Hodnocení zranitelností: Nedostatky současných metod, část II.

Hodnocení zranitelností: Nedostatky současných metod, část II.

Návrh nové metody pro hodnocení zranitelností, který eliminuje nedostatky Common Vulnerability Scoring Systému a OWASP Risk Rating. Využívá jednotlivé silné stránky těchto nejpoužívanějších metod a zároveň minimalizuje jejich slabé stránky. Utváří tak komplexní metodu pro efektivní a přesné hodnocení zranitelností, které je vztažené přímo na hodnocené prostředí.

                                              zranitelnost                                    hodnocení                                     CVSS                                OWASP

Princip metody

Metoda pro prioritizaci zranitelností vychází z principu, kdy není hodnocena pouze samotná zranitelnost, ale pro výslednou hodnotu jsou použity i informace o zranitelném systému, které mohou ve výsledku snížit nebo naopak zvýšit prioritu zranitelnosti. Dále jsou hodnoceny informace o implementovaných opatřeních, tedy ochranách, které pomáhají zajišťovat důvěrnost, dostupnost a integritu systému (CIA triáda) a ve výsledku mohou prioritu zranitelnosti snížit. Základem metody jsou tři části – hodnocení zranitelnosti, hodnocení aktiva, tj. priority systému, a implementovaná opatření. Schematicky je navržená metoda znázorněna na Obr. 1.

Hodnocení zranitelnosti

Parametry v této oblasti jsou dále rozděleny do dvou skupin, a to na stálé a aktuální parametry. Stálé parametry jsou z hlediska prioritizace v čase neměnné, oproti tomu aktuální parametry se v čase mohou měnit a znatelně ovlivňovat prioritu zranitelnosti. Mezi stálé parametry patří dopad na CIA triádu a obtížnost zneužití, mezi aktuální patří dostupnost informací, možnosti exploitace a informace o aktivním zneužívání zranitelnosti. Hlavními parametry pro stanovení závažnosti zranitelnosti jsou bezpochyby dopady na CIA triádu. Samotná informace o dopadu na jednu z těchto tří položek však nestačí.

Snímek obrazovky 2021 03 24 210115

Z hlediska prioritizace je nezbytné pracovat také s požadavkem na tyto tři položky. Pokud hodnocený systém nemá požadavek důvěrnosti, tj. data na něm jsou veřejná, zranitelnost s dopadem na důvěrnost pro tento systém není vůbec prioritní. Z uvedeného důvodu je nezbytné při stanovení priority počítat nejen s ohrožením CIA triády, ale také s tím, jestli existují požadavky na tuto triádu a jaké jsou. Dále mezi stále parametry patří obtížnost zneužití zranitelnosti, vyžadovaná interakce uživatele a případné oprávnění, které je k úspěšnému zneužití potřebné. Do parametru obtížnost zneužití se promítá technická náročnost exploitace dané zranitelnosti, zda je nezbytné využít řetězec zranitelností, nebo je možné rovnou zneužít hodnocenou zranitelnost, jakým způsobem zneužití probíhá a další parametry vztahující se k obtížnosti zneužití.

Mezi aktuální parametry patří dostupnost informací, tj. zda jsou dostupné technické informace o zranitelnosti, zda je popsán způsob, jak zranitelnost funguje, jakým způsobem je možné ji zneužít a další informace. Pro tento parametr je důležité, i pokud žádné informace zveřejněny nejsou a technické informace o zranitelnosti jsou utajené. [1] Druhým parametrem je exploitace, resp. možnosti její automatizace, a kvalita exploitu. Stejně jako popsaný parametr dostupnost informací je parametr exploitace převzat z metody OWASP Risk Rating. Posledním parametrem je informace o aktivním zneužívání zranitelnosti z tzv. Threat Intelligence. Společnost Gartner pojem definuje jako „databázi znalostí o existující nebo vznikající hrozbě, které jsou založeny na důkazech, včetně kontextu, mechanismu fungování hrozby, indikátorů, důsledků, a díky kterým je možné se informovaně rozhodnout o případné reakci na tuto hrozbu“. [2]

Hodnocení stálých parametrů

Snímek obrazovky 2021 03 24 210621

Snímek obrazovky 2021 03 24 210814

Snímek obrazovky 2021 03 24 211039

Snímek obrazovky 2021 03 24 211055

Snímek obrazovky 2021 03 24 211110

Snímek obrazovky 2021 03 24 211135

Hodnocení aktuálních parametrů

Snímek obrazovky 2021 03 24 212326

Snímek obrazovky 2021 03 24 212444

Snímek obrazovky 2021 03 24 212506

Snímek obrazovky 2021 03 24 212806

Hodnocení aktiva

Pro správnou prioritizaci zranitelnosti je nezbytné vědět, o jaký zranitelný systém se jedná. Způsobů pro hodnocení důležitosti aktiva je mnoho. Každý z těchto způsobů vyžaduje značné množství informací o hodnoceném aktivu. Tyto informace je nezbytné získat od vlastníků dotčených aktiv, a to z důvodu, že tito vlastníci mají nejpřesnější informaci o tom, jaká data jsou na systémech uchovávána, k čemu systém slouží, kdo k němu má přístup a další důležité informace pro stanovení priority aktiva. Pro hodnocení aktiva byla vybrána forma dotazníkového šetření, díky kterému je možné pomocí klíčových dotazů určit důležitost dat uložených na hodnoceném systému.

