هوش داده های تولیدی

تفاوت‌های کشف شده در رتبه‌بندی‌های شدت آسیب‌پذیری

تاریخ:

یک مطالعه جدید در این هفته مطمئناً سؤالات بیشتری را برای تیم‌های امنیتی سازمانی در مورد خردمندی تکیه بر امتیازات آسیب‌پذیری در پایگاه داده ملی آسیب‌پذیری (NVD) برای تصمیم‌گیری اولویت‌بندی وصله ایجاد می‌کند.

تجزیه و تحلیل توسط VulnCheck از 120 CVE با نمرات CVSS v3 مرتبط با آنها نشان می دهد که تقریباً 25,000 - یا حدود 20٪ - دو نمره شدت داشتند. یک امتیاز از NIST بود که NVD را حفظ می کند و دیگری از فروشنده محصول دارای باگ. در بسیاری از موارد، این دو امتیاز با هم تفاوت داشتند و تشخیص اینکه به کدام یک از آنها اعتماد کنند، برای تیم های امنیتی دشوار بود.

نرخ بالای درگیری

تقریباً 56 درصد یا 14,000 آسیب‌پذیری با دو نمره شدت دارای نمرات متناقضی بودند، به این معنی که امتیازی که توسط NIST اختصاص داده شده و امتیاز فروشنده مطابقت نداشت. در جایی که یک فروشنده ممکن است آسیب پذیری خاصی را با شدت متوسط ​​ارزیابی کرده باشد، NIST ممکن است آن را شدید ارزیابی کرده باشد.

به عنوان یک مثال، VulnCheck به آن اشاره کرد CVE-2023-21557یک آسیب پذیری انکار سرویس در پروتکل دسترسی دایرکتوری سبک ویندوز (LDAP). مایکروسافت به این آسیب‌پذیری امتیاز «بالا» 7.5 در مقیاس 10 درجه‌ای CVSS داده است. NIST آن را داد امتیاز 9.1 که آن را به یک آسیب پذیری "بحرانی" تبدیل می کند. VulnCheck گفت، اطلاعات مربوط به آسیب‌پذیری در NVD هیچ بینشی در مورد اینکه چرا امتیازها متفاوت است، ارائه نمی‌کند. پایگاه داده آسیب پذیری با نمونه های مشابه دیگر پر شده است.

آن نرخ درگیری بالا Jacob Baines، محقق آسیب‌پذیری در VulnCheck، می‌گوید که می‌تواند تلاش‌های اصلاحی را برای سازمان‌هایی که در تیم‌های مدیریت آسیب‌پذیری با منابع محدود هستند، به عقب براند. او می‌گوید: «یک سیستم مدیریت آسیب‌پذیری که به شدت به امتیازدهی CVSS متکی است، گاهی اوقات آسیب‌پذیری‌هایی را که حیاتی نیستند، اولویت‌بندی می‌کند». اولویت‌بندی آسیب‌پذیری‌های اشتباه، حیاتی‌ترین منبع تیم‌های مدیریت آسیب‌پذیری یعنی زمان را هدر می‌دهد.»

محققان VulnCheck تفاوت‌های دیگری را در نحوه ارائه اطلاعات خاص NIST و فروشندگان در مورد نقص‌های پایگاه داده پیدا کردند. تصمیم گرفتند نگاه کنند برنامه نویسی متقاطع آسیب‌پذیری‌های (XSS) و جعل درخواست متقابل (CSRF) در NVD.

تجزیه و تحلیل نشان داد که منبع اولیه - معمولاً NIST - 12,969 مورد از 120,000 CVE موجود در پایگاه داده را به عنوان یک آسیب پذیری XSS اختصاص داده است، در حالی که منابع ثانویه 2,091 بسیار کوچکتر را به عنوان XSS فهرست کرده اند. VulnCheck دریافت که منابع ثانویه احتمال کمتری دارند که نشان دهند یک نقص XSS برای بهره برداری به تعامل کاربر نیاز دارد. نمرات نقص CSRF تفاوت های مشابهی را نشان داد.

