Mit jelent, ha a Microsoft rendszereiben egy súlyos sérülékenységet találnak? Ugyanazt jelenti, mint az Oracle-nél? Hát nem egészen! Amíg ugyanis a Microsoft négyszintű besorolást használ (critical, important, moderate, low), addig az Oracle a Forum of Incident Response and Security Teams (FIRST) által kidogozott 10-es skálára épít.

Most a FIRST újabb finomításokat eszközölt a rendszerén, a Common Vulnerability Scoring Systemen, közismertebb nevén CVSS-n. A megjelent 3.0-s verzió alapján megvan az esély arra, hogy a jövőben ez a rendszer terjed el a legszélesebb körben – írta a Biztonságportál.

Miért kell kategorizálni?

A biztonsági rés, legyen bármilyen a besorolása, veszélyt jelent. Miért kell akkor kategorizálni? Elsősorban az üzemeltetésért felelős szakemberek miatt. A hibajavítások – különösen a menetrendszerűen kiadott javítások, például a Microsoft havi vagy az Oracle negyedévente kiadott javító csomagjai – általában nem egy telepítendő frissítést tartalmaznak, hanem olyankor a szoftvergyártók csokorba gyűjtik azokat. Ha az üzemeltetés ezeket egyszerre akarná telepíteni, az esetleg fennakadásokat okozna az üzletmenetben.

Éppen ezért priorizálni kell, amiben épp a kategorizálás segít: a legsúlyosabb biztonsági rések foltozását akár soron kívül is el lehet végezni, míg a kevésbé kritikusakkal meg lehet várni azt az időszakot, amikor senki sem dolgozik a vállalatnál.

Ha azonban a gyártók és a biztonsági cégek eltérő kategorizálási rendszert alkalmaznak, az esetenként megnehezítheti a döntéshozatalt. Ezért is lenne fontos, hogy egyre többen használjanak valamilyen egységes rendszert a biztonsági rések súlyosságának jelzésére.

Átgondolt rendszer

A CVSS 3.0 kidolgozói alapos munkát végeztek. Az FIRST 2012 májusában hozta létre azt az SIG (CVSS Special Interest Group) csoportot, amelynek az volt az elsődleges feladata, hogy a megváltozott biztonsági környezethez igazítsa a CVSS korábbi verzióját. A bizottság munkájában részt vettek többek között a Cisco, az Intel, az IBM, a Juniper Networks és az Oracle szakemberei, az pedig kifejezetten bizakodásra ad okot a CVSS jövőjét illetően, hogy a munkálatokban részt vett a Microsoft egy biztonsági programokért felelős szakértője is.

Az eredmény a FIRST szerint jó: az új besorolási rendszer a korábbiakhoz képest konzisztensebb módon képes rangsorolni a sérülékenységeket. Az is segíti az alkalmazását, hogy összeállítói pontosabb, bővebb leírásokat adnak a kategóriák értelmezéséhez. Emellett készítettek egy kalkulátort is, amely a veszélyességi pontok kiszámítását segíti.

A kalkulátora többek között figyelembe veszi az adott sebezhetőség bizalmasságra, integritásra és rendelkezésre állásra gyakorolt hatását, a hiba kihasználásához szükséges felhasználói közreműködés mértékét, a támadási vektorokat, valamint a szóba jöhető támadási módszerek komplexitását is.

A CVSS v3 teljes körű leírása egy kattintásnyira érhető el.