NộI Dung
- Chỉ sự thật
- Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
- Kế toán tác động?
- Thời gian để thay đổi hệ thống?
Nguồn: BrianAJackson / iStockphoto
Lấy đi:
Đã đến lúc chúng ta phải làm mọi thứ với cách chúng ta nghĩ về việc đánh giá rủi ro cho các thành phần nguồn mở.
Phát triển một hệ thống để đánh giá mức độ nghiêm trọng của cộng đồng phát triển phần mềm nên xem xét các lỗ hổng là một thách thức, để làm cho nó nhẹ đi. Mã được viết bởi con người, và sẽ luôn có sai sót. Câu hỏi sau đó, nếu chúng ta cho rằng sẽ không có gì là hoàn hảo, là làm thế nào để chúng ta phân loại tốt nhất các thành phần theo rủi ro của chúng theo cách cho phép chúng ta tiếp tục làm việc hiệu quả?
Chỉ sự thật
Mặc dù có nhiều cách tiếp cận khác nhau mà người ta có thể giải quyết vấn đề này, mỗi phương pháp đều có lý do chính đáng, phương pháp phổ biến nhất dường như dựa trên mô hình định lượng.
Một mặt, sử dụng phương pháp định lượng để đánh giá mức độ nghiêm trọng của lỗ hổng có thể hữu ích ở chỗ nó khách quan và đo lường được hơn, chỉ dựa trên các yếu tố liên quan đến chính lỗ hổng.
Phương pháp này xem xét loại thiệt hại nào có thể xảy ra nếu lỗ hổng được khai thác, xem xét mức độ sử dụng rộng rãi của thành phần, thư viện hoặc dự án được sử dụng trong ngành công nghiệp phần mềm, cũng như các yếu tố như loại truy cập nào có thể cung cấp cho kẻ tấn công phá hoại họ nên sử dụng nó để vi phạm mục tiêu của họ. Các yếu tố như khả năng khai thác tiềm năng dễ dàng có thể đóng một vai trò lớn ở đây trong việc ảnh hưởng đến điểm số. (Để biết thêm về bảo mật, hãy xem An ninh mạng: Những tiến bộ mới mang đến những mối đe dọa mới - Và Phó Versa.)
Nếu chúng ta muốn nhìn ở tầm vĩ mô, viễn cảnh định lượng sẽ xem xét cách một lỗ hổng có thể gây tổn thương cho đàn gia súc, tập trung ít hơn vào thiệt hại có thể xảy ra đối với các công ty thực sự bị tấn công.
Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD), có lẽ là cơ sở dữ liệu về các lỗ hổng được biết đến nhiều nhất, áp dụng phương pháp này cho cả hai phiên bản 2 và 3 Hệ thống chấm điểm dễ bị tổn thương chung (CVSS) của chúng. Trên trang của họ giải thích các số liệu của họ để đánh giá các lỗ hổng, họ viết phương pháp của họ rằng:
Mô hình định lượng của nó đảm bảo phép đo chính xác có thể lặp lại trong khi cho phép người dùng thấy các đặc điểm dễ bị tổn thương tiềm ẩn được sử dụng để tạo điểm số. Do đó, CVSS rất phù hợp như một hệ thống đo lường tiêu chuẩn cho các ngành công nghiệp, tổ chức và chính phủ cần điểm số tác động dễ bị tổn thương chính xác và nhất quán.
Dựa trên các yếu tố định lượng khi chơi, NVD sau đó có thể đạt được điểm số nghiêm trọng, cả hai đều có số trên thang điểm của họ - 1 đến 10, với 10 là nghiêm trọng nhất - cũng như các loại THẤP, TRUNG BÌNH và CAO .
Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.
Kế toán tác động?
Tuy nhiên, NVD dường như đang nỗ lực để hiểu rõ những gì chúng ta có thể gọi là thước đo định tính của lỗ hổng, dựa trên mức độ ảnh hưởng của một khai thác nhất định đã gây ra thiệt hại. Công bằng mà nói, họ kết hợp tác động trong chừng mực họ đo lường tác động của lỗ hổng trên hệ thống, xem xét các yếu tố bảo mật, tính toàn vẹn và tính sẵn sàng. Đây là tất cả các yếu tố quan trọng để xem xét - như với vectơ truy cập dễ dàng đo lường hơn, độ phức tạp truy cập và xác thực - nhưng chúng không cảm thấy có nhiệm vụ liên quan đến tác động trong thế giới thực khi lỗ hổng gây ra tổn thất thực sự cho tổ chức.
Ví dụ, vi phạm Equachus đã tiết lộ thông tin nhận dạng cá nhân của khoảng 145 triệu người, bao gồm chi tiết giấy phép lái xe, số an sinh xã hội và các bit khác có thể được sử dụng bởi các nhân vật vô đạo đức để thực hiện các hoạt động lừa đảo lớn.