Baines می گوید: «آسیب پذیری های XSS و CSRF همیشه نیاز به تعامل کاربر دارند. "تعامل کاربر یک عنصر امتیازدهی CVSSv3 است و در بردار CVSSv3 وجود دارد." او می‌گوید که بررسی این که چقدر آسیب‌پذیری‌های XSS و CSRF در NVD شامل این اطلاعات می‌شود، بینشی در مورد مقیاس اشتباهات امتیازدهی در پایگاه داده ارائه می‌دهد.

نمرات شدت به تنهایی جواب نمی دهد

نمرات شدت بر اساس مقیاس شدت آسیب پذیری مشترک (CVSS) به این منظور است که به تیم های وصله و مدیریت آسیب پذیری راهی ساده برای درک شدت آسیب پذیری نرم افزار بدهد. این به متخصص امنیت اطلاع می دهد که آیا یک نقص دارای خطر کم، متوسط ​​یا شدید است، و اغلب زمینه ای را در مورد آسیب پذیری فراهم می کند که ممکن است فروشنده نرم افزار هنگام اختصاص CVE به باگ ارائه نکرده باشد.

سازمان‌های متعددی از استاندارد CVSS هنگام تخصیص امتیازات شدت به آسیب‌پذیری‌های محصولات خود استفاده می‌کنند و تیم‌های امنیتی معمولاً از این امتیازها برای تصمیم‌گیری در مورد ترتیب اعمال وصله‌ها برای نرم‌افزارهای آسیب‌پذیر در محیط استفاده می‌کنند.

علیرغم محبوبیت آن، بسیاری قبلاً نسبت به تکیه بر امتیازات قابلیت اطمینان CVSS برای اولویت بندی پچ هشدار داده بودند. در یک جلسه Black Hat USA 2022، داستین چایلدز و برایان گورنک، هر دو از محققین Trend Micro's Zero Day Initiative (ZDI)، به مسائل متعددی اشاره کرد مانند فقدان اطلاعات در مورد قابلیت بهره برداری یک باگ، فراگیر بودن آن، و میزان دسترسی به آن برای حمله به عنوان دلایلی که نشان می دهد امتیازات CVSS به تنهایی کافی نیستند.

چایلدز به دارک ریدینگ گفت: «شرکت‌ها منابع محدودی دارند، بنابراین معمولاً باید اولویت‌بندی کنند که کدام وصله‌ها را منتشر می‌کنند. با این حال، اگر آنها اطلاعات متناقضی دریافت کنند، می توانند منابعی را برای باگ هایی خرج کنند که بعید است هرگز مورد سوء استفاده قرار گیرند.

Childs خاطرنشان می‌کند که سازمان‌ها اغلب به محصولات شخص ثالث تکیه می‌کنند تا به آن‌ها کمک کنند آسیب‌پذیری‌ها را اولویت‌بندی کنند و تصمیم بگیرند چه چیزی را ابتدا اصلاح کنند. اغلب، آنها تمایل دارند CVSS را از طرف فروشنده به جای منبع دیگری مانند NIST ترجیح دهند.

اما همیشه نمی توان به فروشندگان برای شفافیت در مورد ریسک واقعی اعتماد کرد. فروشندگان همیشه نمی دانند که محصولاتشان چگونه استقرار می یابد، که می تواند منجر به تفاوت در ریسک عملیاتی برای یک هدف شود.

Childs and Bains مدافع این هستند که سازمان ها باید اطلاعات منابع متعدد را هنگام تصمیم گیری در مورد اصلاح آسیب پذیری در نظر بگیرند. آنها همچنین باید عواملی را در نظر بگیرند، مانند اینکه آیا یک باگ دارای بهره برداری عمومی برای آن در طبیعت است یا اینکه آیا به طور فعال مورد سوء استفاده قرار می گیرد.

بینز می گوید: «برای اولویت بندی دقیق یک آسیب پذیری، سازمان ها باید بتوانند به سؤالات زیر پاسخ دهند. «آیا این آسیب‌پذیری بهره‌برداری عمومی دارد؟ آیا این آسیب پذیری در طبیعت مورد سوء استفاده قرار گرفته است؟ آیا این آسیب پذیری توسط باج افزار یا APT استفاده می شود؟ آیا این آسیب‌پذیری احتمالاً در معرض اینترنت است؟»

نقطه_img

جدیدترین اطلاعات

نقطه_img

چت با ما

سلام! چگونه می توانم به شما کمک کنم؟