Ernstniveaus voor beveiligingsproblemen
Bronnen van kwetsbaarheid
- Tickets voor de beveiligingsscanner, zoals die worden ingediend door Nexpose en Snyk
- Bug Bounty-bevindingen gevonden door beveiligingsonderzoekers via Bugcrowd
- Beveiligingsproblemen die door het beveiligingsteam zijn gemeld als onderdeel van beoordelingen
- Beveiligingsproblemen gemeld door Atlassians
Framework en beoordeling van ernst
Atlassian gebruikt het Common Vulnerability Scoring System (CVSS) als een methode om het veiligheidsrisico te beoordelen en prioriteiten te stellen voor elke ontdekte kwetsbaarheid. CVSS is een statistiek voor kwetsbaarheden in de branche. Meer informatie over CVSS vind je op FIRST.org.
Ernstniveaus
Beveiligingsadviezen van Atlassian bevatten een ernstniveau. Dit ernstniveau is gebaseerd op onze zelfberekende CVSS-score voor elke specifieke kwetsbaarheid.
- Kritiek
- Hoog
- Gemiddeld
- Laag
Voor CVSS v3 gebruikt Atlassian het volgende ernstbeoordelingssysteem:
CVSS V3-SCOREBEREIK | ERNST IN ADVIES |
---|---|
9,0 - 10,0 | Kritiek |
7,0 - 8,9 | Hoog |
4,0 - 6,9 | Gemiddeld |
0,1 - 3,9 | Laag |
In sommige gevallen kan Atlassian aanvullende factoren gebruiken die geen verband houden met de CVSS-score om de ernst van een kwetsbaarheid te bepalen. Deze aanpak wordt ondersteund door de CVSS v3.1 specificatie:
Consumenten kunnen CVSS-informatie gebruiken als input voor een proces voor het beheren van organisatorische kwetsbaarheden dat ook rekening houdt met factoren die geen deel uitmaken van CVSS. Zo kunnen ze de bedreigingen voor hun technologie-infrastructuur rangschikken en weloverwogen herstelbesuiten nemen. Dergelijke factoren kunnen zijn: aantal klanten op een productlijn, geldelijke verliezen als gevolg van een inbreuk, bedreigingen van leven of eigendommen, of publieke opinie over kwetsbaarheden waarover veel wordt gepubliceerd. Deze vallen buiten de reikwijdte van CVSS.
Waar Atlassian deze aanpak hanteert, zullen we beschrijven welke aanvullende factoren in overweging zijn genomen en waarom en wanneer we de kwetsbaarheid publiekelijk bekendmaken.
Hieronder staan enkele voorbeelden van kwetsbaarheden die in een bepaald ernstniveau kunnen resulteren. Onthoud dat deze beoordeling geen rekening houdt met details van je installatie en alleen als richtlijn moet worden gebruikt.
Ernstniveau: Kritiek
Kwetsbaarheden die in het kritieke bereik scoren hebben gewoonlijk de meeste van de volgende kenmerken:
- Uitbuiting van de kwetsbaarheid leidt waarschijnlijk tot een compromis op rootniveau van servers of infrastructuurapparaten;
- Uitbuiting is meestal eenvoudig, in die zin dat de aanvaller geen speciale authenticatiegegevens of kennis over individuele slachtoffers nodig heeft en een doelgebruiker niet hoeft te overtuigen (zoals via social engineering) om speciale functies uit te voeren.
Voor kritieke kwetsbaarheden wordt geadviseerd om zo snel mogelijk een patch of upgrade uit te voeren, tenzij je andere beperkende maatregelen hebt getroffen. Een verzachtende factor kan bijvoorbeeld zijn als je installatie niet toegankelijk is via internet.
Ernstniveau: Hoog
Kwetsbaarheden die in het hoge bereik scoren, voldoen meestal aan enkele van de volgende kenmerken:
- De kwetsbaarheid kan moeilijk worden uitgebuit;
- Uitbuiting kan leiden tot verhoogde machtigingen;
- Uitbuiting kan leiden tot aanzienlijk gegevensverlies of downtime.
Ernstniveau: Gemiddeld
Kwetsbaarheden die in het middenbereik scoren, voldoen meestal aan enkele van de volgende kenmerken:
- Kwetsbaarheden die vereisen dat de aanvaller individuele slachtoffers manipuleert via social engineering-tactieken;
- Denial of service-kwetsbaarheden die moeilijk in te stellen zijn;
- Zwakke plekken waarbij een aanvaller zich op hetzelfde lokale netwerk moet bevinden als het slachtoffer;
- Kwetsbaarheden waarvan uitbuiting slechts zeer beperkte toegang biedt;
- Kwetsbaarheden waarvoor gebruikersrechten nodig zijn voor succesvolle uitbuiting.
Ernstniveau: Laag
Kwetsbaarheden in het lage bereik hebben doorgaans weinig impact op de bedrijfsvoering van een organisatie. Uitbuiting van dergelijke kwetsbaarheden vereist meestal lokale of fysieke systeemtoegang. Kwetsbaarheden in code van derden die niet bereikbaar zijn vanuit Atlassian-code kunnen ook een lager ernstniveau krijgen.
Tijdlijn voor herstel
Atlassian bepaalt service level objectives voor het oplossen van beveiligingsproblemen op basis van het ernstniveau van de beveiliging en het getroffen product. We hebben termijnen vastgesteld voor het oplossen van beveiligingsproblemen volgens ons beveiligingsbugfixbeleid.
De kortere termijnen voor probleemoplossing gelden voor:
- Alle cloudgebaseerde Atlassian-producten
- Jira Align (zowel de cloud- als zelfbeheerde versies)
- Alle andere software of systemen die beheerd worden door Atlassian of draaien op een Atlassian-infrastructuur
De langere termijnen voor probleemoplossing gelden voor:
- Alle zelfbeheerde Atlassian-producten
- Dit zijn producten die door klanten worden geïnstalleerd op door klanten beheerde systemen
- Dit omvat de Data Center-, desktop- en mobiele applicaties van Atlassian
CVSS-termijn voor probleemoplossing
Ernstniveaus | Versnelde termijnen voor probleemoplossing | Verlengde termijnen voor probleemoplossing |
---|---|---|
Kritiek | Binnen 10 dagen na verificatie | Binnen 90 dagen na verificatie |
Hoog | Binnen 4 weken na verificatie | Binnen 90 dagen na verificatie |
Gemiddeld | Binnen 12 weken na verificatie | Binnen 90 dagen na verificatie |
Laag | Binnen 25 weken na verificatie | Binnen 180 dagen na verificatie |