JFrog, güvenlik açığı risk ölçümlerinin tamamen yenilenmesi gerektiğini savunuyor
ANALİZ Mevcut CVSS puanlama sistemindeki zayıflıklar, bazı güvenlik açıklarının “fazla abartılmasından” sorumlu görülen mevcut ölçümlerle yeni araştırmalarla vurgulanmıştır.
“Aşırı şişirilmiş” olarak adlandırılan derecelendirmeler, potansiyel olarak siber güvenlik ekiplerinin sınırlı zamanını tüketiyor ve bu ekipler, genel olarak kritik kabul edilen sorunlar lehine kuruluşlarını etkilemesi en muhtemel hatalara odaklanmayabilir.
En son güvenlik açığı araştırma ve analizlerini takip edin
Güvenlik araçları satıcısı JFrog tarafından bir araya getirilen bir analiz, güvenlik sorunlarının ciddiyetini değerlendirmek için açık bir endüstri standardı çerçeve olan popüler Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) erişimi içeriyordu. Sistem, onaylanmış güvenlik açıkları için CVSS puanları sağlayan Ulusal Güvenlik Açığı Veritabanı (NVD) ile kar amacı gütmeyen Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) tarafından yönetilmektedir.
JFrog’un açık kaynaklı yazılımdaki güvenlik açıklarının etkisine erişmeye odaklanan analizi, genel CVSS etki ölçümlerinin, diğer faktörlerin yanı sıra bağlamdan yoksun olduğu için güvenlik açıklarının oluşturduğu riski fazla basitleştirebileceği sonucuna vardı.
Kritik değerlendirme
“DevOps ve DevSecOps Ekipleri Üzerinde En Etkili Açık Kaynak Güvenlik Açıklarının Analizi” başlıklı rapora (PDF) göre, genel önem dereceleri ile 2022’nin en iyi 50 CVE’sinin dahili JFrog değerlendirmeleri arasında bir “tutarsızlık” vardır.
JFrog’un güvenlik araştırmacıları, ‘çoğu’ durumda, şirketin kendi CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) önem değerlendirmesinin NVD’de atanan derecelendirmeden daha düşük olduğunu söylüyor – “çoğu zaman bu güvenlik açıklarının abartıldığı anlamına geliyor”.
Örneğin, X.509 sertifika doğrulamasında, CVE-2022-3602’de (CVSS 7.5) bir arabellek taşması ciddi bir endişe kaynağıydı – açıktan yararlanmanın marjinal bir gerçek dünya etkisi olduğunu gösteren teknik ayrıntılarının yayınlanmasına kadar, araştırmacılar.
Toplamda, ilk 50 CVE’nin %64’üne daha düşük bir JFrog önem derecesi verilirken, %90’ına daha düşük veya eşit bir derece verildi.
Bağlama bağlı
JFrog, birçok NVD güvenlik derecelendirmesinin “hak edilmediğini”, çünkü bunların istismar edilmesinin bildirildiği kadar kolay olmadığını söylüyor. Ayrıca, analiz edilen güvenlik açıklarının çoğu, başarılı bir saldırı için karmaşık yapılandırma ortamları veya belirli koşullar gerektiriyordu.
Siber güvenlik firması tarafından yapılan bir başka eleştiri de, CVE saldırı karmaşıklığı ölçümleri atanırken bağlam eksikliği olabileceği yönünde. Örneğin, potansiyel olarak güvenlik açığı bulunan yazılımın ne kadar konuşlandırıldığı, ağ ortamı, yazılımın nasıl kullanıldığı veya güvenlik açığı bulunan bir API’nin güvenilmeyen verileri ayrıştırıp ayrıştırmayacağının tümü analiz edilmelidir. Sonuç olarak, önem dereceleri ya çok yüksek ya da çok düşük olarak ayarlanabilir.
Yanlış yönlendirme öncelikleri riski
JFrog ayrıca, 2022’de kuruluşu etkileyen en yaygın 10 güvenlik açığının düşük önem derecelerine sahip olma eğiliminde olduğunu ve bu nedenle kurumsal BT ekipleri ve açık kaynak proje yürütücüleri için daha düşük bir öncelik olarak görüldüğünü gözlemledi. tamamen göz ardı edildi.
