Hodnocení zranitelností: Nedostatky současných metod, část II.

Návrh nové metody pro hodnocení zranitelností, který eliminuje nedostatky Common Vulnerability Scoring Systému a OWASP Risk Rating. Využívá jednotlivé silné stránky těchto nejpoužívanějších metod a zároveň minimalizuje jejich slabé stránky. Utváří tak komplexní metodu pro efektivní a přesné hodnocení zranitelností, které je vztažené přímo na hodnocené prostředí.

                                              zranitelnost                                    hodnocení                                     CVSS                                OWASP

Princip metody

Metoda pro prioritizaci zranitelností vychází z principu, kdy není hodnocena pouze samotná zranitelnost, ale pro výslednou hodnotu jsou použity i informace o zranitelném systému, které mohou ve výsledku snížit nebo naopak zvýšit prioritu zranitelnosti. Dále jsou hodnoceny informace o implementovaných opatřeních, tedy ochranách, které pomáhají zajišťovat důvěrnost, dostupnost a integritu systému (CIA triáda) a ve výsledku mohou prioritu zranitelnosti snížit. Základem metody jsou tři části – hodnocení zranitelnosti, hodnocení aktiva, tj. priority systému, a implementovaná opatření. Schematicky je navržená metoda znázorněna na Obr. 1.

Hodnocení zranitelnosti

Parametry v této oblasti jsou dále rozděleny do dvou skupin, a to na stálé a aktuální parametry. Stálé parametry jsou z hlediska prioritizace v čase neměnné, oproti tomu aktuální parametry se v čase mohou měnit a znatelně ovlivňovat prioritu zranitelnosti. Mezi stálé parametry patří dopad na CIA triádu a obtížnost zneužití, mezi aktuální patří dostupnost informací, možnosti exploitace a informace o aktivním zneužívání zranitelnosti. Hlavními parametry pro stanovení závažnosti zranitelnosti jsou bezpochyby dopady na CIA triádu. Samotná informace o dopadu na jednu z těchto tří položek však nestačí.

Z hlediska prioritizace je nezbytné pracovat také s požadavkem na tyto tři položky. Pokud hodnocený systém nemá požadavek důvěrnosti, tj. data na něm jsou veřejná, zranitelnost s dopadem na důvěrnost pro tento systém není vůbec prioritní. Z uvedeného důvodu je nezbytné při stanovení priority počítat nejen s ohrožením CIA triády, ale také s tím, jestli existují požadavky na tuto triádu a jaké jsou. Dále mezi stále parametry patří obtížnost zneužití zranitelnosti, vyžadovaná interakce uživatele a případné oprávnění, které je k úspěšnému zneužití potřebné. Do parametru obtížnost zneužití se promítá technická náročnost exploitace dané zranitelnosti, zda je nezbytné využít řetězec zranitelností, nebo je možné rovnou zneužít hodnocenou zranitelnost, jakým způsobem zneužití probíhá a další parametry vztahující se k obtížnosti zneužití.

Mezi aktuální parametry patří dostupnost informací, tj. zda jsou dostupné technické informace o zranitelnosti, zda je popsán způsob, jak zranitelnost funguje, jakým způsobem je možné ji zneužít a další informace. Pro tento parametr je důležité, i pokud žádné informace zveřejněny nejsou a technické informace o zranitelnosti jsou utajené. [1] Druhým parametrem je exploitace, resp. možnosti její automatizace, a kvalita exploitu. Stejně jako popsaný parametr dostupnost informací je parametr exploitace převzat z metody OWASP Risk Rating. Posledním parametrem je informace o aktivním zneužívání zranitelnosti z tzv. Threat Intelligence. Společnost Gartner pojem definuje jako „databázi znalostí o existující nebo vznikající hrozbě, které jsou založeny na důkazech, včetně kontextu, mechanismu fungování hrozby, indikátorů, důsledků, a díky kterým je možné se informovaně rozhodnout o případné reakci na tuto hrozbu“. [2]

Hodnocení stálých parametrů

• Dopad na důvěrnost Vyjadřuje, jak velké množství dat může být odcizeno a jak citlivá tato data jsou. Vychází z OWASP Risk Rating metody. [3]

• Dopad na dostupnost Vyjadřuje, jak velké množství služeb může být vyřazeno z provozu a jak důležité tyto služby jsou. Vychází z OWASP Risk Rating metody. [3]

• Dopad na integritu Vyjadřuje, jak velké množství dat může být poškozeno a jak rozsáhlé dané poškození může být. Vychází z OWASP Risk Rating metody. [3]

• Obtížnost zneužití Vyjadřuje, jaké zdroje jsou nezbytné ke zneužití zranitelnosti, zda je potřebné před zneužitím dané zranitelnosti zneužít i jiné zranitelnosti (řetězec zranitelností), o jak komplexní zneužití se jedná (řetězec aktivit, které musejí být úspěšně provedeny, aby se útočník mohl pokusit o zneužití dané zranitelnosti) a další. Vychází z OWASP Risk Rating metody. [3]

