ci sono prove che le "formule di severità" della vulnerabilità della sicurezza siano più utili del semplice eyeballing?

2

Esistono alcune formule per le vulnerabilità di sicurezza di valutazione del rischio, come la formula DREAD (Danno, Riproducibilità, Exploitability, Utenti interessati, Discoverability - vota il vuln in ogni categoria su una scala da 1 a 10, quindi aggiungile tutte ). C'è qualche prova che questi funzionano meglio di avere solo un professionista della sicurezza guarda la vulnerabilità nel suo insieme e dire: "Sì, su una scala da 1 a 5, gli do un 3"?

Ecco perché sono scettico: le volte che una formula è utile è quando sto facendo qualcosa che è fuori dalla mia area di competenza, come comprare un'auto usata, perché non so nulla di ciò che le auto sono di valore. Quindi probabilmente finirò per usare una formula che ha coinvolto la marca e il modello dell'auto, il numero di miglia e qualsiasi danno visibile.

Ma nel valutare le vulnerabilità della sicurezza, presumibilmente la determinazione della severità verrà fatta da qualcuno che ha una buona intuizione di quanto sia grave una vulnerabilità. Nella maggior parte dei casi che ho visto, quando due esperti hanno giudicato indipendentemente la gravità di una vulnerabilità, si sono avvicinati alla stessa risposta. E quando non erano d'accordo, certamente non avrebbero risolto il disaccordo osservando la formula: la persona la cui valutazione era diversa dalla formula, direbbe semplicemente che questa è una delle volte in cui la formula non lo fa lavoro. Quindi non so qual è il punto della formula. Le formule sono utili quando i non esperti devono prendere una decisione, ma le persone che prendono decisioni sulle vulnerabilità della sicurezza non dovrebbero essere non esperti!

Quindi ci sono prove che le formule siano state utili, rispetto all'approccio intuitivo? Abbastanza aperto su ciò che conta come "evidenza", ma penso ad esempio se una società ha provato l'approccio intuitivo una volta, e ha provato l'approccio della formula una volta, e ha trovato che uno ha funzionato meglio dell'altro.

    
posta Bennett 29.07.2018 - 02:52
fonte

2 risposte

1

I punteggi CVSS sono intesi come linee guida non come il Vangelo.

La corretta valutazione del rischio per il proprio ambiente dovrebbe sempre essere determinata da una revisione di ciò che è considerato un'infrastruttura critica, che è più AT RISK di essere sfruttato, ecc.

Se dispongo di un dispositivo che non può essere aggiornato a causa del software del fornitore richiesto per le funzionalità aziendali, presenta 10 vulnerabilità critiche con una valutazione di 10 ciascuna.

Ma quel dispositivo viene collegato solo una volta al mese per 30 minuti a intervalli non regolari. Direi che il dispositivo è un rischio da basso a medio per la mia rete.

Ora se ho un dispositivo che si trova nella DMZ e ha molteplici vulnerabilità che sono facilmente sfruttabili ma che non sono considerate una classificazione di minaccia "Critica". Lo valuterei come ad alto rischio perché è esposto al pubblico

Modifica:

Buone risorse aggiuntive da verificare da Rapid7 (creatori di metasploit): modifica della criticità di un asset , Regolazione del rischio con criticità , Domande frequenti sul punteggio del rischio

    
risposta data 25.10.2018 - 17:30
fonte
0

Penso che ti sia sfuggito il punto della formula. L'utilità non è nel punteggio finale (cioè per il confronto con altre vulnerabilità) ma nei punteggi individuali in ciascuna area.

Come professionista, se vieni da me con una vulnerabilità e dimmi "Sì, è un punteggio di X", per me è assolutamente inutile. Quello che voglio sapere sono i punteggi dei componenti. Sfruttabile, individuabile, con alto danno? Sì, voglio parlarne oggi. Alto danno che è difficile da scoprire e difficile da sfruttare? Inserirò il cerotto nel prossimo ciclo.

DREAD e CVSS mi danno quelli. Non è interessante per me il modo in cui hanno prodotto il loro punteggio finale, ma voglio sapere cosa pensano gli esperti in ciascuna area della partitura. E non intendo che sono abbastanza esperto o che ho qualcuno che lavora per me che è abbastanza esperto da fare quella chiamata. Dimmi, alto, medio, basso, qual è il vuln in ciascuna area.

    
risposta data 24.11.2018 - 18:54
fonte

Leggi altre domande sui tag