Content
- Només els fets
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- Comptar per Impacte?
- És hora de canviar el sistema?
Font: BrianAJackson / iStockphoto
Emportar:
Ha arribat el moment de reflexionar sobre com pensem en avaluar el risc per a components de codi obert.
És difícil posar en marxa un sistema per avaluar la gravetat de la vulnerabilitat de la comunitat de desenvolupament de programari. El codi està escrit pels humans i sempre tindrà defectes. La pregunta, si suposem que mai res serà perfecte, és com hem de classificar els components en funció del seu risc de manera que ens permeti continuar treballant productivament?
Només els fets
Si bé hi ha molts enfocaments que es poden adoptar per abordar aquest problema, cadascun amb la seva pròpia justificació vàlida, el mètode més comú sembla que es basa en un model quantitatiu.
D'una banda, utilitzar un enfocament quantitatiu per jutjar la gravetat d'una vulnerabilitat pot ser útil, ja que és més objectiu i mesurable, basat exclusivament en els factors relacionats amb la pròpia vulnerabilitat.
Aquesta metodologia analitza quin tipus de dany es pot produir si s’ha d’explotar la vulnerabilitat, tenint en compte l’ús que s’utilitza àmpliament del component, biblioteca o projecte en tota la indústria del programari, així com factors com ara quin tipus d’accés podria donar a un atacant. naufragar estralls en cas d'utilitzar-lo per incomplir el seu objectiu. Factors com la fàcil explotació potencial poden tenir un paper important a l’hora d’afectar la puntuació. (Per obtenir més informació sobre seguretat, consulteu la ciberseguretat: com els avenços aconsegueixen noves amenaces i viceversa.)
Si volem estudiar un nivell macro, la perspectiva quantitativa mira com una vulnerabilitat podria fer mal a la rajada, centrant-nos menys en els danys que poden causar les empreses que es veuen afectades amb l'atac.
La base de dades nacional de vulnerabilitats (NVD), potser la base de dades de vulnerabilitats més coneguda, adopta aquest enfocament per a les versions 2 i 3 del seu sistema comú de puntuació de vulnerabilitat (CVSS). A la seva pàgina explicant les seves mètriques per avaluar les vulnerabilitats, escriuen el seu mètode que:
El seu model quantitatiu garanteix una mesura precisa i repetible alhora que permet als usuaris veure les característiques de vulnerabilitat subjacent que es van utilitzar per generar les puntuacions. Per tant, CVSS s’adapta bé com a sistema de mesura estàndard per a indústries, organitzacions i governs que necessiten puntuacions d’impacte de vulnerabilitat precises i coherents.
A partir dels factors quantitatius en joc, el NVD és capaç de trobar una puntuació de severitat, tant amb un nombre a la seva escala –1 a 10, amb 10 de més gravetat– com a categories de BAIX, MEDI i ALT. .
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
Comptar per Impacte?
Tot i això, sembla que el NVD està fent un esforç per mantenir-se al marge del que podem denominar com a mesura més qualitativa d’una vulnerabilitat, en funció de l’impacte que ha tingut una determinada explotació en causar danys. Per ser justos, incorporen impactes en la mesura que mesuren l’impacte de la vulnerabilitat en el sistema, tenint en compte els factors de confidencialitat, integritat i disponibilitat. Es tracta d’elements importants a tenir en compte, com ara amb el vector d’accés més fàcilment mesurable, la complexitat d’accés i l’autenticació, però no estan a l’altura de relacionar l’impacte del món real quan una vulnerabilitat provoca pèrdues reals a una organització.
Prenguem, per exemple, l’incompliment Equifax que va exposar la informació identificable personal d’uns 145 milions de persones, inclosos els detalls de la seva llicència de conduir, els números de seguretat social i altres bits que podrien utilitzar personatges sense escrúpols per dur a terme operacions massives de frau.
Va ser la vulnerabilitat (CVE-2017-5638) que es va descobrir en el projecte Apache Struts 2 que Equifax va fer servir a la seva aplicació web que va permetre als atacants caminar per la porta principal i acabar-la amb els braços plens de sucoses dades personals. .