Đó là lỗ hổng (CVE-2017-5638) đã được phát hiện trong dự án Apache Struts 2 mà Equachus sử dụng trong ứng dụng web của họ cho phép những kẻ tấn công đi bộ ở cửa trước và cuối cùng đưa ra với cánh tay chứa đầy thông tin cá nhân ngon ngọt .
Mặc dù NVD đã cho điểm số nghiêm trọng là 10 và CAO, nhưng quyết định của họ là do đánh giá định lượng về thiệt hại tiềm tàng của nó và không bị ảnh hưởng bởi thiệt hại lớn xảy ra sau đó khi vi phạm Equachus được công khai.
Đây không phải là sự giám sát của NVD, mà là một phần trong chính sách đã nêu của họ.
NVD cung cấp "điểm cơ bản" CVSS đại diện cho các đặc điểm bẩm sinh của từng lỗ hổng. Chúng tôi hiện không cung cấp "điểm số tạm thời" (số liệu thay đổi theo thời gian do các sự kiện bên ngoài lỗ hổng) hoặc "điểm số môi trường" (điểm số được tùy chỉnh để phản ánh tác động của lỗ hổng đối với tổ chức của bạn).
Đối với những người ra quyết định, hệ thống đo lường định lượng sẽ ít quan trọng hơn vì nó đang xem xét khả năng nó sẽ gây hại trên toàn ngành. Nếu bạn là CSO của một ngân hàng, bạn nên quan tâm đến tác động định tính mà một công cụ khai thác có thể có nếu nó được sử dụng để bù đắp với dữ liệu khách hàng của bạn, hoặc tệ hơn là tiền của họ. (Tìm hiểu về các loại lỗ hổng khác nhau trong 5 mối đe dọa đáng sợ nhất trong công nghệ.)
Thời gian để thay đổi hệ thống?
Do đó, lỗ hổng trong Apache Strowers 2 được sử dụng trong trường hợp Equachus nhận được thứ hạng cao hơn về mức độ thiệt hại hóa ra, hoặc làm cho sự thay đổi trở nên quá chủ quan đối với một hệ thống như NVD theo kịp?
Chúng tôi cho rằng việc đưa ra các dữ liệu cần thiết để đưa ra "điểm số môi trường" hoặc "điểm thời gian" như mô tả của NVD sẽ vô cùng khó khăn, mở ra các nhà quản lý của nhóm CVSS miễn phí để không ngừng chỉ trích và hàng tấn công việc cho NVD và những người khác để cập nhật cơ sở dữ liệu của họ khi có thông tin mới.
Tất nhiên, có câu hỏi về cách tính điểm như vậy, vì rất ít tổ chức có khả năng cung cấp dữ liệu cần thiết về tác động của vi phạm trừ khi chúng được yêu cầu bởi luật công bố thông tin. Chúng tôi đã thấy từ trường hợp của Uber rằng các công ty sẵn sàng thanh toán nhanh chóng với hy vọng giữ thông tin xung quanh vi phạm tiếp cận với báo chí vì họ phải đối mặt với phản ứng dữ dội công khai.
Có lẽ điều cần thiết là một hệ thống mới có thể kết hợp những nỗ lực tốt từ cơ sở dữ liệu dễ bị tổn thương và thêm điểm số riêng của họ khi có thông tin.
Tại sao lại xúi giục lớp ghi điểm bổ sung này khi lớp trước dường như đã hoàn thành công việc của mình đủ tốt trong suốt những năm này?
Thành thật mà nói, trách nhiệm của các tổ chức phải chịu trách nhiệm cho các ứng dụng của họ. Trong một thế giới lý tưởng, mọi người sẽ kiểm tra điểm số của các thành phần mà họ sử dụng trong các sản phẩm của mình trước khi thêm chúng vào kho của họ, nhận thông báo khi các lỗ hổng mới được phát hiện trong các dự án trước đây được cho là an toàn và tự mình thực hiện các bản vá cần thiết .
Có lẽ nếu có một danh sách cho thấy mức độ tàn phá của một số lỗ hổng này đối với một tổ chức, thì các tổ chức có thể cảm thấy áp lực hơn khi không bị bắt với các thành phần rủi ro. Ít nhất, họ có thể thực hiện các bước để có một kho lưu trữ thực sự về các thư viện nguồn mở mà họ đã có.
Sau hậu quả của Equias fiasco, hơn một giám đốc điều hành cấp C có khả năng tranh giành để đảm bảo rằng họ không có phiên bản Struts dễ bị tổn thương trong các sản phẩm của họ. Thật không may là phải mất một sự cố lớn như vậy để thúc đẩy ngành công nghiệp thực hiện bảo mật nguồn mở của họ một cách nghiêm túc.
Hy vọng bài học rằng các lỗ hổng trong các thành phần nguồn mở trong các ứng dụng của bạn có thể gây ra hậu quả rất thực tế sẽ có tác động đến cách các nhà ra quyết định ưu tiên bảo mật, chọn đúng công cụ để giữ an toàn cho sản phẩm và khách hàng của họ.