Hodnoticí otázky

Uvedené otázky jsou rozděleny do dvou okruhů – obecné informace a požadavky důvěrnosti, dostupnosti a integrity (viz Tab. 10 a Tab. 11).

Hodnocení opatření

Uvedená opatření, stejně jako v předchozím případě při hodnocení aktiva, jsou hodnocena za použití dotazníku. V rámci dotazníku se zvolí, zda je dané opatření implementováno a dle zvolené odpovědi je následně určeno číselné hodnocení. Seznam opatření je možné dále rozšířit. Není hodnocena implementace a její rozsah jako takový. Z uvedeného důvodu se jedná o pouze základní hodnocení opatření, které může být dále rozšířeno či modifikováno dle potřeb hodnoceného subjektu.

Ochrana důvěrnosti

V rámci ochrany důvěrnosti je hodnoceno pět základních opatření z pohledu, zda jsou či nejsou implementována (viz Tab. 12).

Ochrana dostupnosti

Do této skupiny jsou zařazena tři opatření: mechanismus vysoké dostupnosti, zálohování a ochrana proti nedostupnosti služeb (viz Tab. 13).

Ochrana integrity

V této skupině je hodnoceno pět různých opatření, která mají vliv na zajištění integrity nebo na její ochranu (viz. Tab. 14).

Výpočet priority zranitelnosti

Parametry popisující dopad na CIA triádu zranitelného systému je pro stanovení priority žádoucí kombinovat s požadavky na tuto triádu. Pro tento účel je samotný výpočet priority zranitelnosti složen ze tří návazných fází: stanovení parametrů zranitelnosti, stanovení požadavků na CIA triádu a výpočet hodnoty zranitelnosti.

Stanovení parametrů zranitelnosti

V první fázi se stanoví hodnota veškerých parametrů popisujících zranitelnost definovaných v kapitole Hodnocení zranitelnosti, kde každému slovnímu ohodnocení odpovídá číselné. Výsledné číselné hodnoty všech parametrů, kromě dopadu na CIA triádu, zapíšeme do množiny, kterou budeme označovat jako D. Tato množina má přesně 6 prvků (jednotlivé parametry).

Snímek obrazovky 2021 03 24 213709

Každý parametr má danou váhu pro stanovení jeho důležitosti. Váha je definována na množině reálných čísel z intervalu 〈0,1〉.

Snímek obrazovky 2021 03 24 213809

Jednotlivé váhy jsou uvedeny v následující tabulce.

Snímek obrazovky 2021 03 24 214659

Množinu váhových hodnot odpovídajících prvkům množiny parametrů D budeme označovat jako množinu Dw. Tato množina má stejně jako množina D přesně 6 prvků.

Snímek obrazovky 2021 03 24 214348

Kromě uvedených parametrů je nezbytné stanovit dopad na důvěrnost, dostupnost a integritu zranitelného systému. Možné hodnoty jsou rovněž jako u ostatních parametrů předem dané.

Snímek obrazovky 2021 03 24 214036

Snímek obrazovky 2021 03 24 214053

Snímek obrazovky 2021 03 24 214108

Stanovení požadavků na CIA triádu

Po stanovení parametrů popisujících zranitelnost je nezbytné definovat požadavky na důvěrnost, dostupnost a integritu. Tyto požadavky vycházejí z odpovědí z uvedeného dotazníku. Každá otázka má dvě nebo více možných slovních odpovědí, kterým odpovídá předem stanovené číselné hodnocení. To se pohybuje na intervalu 〈0,1〉 nad množinou reálných čísel. Výsledné skóre okruhu se spočítá jako součet číselných hodnocení jednotlivých odpovědí z příslušného okruhu.

SkoreOkruhu= ∑ CiselneHodnoceniOdpovedi

Hodnocení uvedených tří požadavků je vypočteno jako podíl součtu skóre příslušného okruhu a skóre z obecných otázek a maximálního počtu bodů.

Snímek obrazovky 2021 03 24 214838

V případě, že je skóre otázek daného okruhu rovno nule, je i celý požadavek roven nule.

Stanovení ohodnocení opatření

Toto ohodnocení se promítá do CIA triády, resp. do modifikované verze dopadu na CIA triádu, která zohledňuje i požadavek na zajištění všech tří parametrů. Díky tomu je opatření provázáno jak se samotnou zranitelností, tak s aktivem, na kterém je zranitelnost přítomna. Ohodnocení ochrany je vypočteno jako součin všech číselných hodnot jednotlivých položek v dané skupině. Jednotlivé hodnoty jsou vypočteny za použití následujících rovnic.