Bir hatanın rahatsız edilemeyecek kadar küçük olduğu düşünülürse, geliştiriciler bir yama oluşturmayabilir, JFrog bunun yalnızca etkilenen sistemlerin sayısını zamanla artırabileceğini söylüyor. Buna karşılık, bir CVSS derecesi yüksekse ancak gerçek dünyadaki etkisi çok küçük kabul ediliyorsa, tehdit düzeyi yanıltıcı olarak değerlendirilebilir.
Ile konuşmak günlük yudumJFrog’da güvenlik araştırması kıdemli direktörü Shachar Menashe, en iyi çözümün CVSS standardını, varsayılan yapılandırmalarda istismar edilebilirlik ve bağlama bağımlı saldırı vektörlerinin olup olmadığı gibi daha fazla bağlam sağlayacak alanları içerecek şekilde güncellemek olacağını söyledi.
Menaşe ekledi:
“Herkes zaten CVSS kullandığından, bu en az dirençli yoldur. CVSS v4.0 çok uzun süredir üzerinde çalışılıyor, ancak hala somut bir çıkış tarihi yok.
“Üstelik, NVD’nin CNA tarafından gönderilen CVSS puanlarına daha açık olması gerekiyor (CNA tarafından gönderilen CVSS birçok kez göz ardı ediliyor). Bir başka yeni karşılaştırmalı şema daha var – EPSS, ama bence uygulanabilirliği henüz kanıtlanmadı ve uygulaması çok muğlak, bu yüzden onu ancak bekleyip gelecekteki ampirik sonuçlara göre değerlendirebiliriz.”
Daily Swig Deserialized’e kaydolun, web güvenliği, böcek ödülleri ve bilgisayar korsanlığı kültürü haberleriyle ilgili iki haftalık yeni özetimiz
Birçok siber güvenlik uzmanı, mevcut CVSS sisteminin sınırlı olduğunu ve güvenlik açığı değerlendirmeleri sırasında boşlukları dolduran şeyin deneyim olduğunu kabul eder. JFrog tarafından yürütülen nicel araştırma, birçok bilgi güvenliği uzmanının mevcut güvenlik açığı puanlama sisteminin bir yenilenmeye ihtiyacı olduğu yönündeki “içgüdüsel hislerini” destekliyor.
İlk cevaplayan
JFrog’un eleştirisi sorulduğunda, FIRST’ün yönetici direktörü Chris Gibson, genel olarak, “puanlama sağlayıcılarının ‘makul en kötü durum’ taban puanları sağladığını ve nihai puanı azaltmak (düşürmek) için tüketicilere güvendiğini” söyledi.
Gibson’a göre geçici tehdit bilgileri, varlık kritikliği, güvenlik duvarı filtreleri gibi telafi edici kontroller ve diğer çevresel puanlar, “puanları daha uygun, uygulanabilir bir düzeye düşürmek için tasarlanmıştır.
“JFrog gibi üçüncü taraflar, yama önceliğini ve teknik riski daha iyi izlemek için tam CVSS puanının kullanılmasına izin vererek tehdit istihbaratı (geçici puan) sağlayarak tüketicilere yardımcı olabilir.”
Potansiyel iyileştirmeler hakkında sorulan Gibson, CVSS v4.0’ın “yakında çıkacağını” ve ürün geliştiricilerin ek aciliyet derecelendirmeleri sağlamaları için bir yöntem içereceğini ve “uygulamalarında güvenlik açığının aciliyetinin daha doğru bir şekilde temsil edilmesini sağlayacak şekilde” yer alacağını söyledi. OSS kitaplığı sağlayıcısının en kötü durum puanlamasında”.
“CVSS sistemi, eksiklikleri göz önünde bulundurulduğu sürece faydalı olabilir. Örneğin, CVSS, bulunduğu ortam ve potansiyel ticari veya operasyonel etki gibi önemli bağlamsal faktörleri dikkate almadan bir güvenlik açığı puanlayabilir.”
AutoRABIT ürün yönetiminden sorumlu Başkan Yardımcısı Prashanth Samudrala, şunları söyledi: Günlük Doyum: “Sistem şu anda mevcut olan bilgilere dayanıyor, bu da eksik veya yanlış bilgilere dayalı kararlar verebileceği anlamına geliyor. CVSS sistemi yardımcı olabilse de, doğru bir değerlendirme elde etmek için diğer değerlendirme araçlarıyla birlikte kullanılmalıdır.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR “Çoğu web API kusuru, standart güvenlik testlerinde gözden kaçıyor” – Corey J Ball, ihmal edilmiş bir saldırı vektörünün güvenliğini sağlama üzerine