CVSS 4.0 on täällä, mutta korjaustiedostojen priorisointi on edelleen vaikea ongelma

Pian julkaistava CVSS-järjestelmän (Common Vulnerability Scoring System) versio 4.0 lupaa korjata joukon ongelmia tietoturvavirheiden vakavuusmittarin kanssa. Mutta haavoittuvuusasiantuntijat sanovat, että korjaustiedostojen priorisointi tai hyödynnettävyyden mittaaminen on silti kova pähkinä.

Forum of Incident Response and Security Teams (FIRST) julkaisi viime viikolla vuosikonferenssissaan esikatselun CVSS:n seuraavasta versiosta. Versio 4 poistaa epämääräisen "ajallisen" mittarin ja korvaa sen kuvaavammalla "uhan" mittarilla ja lisää muita tekijöitä perusmittarin laskentaan. FIRST:n mukaan muutokset parantavat CVSS:n yleistä käytettävyyttä, joka lisäsi, että yritykset ja organisaatiot voivat kokeilla mittaria nykyisten haavoittuvuuksien arvioimiseksi ja antaa palautetta ennen yleisen julkaisun julkaisua.

CVSS 4 lisää kaksi uutta tekijää, joita yritykset voivat käyttää perusmittarin laskennassa: Attack Requirements (AT) ja User Interaction (UI), jotka mittaavat hyökkäyksen monimutkaisuutta ja vaatiiko hyökkäys käyttäjän vuorovaikutusta. kuvaus uudesta eritelmästä. Lisäksi CVSS:n osana on ympäristöpisteet, joka on yrityskohtainen ja mittaa haavoittuvuuden vaikutusta IT-ympäristöön.

"[T]tämä uusin julkaisu merkitsee merkittävää edistysaskelta ja lisäominaisuuksia, jotka ovat ratkaisevan tärkeitä tiimeille, joiden ytimessä on tärkeää käyttää uhkatietoa ja ympäristömittareita tarkan pisteytyksen kannalta", FIRST sanoi lausunnossaan CVSS 4:n esikatselujulkaisusta.

Korjauksen priorisointi vaatii enemmän kuin CVSS

Parempi yhteinen haavoittuvuuksien pisteytysjärjestelmä voisi antaa yrityksille paremman lähestymistavan päättää, mitä haavoittuvuuksia pitäisi saavat etusijan korjaukselle, mutta sitä ei pitäisi nähdä ihmelääkenä, sanovat asiantuntijat.

Kun on kyse hyödynnettävyyden määrittämisestä, joka on yksi suurimmista mittareista, joita organisaatiot käyttävät korjaustiedostojen priorisoimiseen, yrityksillä on useita työkaluja. He voivat käyttää Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston (CISA) CVSS-luetteloa, Known Exploited Vulnerability (KEV) -luetteloa. Exploit Predication Scoring System (EPSS), tai muut patentoidut järjestelmät, kuten Coalition Exploit Scoring System. Silti jokaisen lähestymistavan on vastattava organisaation kykyjä ja resursseja, sanoo Sasha Romanosky, vanhempi politiikan tutkija RAND Corp.:sta, globaalista politiikkaa ja tutkimusta käsittelevästä ajatushautomosta.

"Kysymys ei ole niinkään [mikä lähestymistapa], vaan strategia, joka tuottaa parhaan - eli priorisoidun - luettelon heidän organisaatiolleen", sanoo Romanosky, sekä CVSS:n että EPSS:n avustaja. "Olemme oppineet, että CVSS ei ole hyvä uhan - hyväksikäytön - ennustaja [yksinään, ja] se oli meille, [CVSS:n] luojille, vaikea pilleri niellä, mutta se on todellisuutta."

Esimerkiksi organisaation hyökkäyspinta-alaan kuuluvien järjestelmien tunteminen on kriittistä, sanoo Dustin Childs, Trend Micron Zero Day Initiativen (ZDI) uhkatietoisuuden johtaja.

"Yksi asia, jota suosittelen aina, on olla armoton omaisuuden löytämisessä ja ymmärtää, mitkä järjestelmät ovat avainasemassa yrityksesi kannalta", hän sanoo. "Se auttaa priorisoimaan."

CVSS-ajoitus, monimutkaisuushaasteet

Uudella CVSS:llä on edelleen esteitä, kun se tulee tarjota toimivia arvioita priorisointia varten. Esimerkiksi hyödynnettävyysmittarit on myös luotava nopeasti, jotta organisaatiot saavat mahdollisimman pian ohjausta tehdäkseen päätöksiä korjauksen priorisoinnista, sanoo Scott Walsh, vanhempi tietoturvatutkija Coalitionista, aktiivisen suojan kybervakuutusyhtiöstä.

"Kun uusi CVE julkistetaan, riskien hallinnanjohtajat ja puolustajat voivat kääntyä CVSS:n tai EPSS:n puoleen vakavuus- ja hyödynnettävyyspisteiden saamiseksi, mutta näissä alan standardijärjestelmissä uusien CVE-pisteiden saaminen vie usein aikaa - viikosta jopa kuukauteen. " hän sanoo. "Tänä aikana organisaatiot eivät aina tiedä, millä haavoittuvuuksilla on suurin potentiaali vaikuttaa negatiivisesti niiden yksittäisiin digitaalisiin ekosysteemeihin ja teknologioihin."

Lisäksi uusin CVSS voi olla monimutkainen tulkita, sillä perusmittarin laskemiseen käytetään lähes kahta tusinaa attribuuttia – monimutkaisuus, joka saattaa haitata turvallisuustiimien kykyä arvioida riskejä.

"Nämä muuttujat edellyttävät useiden liiketoimintayksiköiden sopimista vaikutuksista ja vaatimuksista", hän sanoo. ”Turvallisuudessa aika on olennaista, ja nopea reagointi voi olla ero hyökkäyksen onnistuneen estämisen tai uhriksi jäämisen välillä. Nämä muuttujat tekevät haavoittuvuuden arviointiprosessista hidasta ja hankalaa, kun uuteen uhkaan vastataan."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/cvss-4-prioritizing-patches-hard-problem