Kérdés:
A "felfedezhetőség = alacsony" elfogadható ok a sérülékenység kockázatának csökkentésére?
Mike Ounsworth
2018-07-13 02:48:48 UTC
view on stackexchange narkive permalink

Az elavult DREAD kockázati modell ( wikipédia) a felfedezhetőséget sorolja fel a sérülékenység súlyosságának megítélésénél. Az az elképzelés, hogy valamit, amelyet nem ismerünk nyilvánosan, és amelyet valószínűleg nem fedez fel a kérdéses alkalmazás mély ismerete nélkül, nincs szüksége akkora pánikra, mint például valami közzétett CVE-vel (feltéve, hogy nincsenek közzétett támadási prototípusok, mivel ez a Kihasználhatósági mutatóba ereszt).

Úgy veszem észre, hogy a CVSS v3.0 nem rendelkezik arra vonatkozó mutatóval, hogy mekkora valószínűséggel fedezhető fel a sebezhetőség.

A Wikipedia ezt mondja:

Felfedezhetőségi vita

Egyes biztonsági szakértők úgy érzik, hogy a „Felfedezhetőség” elem utolsó D-ként való szereplése a biztonságot díjazza a homály miatt, ezért egyes szervezetek vagy átköltöztek egy DREAD-D "DREAD mínusz D" skálára (amely kihagyja a Felfedezhetőséget), vagy mindig azt feltételezik, hogy a Felfedezhetőség a maximális besoroláson van.

Tehát a kérdésem alapvetően: a nagyon nyilvánvaló "rossz a homály által okozott biztonság" mellett, mik az érvek a Discoverabi használata mellett és ellen kockázatelemzés részeként?

Ráadásul a CVSS-t csak a már megtalált és nyilvánosságra hozott sebezhetőségek értékelésére használják ... így a felismerhetőségi besorolás felesleges.
@nbering Biztos, hogy nincsenek olyan szervezetek, amelyek a CVSS-skálát használják a belsőleg felfedezett vagy más módon nyilvánosan nem ismert sebezhetőségek értékelésére?
Nem mondanám, hogy soha senki sem teszi ... de egy olyan szervezet tervezte, amely létezik a sebezhetőségek bejelentésére és az enyhítés globális szintű koordinálására.Szerintem nem érdekli őket a felfedezhetőség, hiszen ha minősítik, akkor már felfedezték.
Becsületes;A CVSS-t nem 0 napra tervezték.
Ezt félretéve ... érdekes kérdés.Akadémiai szempontból a felfedezhetőség nem bizonyítható, és nehezen értékelhető.Pragmatikus nézőpontból látom, hogy ezt figyelembe veszik az egyébként hasonló hatású potenciális kérdések triagálásakor.Jómagam soha nem használtam a DREAD modellt.
@nbering - hogy igazságos legyek, más kockázati ponttényezőket is nehéz számszerűsíteni.Például: "kihasználhatóság" / "támadás összetettsége".Ennek azon kell alapulnia, hogy a támadás mennyire valószínű, hogy sikeres lesz?Hány lépés szükséges a kiaknázásához?A kihasználáshoz szükséges feltételek?Bizonyos szempontból a felfedezhetőség objektíven mérhető, mint a kezdeti sérülékenység és a kezdeti felfedezés közötti idő fordítottja.Minél tovább tartott észrevenni, annál alacsonyabb volt a felfedezhetőség.
Három válaszokat:
Mr. Llama
2018-07-13 03:23:24 UTC
view on stackexchange narkive permalink

Az alacsony felfedezhetőség nem feltétlenül jelenti a "homály által okozott biztonságot". Ez csak azt jelentheti, hogy a sérülékenység a funkcionalitás egy részében rejlik, amelyet ritkán vizsgálnak soha. Ez azt is jelentheti, hogy a felfedezéshez olyan szűk sarok esetre lenne szükség, hogy valószínűleg még az kezdeti felfedezés sem történt volna meg. Ilyen például a Dirty COW és a Spectre / Meltdown, amelyekre csaknem egy évtizedet kellett észrevenni.

Másrészt az alacsony felfedezhetőség nem feltétlenül jelenthet alacsony prioritást . Ha alacsony felfedezhetőséggel rendelkező sérülékenységről számolnak be, a megfelelő válasz meghatározásakor más tényezőket is figyelembe kell venni - például a hatást és a könnyű kihasználhatóságot. Valójában ezek a megfontolások éppen ezért léteznek olyan kockázati besorolási pontszámok, mint a DREAD és a CVSS. Amint azonban a megjegyzésekben tárgyaltuk, a "felfedezhetőség" csak magán nyilvánosságra hozatala kapcsán jelenthet jelentést. Ha egy biztonsági rés már nyilvános, akkor a felfedezhetőség lényegében 100% -os, és már nem releváns szempont.

