"Discoverability = low" è un motivo accettabile per ridurre il rischio di una vulnerabilità?

9

Il modello di rischio DREAD obsoleto ( wikipedia ) elenca la Discoverability come criterio per giudicare la gravità di una vulnerabilità . L'idea è che qualcosa che non è pubblicamente conosciuto e che difficilmente scoprirai senza una profonda conoscenza dell'applicazione in questione non richiede tanto panico quanto, ad esempio, qualcosa con un CVE pubblicato (supponendo che non ci siano prototipi di attacco di pubblicazione, dal momento che sanguina nella metrica Exploitablility).

Ho notato che CVSS v3.0 non ha una metrica per quanto probabile sia la scoperta indipendente della vulnerabilità.

Wikipedia ha questo da dire:

Discoverability debate

Some security experts feel that including the "Discoverability" element as the last D rewards security through obscurity, so some organizations have either moved to a DREAD-D "DREAD minus D" scale (which omits Discoverability) or always assume that Discoverability is at its maximum rating.

Quindi la mia domanda è fondamentalmente: a parte l'ovvio "sicurezza dell'oscurità è male", quali sono gli argomenti a favore e contro l'utilizzo di Discoverability come parte di un'analisi del rischio?

    
posta Mike Ounsworth 12.07.2018 - 23:48
fonte

3 risposte

11

Scarsa rilevabilità non significa necessariamente "sicurezza per oscurità". Potrebbe semplicemente significare che la vulnerabilità si trova in una porzione di funzionalità raramente studiata. Potrebbe anche significare che la scoperta richiederebbe un caso angusto così stretto che persino la scoperta iniziale sarebbe stata improbabile che fosse mai accaduta. Tali esempi potrebbero essere Dirty COW e Spectre / Meltdown , entrambi i quali hanno impiegato quasi un decennio per essere notati.

D'altra parte, bassa rilevabilità non dovrebbe significare necessariamente priorità bassa . Se viene segnalata una vulnerabilità con bassa rilevabilità, altri fattori dovrebbero essere presi in considerazione, come l'impatto e la facilità di utilizzo, nel determinare una risposta appropriata. In effetti, tali considerazioni sono esattamente il motivo per cui esistono punteggi di valutazione del rischio come DREAD e CVSS. Tuttavia, come discusso nei commenti, la "rilevabilità" può avere significato solo nel contesto di una divulgazione privata . Se una vulnerabilità è già pubblica, la rilevabilità è essenzialmente al 100% e non è più una considerazione pertinente.

    
risposta data 13.07.2018 - 00:23
fonte
6

Sono dalla parte che non mi piace l'utilizzo della rilevabilità. E 'mal definito e per ogni definizione data, le persone sono particolarmente cattive a indovinare su una misura per questo.

Esiste una misura del tempo e dell'attenzione a cui ogni pezzo di software è vulnerabile, e ogni vulnerabilità, incluse quelle che non conosci, è rilevabile.

Ci sono persone che conoscono davvero la loro superficie di attacco e i loro attori delle minacce e possono forse dare una buona stima di un certo significato di scopribilità, ma questo non è il caso comune ed è troppo facile essere sorpresi.

Ho osservato org con terribili vulnerabilità nascoste in bella vista che non vengono mai attaccate, forse perché c'è sempre meno frutta sospesa.

Inoltre, ho osservato che ciò che molti dirigenti pensano quando intuiscono una misura di "rilevabilità" è quanto sia grave per me se siamo compromessi a causa di ciò, dove una estremità di tale spettro è Equifax (perdere il lavoro e tutto il resto), e l'altra estremità è un oops, mi dispiace, il costo di fare affari. Questa intuizione di per sé non è necessariamente un cattivo modo per stabilire le priorità, ma non ha nulla a che fare con una definizione ragionevole di "scopribilità".

Quindi non penso che dovrebbe avere un ruolo.

    
risposta data 13.07.2018 - 00:33
fonte
2

Sì. Mentre DREAD potrebbe essere obsoleto, altri modelli includono concetti simili e li definiscono più rigidamente. In FAIR, ad esempio, l'aspetto Vulnerabilità è determinato come il rapporto tra Capacità della minaccia e Difficoltà dove Capacità della minaccia indica quanto è capace la tua specifica minaccia (su una scala da 1 a 100) mentre Difficoltà significa la barriera che deve superare per essere riuscito (su una scala da 1 a 100). Il fatto che tu abbia bisogno di una conoscenza considerevole per scoprire la debolezza sfruttabile aggiungerebbe alcuni punti alla difficoltà.

La ragione per cui Discoverability è giustamente sganciata da DREAD è che è uno dei molti fattori di un subaspect di una sub-copertura del rischio. Non merita la posizione di primo ordine che ha in DREAD. Una bassa rilevabilità elimina gli attaccanti di basso livello e ha scarso effetto sugli aggressori più esperti.

Inoltre, DREAD è un metodo di valutazione qualitativo . Pertanto, anche uno o due punti in qualsiasi categoria possono spostare il risultato in una "scatola" diversa, esagerando ulteriormente l'effetto. In un adeguato modello statistico o quantitativo, l'effetto è molto più graduale.

    
risposta data 13.07.2018 - 06:51
fonte

Leggi altre domande sui tag