Nilalaman
- Ang Katotohanan lamang
- Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
- Accounting para sa Epekto?
- Oras upang Baguhin ang System?
Pinagmulan: BrianAJackson / iStockphoto
Takeaway:
Panahon na upang maiyak ang mga bagay sa kung paano namin iniisip ang tungkol sa pagtatasa ng panganib para sa mga bukas na mapagkukunan.
Ang pagbuo ng isang sistema para sa pagtatasa kung gaano kalubha ang dapat gawin ng komunidad sa pag-unlad ng software ay isang hamon, upang ilagay ito nang basta-basta. Ang code ay isinulat ng mga tao, at palaging may mga bahid. Ang tanong pagkatapos, kung ipinapalagay natin na walang kailanman magiging perpekto, paano natin pinakamahusay na ikinategorya ang mga sangkap ayon sa kanilang panganib sa isang paraan na nagpapahintulot sa atin na magpatuloy na gumana nang produktibo?
Ang Katotohanan lamang
Habang maraming iba't ibang mga pamamaraan na maaaring gawin ng isang tao sa pagharap sa problemang ito, ang bawat isa ay may sariling wastong katwiran, ang pinakakaraniwang pamamaraan ay lilitaw na batay sa isang modelo ng dami.
Sa isang banda, ang paggamit ng isang dami ng diskarte sa paghusga ng kalubhaan ng isang kahinaan ay maaaring maging kapaki-pakinabang sa ito ay mas layunin at masusukat, batay lamang sa mga kadahilanan na may kaugnayan sa kahinaan mismo.
Ang pamamaraang ito ay tumitingin sa kung anong uri ng pinsala ang maaaring mangyari kung ang kahinaan ay mapagsamantalahan, isinasaalang-alang kung gaano kalawakang ginamit ang sangkap, aklatan, o proyekto na ginagamit sa buong industriya ng software, pati na rin ang mga kadahilanan tulad ng kung anong uri ng pag-access na maaaring magbigay ng isang umaatake sa pagwasak ay dapat nilang gamitin ito upang masira ang kanilang target. Ang mga kadahilanan tulad ng madaling potensyal na kakayahang kumita ay maaaring maglaro ng isang malaking papel dito sa nakakaapekto sa puntos. (Para sa higit pa sa seguridad, suriin ang Cybersecurity: Paano Nagdala ng Bagong Banta - at Bise Versa.
Kung nais naming tumingin sa isang antas ng macro, ang pananaw sa dami na tumitingin sa kung paano ang isang kahinaan ay maaaring makasakit sa kawan, na mas nakatuon sa pinsala na maaaring mahulog sa mga kumpanya na talagang na-hit sa pag-atake.
Ang National Vulnerability Database (NVD), marahil ang kilalang database ng mga kahinaan, ay kumukuha ng pamamaraang ito para sa parehong mga bersyon 2 at 3 kanilang Karaniwang Vulnerability Scoring System (CVSS). Sa kanilang pahina na nagpapaliwanag sa kanilang mga sukatan para sa pagtatasa ng mga kahinaan, isinusulat nila ang kanilang pamamaraan na:
Tinitiyak ng quantitative model nito ang paulit-ulit na tumpak na pagsukat habang pinapagana ang mga gumagamit na makita ang pinagbabatayan na mga katangian ng kahinaan na ginamit upang makabuo ng mga marka. Sa gayon, ang CVSS ay angkop na angkop bilang isang karaniwang sistema ng pagsukat para sa mga industriya, organisasyon, at mga gobyerno na nangangailangan ng tumpak at pare-pareho na mga marka ng kahinaan na kahinaan.
Batay sa dami ng mga kadahilanan sa pag-play, ang NVD ay pagkatapos ay makabuo ng isang kalubhaan na marka, kapwa may isang bilang sa kanilang sukat - 1 hanggang 10, na may 10 ang pinaka-malubhang - pati na rin ang mga kategorya ng LOW, MEDIUM at HIGH .
Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
Hindi mo maaaring mapabuti ang iyong mga kasanayan sa pag-programming kapag walang nagmamalasakit sa kalidad ng software.
Accounting para sa Epekto?
Gayunman, ang NVD ay lilitaw na nagsisikap na manatiling malinaw sa kung ano ang maaari nating sabihin bilang mas isang husay na hakbang ng isang kahinaan, batay sa kung paano naging epekto ang isang tiyak na pagsasamantala sa sanhi ng pinsala. Upang maging patas, isinasama nila ang epekto sa sukat na sinusukat nila ang epekto ng kahinaan sa system, tinitingnan ang mga kadahilanan ng pagiging kompidensiyal, integridad at pagkakaroon. Ito ang lahat ng mahahalagang elemento upang tignan - tulad ng sa mas madaling masusukat na vector ng pag-access, pagiging kumplikado, at pagpapatunay - ngunit hindi nila naramdaman ang gawain ng pag-uugnay sa totoong pandaigdig na epekto kapag ang isang kahinaan ay nagiging sanhi ng isang tunay na pagkalugi ng samahan.
Halimbawa, kunin, ang paglabag sa Equifax na naglantad ng personal na makikilalang impormasyon ng ilang 145 milyong tao, kabilang ang mga detalye ng kanilang mga driver ng lisensya, mga numero ng seguridad sa lipunan at iba pang mga bits na maaaring magamit ng mga walang prinsipyong mga character upang maisagawa ang napakalaking operasyon ng pandaraya.