• Požadovaná oprávnění Vyjadřuje úroveň oprávnění, které musí útočník mít, než zneužije hodnocenou zranitelnost. Vychází z CVSS metody. [4]

• Interakce uživatele Vyjadřuje nutnost uživatelské aktivity před nebo při zneužití. Vychází z CVSS metody. [4]

Hodnocení aktuálních parametrů

• Dostupnost informací Vyjadřuje, jaké množství informací o zranitelnosti je zveřejněno. Vychází z OWASP Risk Rating metody. [3]

• Exploitace Vyjadřuje možnost zneužití zranitelnosti pomocí automatizovaných nástrojů a kvalitu dostupných exploitů. Vychází z OWASP Risk Rating metody. [3]

• Threat Intelligence Zohledňuje aktuální zneužívání zranitelnosti zachycené monitorovacími službami Threat Intelligence

Hodnocení aktiva

Pro správnou prioritizaci zranitelnosti je nezbytné vědět, o jaký zranitelný systém se jedná. Způsobů pro hodnocení důležitosti aktiva je mnoho. Každý z těchto způsobů vyžaduje značné množství informací o hodnoceném aktivu. Tyto informace je nezbytné získat od vlastníků dotčených aktiv, a to z důvodu, že tito vlastníci mají nejpřesnější informaci o tom, jaká data jsou na systémech uchovávána, k čemu systém slouží, kdo k němu má přístup a další důležité informace pro stanovení priority aktiva. Pro hodnocení aktiva byla vybrána forma dotazníkového šetření, díky kterému je možné pomocí klíčových dotazů určit důležitost dat uložených na hodnoceném systému.

Hodnoticí otázky

Uvedené otázky jsou rozděleny do dvou okruhů – obecné informace a požadavky důvěrnosti, dostupnosti a integrity (viz Tab. 10 a Tab. 11).

Hodnocení opatření

Uvedená opatření, stejně jako v předchozím případě při hodnocení aktiva, jsou hodnocena za použití dotazníku. V rámci dotazníku se zvolí, zda je dané opatření implementováno a dle zvolené odpovědi je následně určeno číselné hodnocení. Seznam opatření je možné dále rozšířit. Není hodnocena implementace a její rozsah jako takový. Z uvedeného důvodu se jedná o pouze základní hodnocení opatření, které může být dále rozšířeno či modifikováno dle potřeb hodnoceného subjektu.

Ochrana důvěrnosti

V rámci ochrany důvěrnosti je hodnoceno pět základních opatření z pohledu, zda jsou či nejsou implementována (viz Tab. 12).

Ochrana dostupnosti

Do této skupiny jsou zařazena tři opatření: mechanismus vysoké dostupnosti, zálohování a ochrana proti nedostupnosti služeb (viz Tab. 13).

Ochrana integrity

V této skupině je hodnoceno pět různých opatření, která mají vliv na zajištění integrity nebo na její ochranu (viz. Tab. 14).

Výpočet priority zranitelnosti

Parametry popisující dopad na CIA triádu zranitelného systému je pro stanovení priority žádoucí kombinovat s požadavky na tuto triádu. Pro tento účel je samotný výpočet priority zranitelnosti složen ze tří návazných fází: stanovení parametrů zranitelnosti, stanovení požadavků na CIA triádu a výpočet hodnoty zranitelnosti.

Stanovení parametrů zranitelnosti

V první fázi se stanoví hodnota veškerých parametrů popisujících zranitelnost definovaných v kapitole Hodnocení zranitelnosti, kde každému slovnímu ohodnocení odpovídá číselné. Výsledné číselné hodnoty všech parametrů, kromě dopadu na CIA triádu, zapíšeme do množiny, kterou budeme označovat jako D. Tato množina má přesně 6 prvků (jednotlivé parametry).

Každý parametr má danou váhu pro stanovení jeho důležitosti. Váha je definována na množině reálných čísel z intervalu 〈0,1〉.

Jednotlivé váhy jsou uvedeny v následující tabulce.

Množinu váhových hodnot odpovídajících prvkům množiny parametrů D budeme označovat jako množinu Dw. Tato množina má stejně jako množina D přesně 6 prvků.

Kromě uvedených parametrů je nezbytné stanovit dopad na důvěrnost, dostupnost a integritu zranitelného systému. Možné hodnoty jsou rovněž jako u ostatních parametrů předem dané.

Stanovení požadavků na CIA triádu

Po stanovení parametrů popisujících zranitelnost je nezbytné definovat požadavky na důvěrnost, dostupnost a integritu. Tyto požadavky vycházejí z odpovědí z uvedeného dotazníku. Každá otázka má dvě nebo více možných slovních odpovědí, kterým odpovídá předem stanovené číselné hodnocení. To se pohybuje na intervalu 〈0,1〉 nad množinou reálných čísel. Výsledné skóre okruhu se spočítá jako součet číselných hodnocení jednotlivých odpovědí z příslušného okruhu.