Pro výpočet ochrany důvěrnosti Cp je použita následující rovnice.  Pro výpočet ochrany dostupnosti Ap je použita následující rovnice.

Snímek obrazovky 2021 03 24 215632

Pro výpočet ochrany dostupnosti Ap je použita následující rovnice.

Snímek obrazovky 2021 03 24 215655

Pro výpočet ochrany integrity Ip je použita následující rovnice

Snímek obrazovky 2021 03 24 215707

Výpočet priority zranitelnosti

Nejdříve je vypočteno skóre zranitelnosti, do kterého není započítán dopad na CIA triádu. Toto skóre je vypočteno jako suma všech parametrů násobených jejich váhou. Skóre zranitelnosti S je číselné vyjádření parametrů zranitelnosti, které ovlivňuje její prioritu. Je definováno jako součin prvků množiny D a k nim odpovídajících vah z množiny Dw

Snímek obrazovky 2021 03 24 215719

Následně je nezbytné stanovit modifikovaný dopad na jednotlivé parametry CIA triády. To znamená provázat hodnotu požadavků důvěrnosti, dostupnosti a integrity s dopadem určeným při hodnocení zranitelnosti a s ochranou těchto parametrů, kterou poskytují implementovaná opatření. Modifikovaný dopad je kalkulován jako součin dopadu, požadavku na daný parametr a míry ochrany.

Snímek obrazovky 2021 03 24 215742

Pro výpočet modifikovaného dopadu na důvěrnost Cm je použita následující rovnice.

Snímek obrazovky 2021 03 24 221909

Pro výpočet modifikovaného dopadu na dostupnost Am je použita následující rovnice.

Snímek obrazovky 2021 03 24 221919

Pro výpočet modifikovaného dopadu na integritu Im je pou žita následující rovnice.

Snímek obrazovky 2021 03 24 221929

Modifikované skóre zranitelnosti Sm je následně definováno jako součin skóre zranitelnosti a součtu všech modifikovaných parametrů CIA triády.Snímek obrazovky 2021 03 24 221940

Následně je již možné stanovit prioritu zranitelnosti P. Tato priorita je definována intervalem 〈0,1000〉 nad množinou celých čísel, kde vyšší číselné ohodnocení znamená vyšší prioritu a je vypočítáno jako poměr modifikovaného skóre zranitelnosti vůči maximálnímu možnému skóre. Maximální skóre v této metodice je 12,3. Výsledná hodnota je následně multiplikována hodnotou 1000 pro lepší prioritizaci bez desetinných čísel a je zaokrouhlena na celé číslo.

Snímek obrazovky 2021 03 24 222547

Snímek obrazovky 2021 03 24 221958

Závěr

Navržená metoda pro prioritizaci zranitelností hodnotí zranitelnost pomocí devíti parametrů, které jsou rozděleny do dvou skupin. Toto hodnocení je dále doplněno o ohodnocení aktiva, na kterém se zranitelnost nachází, tuto číselnou hodnotu provazuje s dopadem na CIA triádu a výslednou hodnotu započítává do celkového skóre priority zranitelnosti. Do metody vstupuje i hodnocení implementovaných opatření, které je stejně jako priorita aktiva provázáno s dopadem na CIA triádu. Opatření snižují riziko zneužití zranitelnosti a z tohoto důvodu jsou do metody zahrnuta. Formální výpočet priority je postaven na základních matematických operacích tak, aby byla metoda co nejjednodušší, ale zároveň aby její výsledky byly přínosné.

Snímek obrazovky 2021 03 24 222741

Lubomír Almer Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Snímek obrazovky 2021 03 24 222848

David Pecl Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

POUŽITÉ ZDROJE:

1 ] Predictive Prioritization: Data Science Lets You Focus On The 3% Of Vulnerabilities Likely To Be Exploited. Tenable [online]. Columbia, 2019, 4. 12. 2019 [cit. 2019-12-08]. Dostupné z: https://lookbook.tenable.com/predictive-prioritization/technical-whitepaper-predictive-prioritization

[ 2 ] Definition: Threat Intelligence. Gartner [online]. 2019, 16. 5. 2013 [cit. 2019-12-08]. Dostupné z: https://www.gartner.com/en/documents/2487216

[ 3 ] OWASP Risk Rating Methodology. OWASP [online]. 27. 6. 2019 [cit. 2019-12-08]. Dostupné z: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

[ 4 ] Common Vulnerability Scoring System version 3.1: Specification Document: CVSS Version 3.1 Release. First Improving Security Together [online]. 2019 [cit. 2019-12-08]. Dostupné z: https://www.first.org/cvss/specification-document

Vytisknout