Poziomy istotności zgłoszeń dotyczących bezpieczeństwa
Źródła wiedzy o lukach w zabezpieczeniach
- Zgłoszenia ze skanerów zabezpieczeń, np. przesyłane przez Nexpose i Snyk
- Zgłoszenia błędów wykrytych przez badaczy zabezpieczeń za pośrednictwem platformy Bugcrowd
- Luki w zabezpieczeniach zgłaszane przez zespół ds. bezpieczeństwa w ramach przeglądów
- Luki w zabezpieczeniach zgłaszane przez zespół Atlassian
Struktura i ocena istotności
Atlassian wykorzystuje Common Vulnerability Scoring System (CVSS) jako metodę oceny ryzyka związanego z zabezpieczeniami i ustalania priorytetu dla każdej wykrytej luki. CVSS jest standardowym wskaźnikiem branżowym dotyczącym luk w zabezpieczeniach. Więcej informacji na temat CVSS zawiera witryna FIRST.org.
Poziomy istotności
Zalecenia Atlassian dotyczące bezpieczeństwa obejmują poziom istotności. Taki poziom istotności jest oparty na naszym obliczonym samodzielnie wyniku oceny CVSS dla poszczególnych luk w zabezpieczeniach.
- Krytyczny
- Wysoki
- Średni
- Niski
W odniesieniu do CVSS w wersji 3 Atlassian stosuje następujący system oceny istotności:
ZAKRES PUNKTACJI CVSS W WERSJI 3 | ZALECANY POZIOM ISTOTNOŚCI |
---|---|
9,0–10,0 | Krytyczny |
7,0–8,9 | Wysoki |
4,0–6,9 | Średni |
0,1–3,9 | Niski |
W niektórych przypadkach Atlassian może wykorzystać dodatkowe czynniki niezwiązane z oceną CVSS, aby określić poziom istotności luki. Za takim podejściem przemawia specyfikacja CVSS v3.1:
Konsumenci mogą wykorzystywać informacje CVSS jako dane wejściowe do organizacyjnego procesu zarządzania lukami w zabezpieczeniach, który dodatkowo uwzględnia również czynniki niebędące elementem CVSS w celu uszeregowania zagrożeń dla infrastruktury technologicznej i podejmowania świadomych decyzji naprawczych. Takie czynniki mogą obejmować: liczbę klientów korzystających z danej linii produktów, straty pieniężne spowodowane naruszeniem, zagrożenia dla życia lub mienia bądź publiczne nastroje w odniesieniu do szeroko nagłośnionych luk w zabezpieczeniach. Wykraczają one poza zakres CVSS.
W przypadkach, w których Atlassian zdecyduje się przyjąć takie podejście, wraz z ujawnieniem luki w zabezpieczeniach opiszemy dodatkowe czynniki, jakie zostały uwzględnione, oraz przyczynę ich uwzględnienia.
Poniżej znajduje się kilka przykładów luk w zabezpieczeniach, które można powiązać z konkretnym poziomem istotności. Należy pamiętać, że ta ocena nie uwzględnia szczegółów Twojej instalacji i ma charakter wyłącznie poglądowy.
Poziom istotności: krytyczny
Luki w zabezpieczeniach, które uzyskują wynik odpowiadający krytycznemu poziomowi istotności, zwykle wykazują większość z opisanych poniżej cech:
- Wykorzystanie luki w zabezpieczeniach prawdopodobnie skutkuje naruszeniem bezpieczeństwa serwerów lub urządzeń infrastrukturalnych na poziomie root.
- Wykorzystanie luki przebiega zwykle w prosty sposób w tym sensie, że sprawca ataku nie potrzebuje żadnych specjalnych poświadczeń uwierzytelniających ani wiedzy na temat poszczególnych ofiar, nie musi nakłaniać użytkownika docelowego, na przykład stosując strategie właściwe dla inżynierii społecznej, do wykonywania żadnych specjalnych funkcji.
W przypadku krytycznych luk w zabezpieczeniach zaleca się możliwie jak najszybsze zainstalowanie poprawki lub uaktualnienia, chyba że podjęto inne środki eliminujące zagrożenie. Takim środkiem eliminującym zagrożenie może być na przykład uniemożliwienie dostępu do instalacji za pośrednictwem Internetu.
Poziom istotności: wysoki
Luki w zabezpieczeniach, które uzyskują wynik odpowiadający wysokiemu poziomowi istotności, zwykle wykazują niektóre z opisanych poniżej cech:
- Luka jest trudna do wykorzystania.
- Wykorzystanie luki może doprowadzić do uzyskania podwyższonych uprawnień.
- Wykorzystanie luki może spowodować znaczną utratę danych lub przestoje.
Poziom istotności: średni
Luki w zabezpieczeniach, które uzyskują wynik odpowiadający średniemu poziomowi ważności, zwykle wykazują niektóre z opisanych poniżej cech:
- Luki w zabezpieczeniach, które wymagają od sprawcy ataku manipulowania poszczególnymi ofiarami za pomocą taktyk inżynierii społecznej.
- Luki narażające na ataki typu „DoS”, które są trudne do przygotowania.
- Exploity wymagające od sprawcy ataku dostępu do sieci ofiary.
- Luki w zabezpieczeniach, których wykorzystanie zapewnia tylko bardzo ograniczony dostęp.
- Luki w zabezpieczeniach, których wykorzystanie wymaga uprawnień użytkownika.
Poziom istotności: niski
Luki w zabezpieczeniach, które uzyskują wynik odpowiadający niskiemu poziomowi ważności, mają zazwyczaj bardzo niewielki wpływ na działalność organizacji. Wykorzystanie takich luk wymaga zazwyczaj dostępu do systemu na poziomie lokalnym lub fizycznym. Poziom istotności luk w kodzie innych firm nieosiągalnych z poziomu kodu Atlassian może zostać obniżony do niskiego poziomu.
Oś czasu działań naprawczych
Atlassian wyznacza docelowe poziomy świadczenia usług dotyczące usuwania luk w zabezpieczeniach na podstawie poziomu istotności problemu z zabezpieczeniami i dotkniętego produktu. Zdefiniowaliśmy ramy czasowe naprawiania problemów związanych z bezpieczeństwem zgodnie z naszymi zasadami usuwania błędów zabezpieczeń.
Ramy czasowe działań naprawczych w trybie przyspieszonym dotyczą:
- Wszystkich produktów chmurowych Atlassian
- Jira Align (zarówno w wersji Cloud, jak i w wersjach samodzielnie zarządzanych)
- Każdego innego oprogramowania lub systemu zarządzanego przez Atlassian lub działającego w infrastrukturze Atlassian
Ramy czasowe działań naprawczych w trybie wydłużonym dotyczą:
- Wszystkich samodzielnie zarządzanych produktów Atlassian
- Są to produkty instalowane przez klienta w systemach zarządzanych przez klienta
- Obejmuje to aplikacje Data Center, komputerowe i mobilne firmy Atlassian
Ramy czasowe działań naprawczych CVSS
Poziomy ważności | Czas usuwania błędów w trybie przyspieszonym | Czas usuwania błędów w trybie wydłużonym |
---|---|---|
Krytyczny | W ciągu 10 dni od weryfikacji | W ciągu 90 dni od weryfikacji |
Wysoki | W ciągu 4 tygodni od weryfikacji | W ciągu 90 dni od weryfikacji |
Średni | W ciągu 12 tygodni od weryfikacji | W ciągu 90 dni od weryfikacji |
Niski | W ciągu 25 tygodni od weryfikacji | W ciągu 180 dni od weryfikacji |