SkoreOkruhu= ∑ CiselneHodnoceniOdpovedi

Hodnocení uvedených tří požadavků je vypočteno jako podíl součtu skóre příslušného okruhu a skóre z obecných otázek a maximálního počtu bodů.

V případě, že je skóre otázek daného okruhu rovno nule, je i celý požadavek roven nule.

Stanovení ohodnocení opatření

Toto ohodnocení se promítá do CIA triády, resp. do modifikované verze dopadu na CIA triádu, která zohledňuje i požadavek na zajištění všech tří parametrů. Díky tomu je opatření provázáno jak se samotnou zranitelností, tak s aktivem, na kterém je zranitelnost přítomna. Ohodnocení ochrany je vypočteno jako součin všech číselných hodnot jednotlivých položek v dané skupině. Jednotlivé hodnoty jsou vypočteny za použití následujících rovnic.

Pro výpočet ochrany důvěrnosti Cp je použita následující rovnice.  Pro výpočet ochrany dostupnosti Ap je použita následující rovnice.

Pro výpočet ochrany dostupnosti Ap je použita následující rovnice.

Pro výpočet ochrany integrity Ip je použita následující rovnice

Výpočet priority zranitelnosti

Nejdříve je vypočteno skóre zranitelnosti, do kterého není započítán dopad na CIA triádu. Toto skóre je vypočteno jako suma všech parametrů násobených jejich váhou. Skóre zranitelnosti S je číselné vyjádření parametrů zranitelnosti, které ovlivňuje její prioritu. Je definováno jako součin prvků množiny D a k nim odpovídajících vah z množiny Dw

Následně je nezbytné stanovit modifikovaný dopad na jednotlivé parametry CIA triády. To znamená provázat hodnotu požadavků důvěrnosti, dostupnosti a integrity s dopadem určeným při hodnocení zranitelnosti a s ochranou těchto parametrů, kterou poskytují implementovaná opatření. Modifikovaný dopad je kalkulován jako součin dopadu, požadavku na daný parametr a míry ochrany.

Pro výpočet modifikovaného dopadu na důvěrnost Cm je použita následující rovnice.

Pro výpočet modifikovaného dopadu na dostupnost Am je použita následující rovnice.

Pro výpočet modifikovaného dopadu na integritu Im je pou žita následující rovnice.

Modifikované skóre zranitelnosti Sm je následně definováno jako součin skóre zranitelnosti a součtu všech modifikovaných parametrů CIA triády.

Následně je již možné stanovit prioritu zranitelnosti P. Tato priorita je definována intervalem 〈0,1000〉 nad množinou celých čísel, kde vyšší číselné ohodnocení znamená vyšší prioritu a je vypočítáno jako poměr modifikovaného skóre zranitelnosti vůči maximálnímu možnému skóre. Maximální skóre v této metodice je 12,3. Výsledná hodnota je následně multiplikována hodnotou 1000 pro lepší prioritizaci bez desetinných čísel a je zaokrouhlena na celé číslo.

Závěr

Navržená metoda pro prioritizaci zranitelností hodnotí zranitelnost pomocí devíti parametrů, které jsou rozděleny do dvou skupin. Toto hodnocení je dále doplněno o ohodnocení aktiva, na kterém se zranitelnost nachází, tuto číselnou hodnotu provazuje s dopadem na CIA triádu a výslednou hodnotu započítává do celkového skóre priority zranitelnosti. Do metody vstupuje i hodnocení implementovaných opatření, které je stejně jako priorita aktiva provázáno s dopadem na CIA triádu. Opatření snižují riziko zneužití zranitelnosti a z tohoto důvodu jsou do metody zahrnuta. Formální výpočet priority je postaven na základních matematických operacích tak, aby byla metoda co nejjednodušší, ale zároveň aby její výsledky byly přínosné.

Lubomír Almer Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

David Pecl Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

POUŽITÉ ZDROJE:

1 ] Predictive Prioritization: Data Science Lets You Focus On The 3% Of Vulnerabilities Likely To Be Exploited. Tenable [online]. Columbia, 2019, 4. 12. 2019 [cit. 2019-12-08]. Dostupné z: https://lookbook.tenable.com/predictive-prioritization/technical-whitepaper-predictive-prioritization

[ 2 ] Definition: Threat Intelligence. Gartner [online]. 2019, 16. 5. 2013 [cit. 2019-12-08]. Dostupné z: https://www.gartner.com/en/documents/2487216

[ 3 ] OWASP Risk Rating Methodology. OWASP [online]. 27. 6. 2019 [cit. 2019-12-08]. Dostupné z: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

[ 4 ] Common Vulnerability Scoring System version 3.1: Specification Document: CVSS Version 3.1 Release. First Improving Security Together [online]. 2019 [cit. 2019-12-08]. Dostupné z: https://www.first.org/cvss/specification-document