Si bé la NVD li va donar raó una puntuació de severitat de 10 i ALTA, la seva decisió es va deure a la seva valoració quantitativa del seu dany potencial i no es va veure afectada pels danys extensos que es van produir després quan es va fer públic l’incompliment Equifax.
Aquesta no és una supervisió de la NVD, sinó una part de la seva política declarada.
El NVD proporciona CVS "puntuacions bàsiques" que representen les característiques innates de cada vulnerabilitat. Actualment no proporcionem "puntuacions temporals" (mètriques que canvien amb el pas del temps a causa d'esdeveniments externs a la vulnerabilitat) ni "puntuacions ambientals" (puntuacions personalitzades per reflectir l'impacte de la vulnerabilitat en la vostra organització).
Per als que prenen decisions, el sistema de mesurament quantitatiu hauria de tenir menys importància, ja que té en compte les possibilitats que es produeixi un perjudici per tota la indústria. Si ets el CSO d’un banc, hauria d’estar preocupat per l’impacte qualitatiu que pot tenir una explotació si s’utilitza per aportar les dades del vostre client, o pitjor, els seus diners. (Obteniu més informació sobre els diferents tipus de vulnerabilitats de les 5 amenaces més escarmentades en tecnologia.)
És hora de canviar el sistema?
D’aquesta manera, si la vulnerabilitat d’Apache Strusts 2 que s’utilitzava en el cas Equifax hauria de rebre una classificació més alta en funció de l’extensió que va resultar el dany, o que el canvi resultés ser massa subjectiu per a un sistema com el NVD. seguir endavant?
Concedim que la obtenció de les dades necessàries per obtenir una "puntuació ambiental" o "puntuació temporal" tal com es descriu per la NVD seria molt difícil, obrint els directius de l'equip gratuït de CVSS fins a fer sense crítiques i tones de treball. el NVD i d’altres d’actualització de les seves bases de dades a mesura que surti informació nova.
Per descomptat, hi ha la qüestió sobre com es recopilaria aquesta puntuació, ja que molt poques organitzacions podrien oferir les dades necessàries sobre l'impacte d'una infracció a no ser que les exigeixi una llei de divulgació. Al cas d'Uber, hem vist que les empreses estan disposades a pagar ràpidament amb l'esperança de que la informació que suposa un incompliment arribi a la premsa per no produir una reacció pública.
Potser el que cal és un nou sistema que pugui incorporar els bons esforços de les bases de dades de vulnerabilitat i afegir la seva puntuació addicional quan la informació estigui disponible.
Per què instigar aquesta capa addicional de puntuació quan l’anterior sembla que ha fet la seva feina prou bé tots aquests anys?
Francament, es tracta de rendir comptes a les organitzacions per assumir la responsabilitat de les seves aplicacions. En un món ideal, tothom comprovaria les puntuacions dels components que utilitzen en els seus productes abans d’afegir-los al seu inventari, rebria alertes quan es descobreixin noves vulnerabilitats en projectes que abans es creien segurs i implementarien els parches necessaris per si mateixos. .
Potser si hi hagués una llista que mostrés com poden ser devastadores algunes d’aquestes vulnerabilitats per a una organització, les organitzacions podrien sentir més pressió per no quedar atrapades amb components de risc. Com a mínim, podrien prendre mesures per fer un inventari real de quines biblioteques de codi obert ja tenen.
Després de la fiasco Equifax, probablement, més d'un executiu del nivell C es va revoltar per assegurar-se que no disposaven de la versió vulnerable de Struts als seus productes. És lamentable que hagi pres un incident d’aquesta magnitud per empènyer la indústria a prendre seriosament la seva seguretat de codi obert.
Tant de bo la lliçó que les vulnerabilitats dels components de codi obert de les vostres aplicacions puguin tenir conseqüències molt reals, repercutirà en com els responsables de decisió prioritzen la seguretat, escollint les eines adequades per mantenir les dades dels clients i els clients segurs.