A quali criteri dovrebbe essere considerata compromessa una macchina priva di patch? [chiuso]

3

Poiché ogni macchina connessa a Internet richiede patch di sicurezza, esiste una finestra temporale in cui tali aggiornamenti sono stati rilasciati e tali macchine non sono ancora state riparate.

È prassi comune presumere che se si esegue la patch "abbastanza velocemente" si è sicuri, tuttavia più questa finestra è lunga (2 mesi, 6 mesi, 1 anno) l'ipotesi potrebbe diventare "probabilmente è già stata compromessa" .

Questa è una valutazione molto soggettiva della sicurezza di un server che vorrei inserire in una struttura di qualche tipo.

Domanda

Supponendo che nulla di straordinario stia accadendo con il server, a che punto il server dovrebbe essere considerato compromesso? (Ad esempio, una patch di IIS che è stata rimossa per N giorni)

Quanti dovrebbero essere N?

Quali altre cose dovrebbero essere considerate?

    
posta random65537 19.03.2015 - 20:31
fonte

1 risposta

4

"Tempo medio di tempo durante il quale una vulnerabilità annunciata ha uno sfruttamento diffuso", T

"Attrattività del server come target", A , su una scala qualitativa di 1-5 (numero più elevato che rappresenta più attrattiva).

"Facilità di utilizzo", E , utilizzando il punteggio CVE come base del confronto comune

(T/A) x E = N

Considerando che T è ora considerato misurato in giorni ( pagina 1- 2 ), N può essere molto breve, in effetti.

Questo è il motivo per cui le tecniche di mitigazione sono importanti, dove i venditori di AV e IDS sono più veloci nell'implementare il rilevamento degli exploit annunciati rispetto agli operatori che li stanno riparando.

Modifica

Ho pensato che stavo utilizzando una variazione delle formule di rischio InfoSec standard e quindi ho pensato di proporre quanto sopra come trampolino di lancio per la discussione. Ma, sono anche felice di scavare attraverso il mio materiale per fornire riferimenti a dove il quadro di cui sopra viene e le mie giustificazioni per modificarli.

Primo: Dillard, K., Pfost J., Guida alla gestione dei rischi per la sicurezza , Microsoft Press, 2004

Secondo: Munteanu, A., Valutazione dei rischi per la sicurezza delle informazioni: il dilemma qualitativo e quantitativo , gestione delle informazioni nell'economia digitale: problemi e amp; Soluzioni 227

Dillard propone la seguente formula per calcolare il livello di frequenza delle minacce: TFL = TP × (C / E)

Dove: TP = Probabilità di minaccia C = Criticità di attacco E = Sforzo da sfruttare

Munteanu critica l'approccio di Dillard, affermando che non include un elemento temporale, in particolare il "tempo medio di rilascio delle procedure tecniche per ridurre o accettare la minaccia", che Munteanu chiama una delle variabili di Exposure Time . direttamente pertinente alla domanda dell'OP relativa al "time to patch". Poiché il TFL è un fattore qualitativo, e il tempo è un fattore quantitativo che deve essere una relazione diretta, un approccio moltiplicativo sembra appropriato.

Quindi, utilizzando una combinazione della formula originale di Dillard e la modifica proposta da Munteanu per calcolare un livello di frequenza delle minacce basato sul tempo storico per la patch, arriviamo a:

TFLp = TP x (C / E) x ET

Prendendo lo stesso modello e calcolando invece il TFL basato su patching (basato su dati storici sul tempo di patch), ma invece di sostituire la variabile temporale con il tempo medio per lo sfruttamento diffuso (WE), possiamo calcolare il TFL per lo sfruttamento:

TFLe = TP x (C / E) x WE

In che modo questo si applica alla formula originale scritta frettolosamente? Innanzitutto, possiamo equiparare la mia scala di "Attrattività" alla "Probabilità di minaccia" di Dillard. La probabilità viene misurata come un rapporto (un numero compreso tra 0 e 1). Per rappresentare correttamente la relazione se abbiamo modificato TP in una scala da 1 a 5, dovremmo cambiarlo da diretto a inverso, quindi:

TFLe = (C / E) x WE / A

In secondo luogo, lo "sforzo" di Dillard (E) è inverso rispetto al mio "Ease" (E), quindi anche la relazione deve cambiare:

TFLe = C x E x (WE / A)

Accettare che% co_de di Dillard è il mio WE e che "Criticità" non è un problema dell'OP:

T

Che sembra sospettosamente come la mia formula originale ...

La mia formula originale è matematicamente esattamente simile alle formule di Dillard / Munteanu? No certo che no. Ma penso che il mio serva da utile semplificazione dei concetti generali.

    
risposta data 19.03.2015 - 20:51
fonte