Jonah Benton
2018-07-13 03:33:38 UTC
view on stackexchange narkive permalink

Azon az oldalon állok, amely nem szereti a felfedezhetőséget. Rosszul van meghatározva, és bármelyik definíció szerint az emberek különösen rosszul tippelnek rá.

Létezik olyan idő és figyelem, amely alatt minden szoftver sérülékeny, és minden sebezhetőség, beleértve azokat is, amelyekről nem tudja, hogy vannak.

Vannak olyan emberek, akik valóban ismerik a támadási felületüket és a fenyegetés szereplőiket, és talán jó becslést tudnak adni a felfedezhetőség valamilyen értelméről, de ez nem általános eset, és túl könnyű meglepődni .

Megfigyeltem, hogy olyan szörnyű sérülékenységekkel rendelkező szervezetek rejtőzködtek, amelyek soha nem támadtak meg, talán azért, mert mindig alacsonyabb a függő gyümölcs.

Továbbá megfigyeltem, hogy sok exec gondolkodik egy „felfedezhetőség” mértékének ösztönzésénél - mennyire rossz számomra, ha emiatt kompromisszumot kötünk, ahol ennek a spektrumnak az egyik vége az Equifax (elveszíti az állását és minden mást), a másik vége pedig ó, sajnálom, az üzletkötés költsége. Ez az intuíció önmagában nem feltétlenül rossz módszer az elsőbbségre, de semmi köze a "felfedezhetőség" ésszerű meghatározásához.

Tehát nem hiszem, hogy szerepet kellene játszania benne.

+1 Érdekes pontok, amelyeket gyakran a "Mennyire kínos lenne?" Proxyként használnak, és még megfelelő használat esetén is szinte lehetetlen megbecsülni.
Tom
2018-07-13 09:51:55 UTC
view on stackexchange narkive permalink

Igen. Bár a DREAD elavult lehet, más modellek hasonló fogalmakat tartalmaznak, és szigorúbban definiálják őket. A FAIR-ben például a biztonsági rés szempontját a fenyegetési képesség és a nehézség arányaként határozzák meg, ahol a fenyegetési képesség azt jelenti, hogy az adott fenyegetés mennyire képes (1 és 100 közötti skálán), míg a nehézség azt az akadályt jelenti, amelyet le kell küzdeni. sikeres (1-től 100-ig terjedő skálán). Az a tény, hogy a kiaknázható gyengeség felfedezéséhez jelentős ismeretekre van szükség, néhány pontot ad a Nehézséghez.

A Felfedezhetőség jogszerűen kikerül a DREAD-ból, hogy ez az alaspektus alaspektusának számos tényezője. kockázat. Nem érdemli meg az első rendű állást, amely a DREAD-ban van. Az alacsony felfedezhetőség kizárja az alacsony szintű támadókat, és kevéssé hat a képzettebb támadókra.

Ezen felül a DREAD kvalitatív értékelési módszer. Mint ilyen, akár egy, akár két pont bármely kategóriában elmozdíthatja az eredményt egy másik "dobozba", tovább fokozva a hatást. Megfelelő statisztikai vagy kvantitatív modellben a hatás sokkal fokozatosabb.

Egyetértek minden állítással.Sajnos a felfedezhetőség is meghatározó tényező lehet egy alacsony szintű támadó számára.Sok robot létezik katalógusszervereken az általuk futtatott szoftverekhez, és csak arra várnak, hogy a megfelelő kritikus sebezhetőség felbukkanjon az általuk katalizált szervereken.Az olyan dolgok, mint a CMS-megoldás X-Powered-By fejléce vagy verziójának metaadat-végpontjai, túl könnyűvé teszik.
Egy ilyen bot nem minősül alacsony szintű támadónak.Valaki áll a bot mögött, és elég sokat tud a biztonságról ahhoz, hogy ilyen szkennelést végezzen.Alacsony szintű támadó lenne pl.valami elégedetlen alkalmazott, akinek nincsenek különösebb biztonsági ismeretei, vagy egy forgatókönyv gyerek, aki éppen most indul, vagy ilyesmi.
Elfogadható.Ez egy jó perspektíva.Általában alacsony szintűnek tartottam az automatizált bot támadásokat és a szkript gyerekeket, de igazad van.Ez alatt van néhány kifinomult szint.


Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 4.0 licencért, amely alatt terjesztik.
Loading...