Ito ay ang kahinaan (CVE-2017-5638) na natagpuan sa proyektong Apache Struts 2 na ginamit ni Equifax sa kanilang web app na pinapayagan ang mga umaatake na lumakad sa pintuan ng harapan at sa kalaunan ay ginagawa ito kasama ang kanilang mga bisig na puno ng makatas na personal na impormasyon .
Habang nararapat na ibinigay ito ng NVD ng isang kalubhaan na marka ng 10 at HIGH, ang kanilang desisyon ay dahil sa kanilang pagsusuri sa dami ng mga potensyal na pinsala nito at hindi naapektuhan ng malawak na pinsala na naganap mamaya nang maging publiko ang paglabag sa Equifax.
Hindi ito isang pangangasiwa ng NVD, ngunit isang bahagi ng kanilang nakasaad na patakaran.
Ang NVD ay nagbibigay ng "mga marka ng base ng CVSS" na kumakatawan sa mga likas na katangian ng bawat kahinaan. Hindi kami kasalukuyang nagbibigay ng "mga temporal na marka" (mga sukatan na nagbabago sa paglipas ng panahon dahil sa mga kaganapan na panlabas sa kahinaan) o "mga marka ng kapaligiran" (mga marka na na-customize upang ipakita ang epekto ng kahinaan sa iyong samahan).
Para sa mga gumagawa ng desisyon, ang dami ng sistema ng pagsukat ay dapat na hindi gaanong mahalaga dahil tinitingnan nito ang mga posibilidad na magpalaganap ito ng pinsala sa buong industriya. Kung ikaw ang CSO ng isang bangko, dapat kang mag-alala sa husay ng kwalitibo na maaaring makuha ng isang pagsasamantala kung ginamit ito upang mawala sa data ng iyong customer, o mas masahol pa, ang kanilang pera. (Alamin ang tungkol sa iba't ibang uri ng mga kahinaan sa 5 Mga Pinakakatakot na Banta Sa Tech.)
Oras upang Baguhin ang System?
Kaya dapat na ang kahinaan sa Apache Strustre 2 na ginamit sa kaso ng Equifax ay makatanggap ng isang mas mataas na ranggo bilang ilaw kung gaano kalawak ang pinsala na naging, o gagawa ng paglipat ng shift na maging napakalaki ng subjective para sa isang sistema tulad ng NVD na magpatuloy?
Ipinagkaloob namin na ang pagkakaroon ng kinakailangang data upang magkaroon ng isang "puntos sa kapaligiran" o "temporal na marka" tulad ng inilarawan ng NVD ay magiging napakahirap, pagbubukas ng mga tagapamahala ng libreng koponan ng CVSS hanggang sa walang hanggang pagpuna at isang tonelada ng trabaho para sa NVD at iba pa para sa pag-update ng kanilang mga database habang lumabas ang mga bagong impormasyon.
Siyempre, ang tanong tungkol sa kung paano maiipon ang naturang iskor, dahil kakaunti ang mga organisasyon ay malamang na mag-alok ng kinakailangang data sa epekto ng isang paglabag maliban kung hinihiling sila ng isang batas ng pagsisiwalat. Nakita namin mula sa kaso ng Uber na ang mga kumpanya ay handa na magbayad nang mabilis sa pag-asa na mapanatili ang impormasyon na pumapalibot sa isang paglabag sa pag-abot sa pindutin baka hindi sila makakaharap sa isang pampublikong backlash.
Marahil kung ano ang kinakailangan ay isang bagong sistema na maaaring isama ang mga mahusay na pagsisikap mula sa mga database ng kahinaan, at magdagdag ng kanilang sariling karagdagang puntos kapag magagamit ang impormasyon.
Bakit i-instigate ang sobrang layer ng pagmamarka na ito kapag ang nauna ay lumalabas na nagawa nang maayos ang trabaho nito sa mga taong ito?
Lantaran, napapasukan sa pananagutan para sa mga organisasyon na responsable para sa kanilang mga aplikasyon. Sa isang mainam na mundo, susuriin ng lahat ang mga marka ng mga sangkap na ginagamit nila sa kanilang mga produkto bago idagdag ang mga ito sa kanilang imbentaryo, makatanggap ng mga alerto kapag natuklasan ang mga bagong kahinaan sa mga proyekto na naisip na ligtas, at ipatupad ang mga kinakailangang mga patch sa kanilang sarili .
Marahil kung mayroong isang listahan na nagpakita kung paano nagwawasak ang ilan sa mga kahinaan na ito para sa isang samahan, kung gayon ang mga organisasyon ay maaaring makaramdam ng mas maraming presyon na hindi mahuli sa mga peligrosong sangkap. Sa pinakadulo, maaari silang gumawa ng mga hakbang upang gumawa ng isang tunay na imbentaryo kung aling mga bukas na mapagkukunan na aklatan na mayroon na.
Pagkaraan ng mga fiasco ng Equifax, higit sa isang C-level executive ang malamang na nag-scrape upang matiyak na wala silang masugatang bersyon ng Struts sa kanilang mga produkto. Kapus-palad na naganap ang isang pangyayari sa kadakayang ito upang itulak ang industriya na seryoso ang kanilang bukas na mapagkukunan ng seguridad.
Inaasahan ang aralin na ang mga kahinaan sa bukas na mapagkukunan ng iyong mga aplikasyon ay maaaring magkaroon ng tunay na mga kahihinatnan sa mundo ay magkakaroon ng epekto sa kung paano unahin ang mga tagagawa ng pagpapasya sa seguridad, pagpili ng tamang mga tool upang mapanatiling ligtas ang kanilang mga produkto at data ng mga customer.