Livelli di gravità per i ticket di sicurezza
Fonti di vulnerabilità
- Ticket della scansione di sicurezza come quelli inviati da Nexpose e Snyk
- Risultati dei programmi Bug Bounty trovati dai ricercatori di sicurezza tramite Bugcrowd
- Vulnerabilità di sicurezza segnalate dal team di sicurezza nell'ambito delle revisioni
- Vulnerabilità di sicurezza segnalate dagli Atlassiani
Framework e valutazione della gravità
Atlassian utilizza il sistema CVSS (Common Vulnerability Scoring System) come metodo per valutare il rischio per la sicurezza e stabilire le priorità per ciascuna vulnerabilità scoperta. Il CVSS è una metrica di vulnerabilità standard del settore. Maggiori informazioni sul CVSS sono disponibili su First.org.
Livelli di gravità
Gli avvisi di sicurezza Atlassian includono un livello di gravità, basato sul nostro punteggio CVSS calcolato automaticamente per ogni vulnerabilità specifica.
- Critico
- Elevato
- Medio
- Basso
Per CVSS v3 Atlassian utilizza il seguente sistema di classificazione del livello di gravità:
INTERVALLO DI PUNTEGGI CVSS V3 | LIVELLO DI GRAVITÀ INDICATO NELL'AVVISO |
---|---|
9,0 - 10,0 | Critico |
7,0 - 8,9 | Elevato |
4,0 - 6,9 | Medio |
0,1 - 3,9 | Basso |
In alcuni casi, Atlassian può utilizzare fattori aggiuntivi non correlati al punteggio CVSS per determinare il livello di gravità di una vulnerabilità. Questo approccio è supportato dalla specifica CVSS v3.1:
I consumatori possono utilizzare le informazioni CVSS come input per un processo di gestione delle vulnerabilità dell'organizzazione che tenga conto anche di fattori che non fanno parte del CVSS, al fine di classificare le minacce alla loro infrastruttura tecnologica e prendere decisioni informate in merito alla correzione. Tali fattori possono includere: numero di clienti di una linea di prodotti, perdite monetarie dovute a una violazione, minacce alla vita o alla proprietà oppure l'opinione pubblica su vulnerabilità altamente pubblicizzate. I fattori menzionati sopra non rientrano nell'ambito di applicazione del CVSS.
Nei casi in cui Atlassian adotti questo approccio, descriveremo quali fattori aggiuntivi sono stati considerati e per quale motivo al momento della divulgazione pubblica della vulnerabilità.
Di seguito sono riportati alcuni esempi di vulnerabilità che possono causare un determinato livello di gravità. Tieni presente che questa valutazione non prende in considerazione i dettagli dell'installazione e deve essere utilizzata solo come guida.
Livello di gravità: critico
Le vulnerabilità con punteggi inclusi nell'intervallo critico di solito presentano la maggior parte delle seguenti caratteristiche:
- Lo sfruttamento della vulnerabilità comporta probabilmente una compromissione a livello principale dei server o dei dispositivi dell'infrastruttura.
- Lo sfruttamento è di solito semplice, nel senso che l'autore dell'attacco non necessita di credenziali di autenticazione speciali o conoscenze sulle singole vittime e non ha bisogno di indurre un utente preso di mira, ad esempio tramite l'ingegneria sociale, a eseguire particolari funzioni.
Per le vulnerabilità critiche, è consigliabile applicare una patch o effettuare l'upgrade il prima possibile, a meno che non siano state adottate altre misure di mitigazione. Ad esempio, un fattore di mitigazione potrebbe essere un'installazione non accessibile da Internet.
Livello di gravità: elevato
Le vulnerabilità con punteggi nella fascia alta dell'intervallo di solito presentano alcune delle seguenti caratteristiche:
- La vulnerabilità è difficile da sfruttare.
- Lo sfruttamento potrebbe comportare privilegi elevati.
- Lo sfruttamento potrebbe comportare una significativa perdita di dati o tempi di inattività.
Livello di gravità: medio
Le vulnerabilità con punteggi inclusi nell'intervallo medio di solito presentano alcune delle seguenti caratteristiche:
- Vulnerabilità che richiedono all'autore di un attacco di manipolare le singole vittime tramite tattiche di ingegneria sociale.
- Vulnerabilità di tipo Denial of Service, che sono difficili da configurare.
- Exploit che richiedono che l'autore di un attacco risieda nella stessa rete locale della vittima.
- Vulnerabilità in cui lo sfruttamento fornisce solo un accesso molto limitato.
- Vulnerabilità che richiedono privilegi utente per riuscire a sfruttarle.
Livello di gravità: basso
Le vulnerabilità nella fascia bassa in genere hanno un impatto minimo sull'attività di un'organizzazione. Lo sfruttamento di tali vulnerabilità richiede in genere l'accesso al sistema locale o fisico. Per le vulnerabilità nel codice di terze parti che non sono raggiungibili dal codice Atlassian è possibile ridurre la gravità a un livello basso.
Sequenza temporale delle correzioni
Atlassian stabilisce obiettivi di livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito delle tempistiche per la correzione dei problemi di sicurezza in base alla nostra policy di correzione dei bug di sicurezza.
Le tempistiche di risoluzione accelerate si applicano a:
- Tutti i prodotti Atlassian basati sul cloud
- Jira Align (versioni cloud e autogestita)
- Qualsiasi altro software o sistema gestito da Atlassian o in esecuzione sull'infrastruttura Atlassian
Le tempistiche di risoluzione estese si applicano a:
- Tutti i prodotti Atlassian autogestiti
- Si tratta di prodotti che vengono installati dai clienti sui sistemi gestiti dal cliente
- Sono incluse le applicazioni Data Center, desktop e mobili di Atlassian
Tempistiche di risoluzione CVSS
Livelli di gravità | Accelerazione della tempistica di risoluzione | Tempistiche di risoluzione estese |
---|---|---|
Critico | Entro 10 giorni dalla verifica | Entro 90 giorni dalla verifica |
Elevato | Entro 4 settimane dalla verifica | Entro 90 giorni dalla verifica |
Medio | Entro 12 settimane dalla verifica | Entro 90 giorni dalla verifica |
Basso | Entro 25 settimane dalla verifica | Entro 180 giorni dalla verifica |