovitve, odstopanja od najboljsih praks in izboljsave obrambe v globino.

Upostevanje verige napadov

Vcasih srednja ranljivost omogoca kriticno pot napada. Posamezne ugotovitve ne obstajajo v izolaciji. Srednje resna ranljivost razkritja informacij lahko razkrije notranjo arhitekturo omrezja, ki izkoriscanje druge ranljivosti naredi trivialno. Nizko resno privzeto geslo na notranji storitvi lahko zagotovi oporisce za obrat na kriticni streznik baze podatkov. V porocilih vedno narisem verige napadov. Imel sem projekte, kjer se je pet posamicno srednje ocenjenih ugotovitev kombiniralo v verigo, ki mi je dala dostop domenskega administratorja z interneta. Nobena posamezna ugotovitev ne bi sprozila nujne odprave, vendar je veriga predstavljala kriticno tveganje.

Prakticni pristop

Tukaj je okvir, ki ga uporabljam za prevod ugotovitev v izvedljiv nacrt odprave.

  1. Identificirajte krone draguljev - sodelujte z delezniki pri definiranju treh do petih najkriticnejsih sredstev, katerih kompromitacija bi povzrocila najvecji poslovni vpliv
  2. Preslikajte napadne poti do njih - sledite vsaki ugotovitvi nazaj do potencialnih poti, ki vodijo do kriticnih sredstev
  3. Prioritizirajte prekinitev poti - popravite ranljivost, ki prekine najvec napadnih poti, vcasih en sam popravek na kriticni ozini hkrati odstrani vec poti
  4. Uravnotezite hitre zmage s strateskimi popravki - zacnite s konfiguracijskimi spremembami za zmanjsanje takojsnjega tveganja, medtem ko nacrtujete vecje arhitekturne izboljsave

Komuniciranje odlocitev o prioritizaciji

Ko predstavim prioritizirane ugotovitve, vkljucim vizualni diagram napadne poti, ki prikazuje, kako se posamezne ranljivosti povezujejo v verige izkoriscanja, ki vodijo do kriticnih sredstev. Ekipe so veliko bolj motivirane za obravnavo ranljivosti, ko natancno vidijo, kako bi jih napadalec uporabil, namesto da jim preprosto povedo stevilko resnosti.

Zavestno sprejemanje tveganja

Vsake ranljivosti ni treba popraviti. Nekatere ugotovitve so lahko sprejete kot preostalo tveganje, ker strosek odprave presega potencialni vpliv ali ker nadomestne kontrole zadostno zmanjsujejo tveganje. Kljucno je, da je ta odlocitev sprejeta zavestno in dokumentirana. Strankam pomagam ustvariti formalne zapise sprejemanja tveganja, s cimer zagotovim, da odlocitev sprejme nekdo z ustreznimi pooblastili in da se periodicno pregleduje.

Tags: Porocanje Penetracijski test Slovenija
Vid Grosek

Vid Grosek

Etični heker & Penetracijski tester

Pomagam slovenskim podjetjem odkriti varnostne ranljivosti, preden jih odkrijejo napadalci. Vec kot 5 let izkusenj s penetracijskim testiranjem.

Vse objave

Sorodne objave

WRITING
Porocanje Dec 28, 2024

Skladnost proti varnosti: Razlicni cilji, isti proracun

Razumevanje napetosti med skladnostjo in dejansko varnostjo.
WRITING
Porocanje Dec 23, 2024

Gradnja poslovnega primera za varnostne nalozbe

Kako upraviciti varnostne stroske poslovnim deletnikom.
WRITING
Porocanje Dec 18, 2024

Odziv na incidente: Kaj mora vedeti vodstvo

Vodic za vodstvo o obravnavi in komunikaciji varnostnih incidentov.

Komentarji

Ni se komentarjev. Bodite prvi!

Dodaj komentar

Vam je bil clanek vsec?

Prijavite se na newsletter za mesecne varnostne vpoglede.

Prijavite se