When videoconferencing service Zoom searched for a better way to assign a severity to vulnerabilities found during bug bounty programs, the company’s security team could not find a suitable approach: The popular Common Vulnerability Scoring System (CVSS) was too subjective, and the Exploit Prediction Scoring System (EPSS) was too focused on the probability of exploitation.
A cég úgy döntött, hogy létrehozza saját – a Vulnerability Impact Scoring System vagy VISS – és nyilvánosan közzétette a rangsor specifikációját a honlapján található számológépben. A pontozási rendszer segít a Zoomnak és bármely sebezhetőségkutatónak kiszámítani a sérülékenység lehetséges kockázatait, és ezáltal a lehetséges jutalmakat, ami nagyobb hangsúlyt fektet a kritikus és nagy súlyosságú sérülékenységekre, és kevésbé a közepes és alacsony súlyosságú sebezhetőségekre, mondja Roy Davis, biztonsági vezető. a Zoomnál.
“What we tried to do with this is remove the subjectivity and make all of our options binary,” he says, adding: “Right now, we are only using this scoring to determine the monetary awards to measure the rewards [for] the severity of the vulnerability.”
Míg a vállalat továbbra is belsőleg fogja használni a CVSS-t, és közzéteszi az összes sebezhetőségi figyelmeztetés CVSS-pontszámát, a VISS sok találgatást kivon a sebezhetőség hatásának rangsorolásából, lehetővé téve mind a hibajavító programok, mind a kutatók számára a hiba kiszámítását. a lehetséges jutalmakat átlátható és védhető módon – érvel Davis.
But Zoom’s VISS csatlakozik a hibapontozó rendszerek zsúfolt arénájához. A CVSS, amely most jelent meg a negyedik verzió, a jelenleg használt legnépszerűbb rendszer a sebezhetőség súlyosságának rangsorolására. És a EPSS A sebezhetőségeket a következő 30 napban történő kihasználásának valószínűsége alapján rangsorolja. Vannak kevésbé ismert rangsorolási rendszerek is: Például a Az érdekelt felekre vonatkozó biztonsági rés kategorizálása (SSVC), created by Carnegie Mellon University’s Software Engineering Institute (SEI) in partnership with the US Cybersecurity and Infrastructure Security Agency (CISA), uses a decision tree to help prioritize vulnerabilities.
Zoom’s calculator for the Vulnerability Impact Scoring System. Source: Zoom.
Míg a Zoom kifejlesztette a pontozási rendszerét a sebezhetőségi jutalmak programjának hibadíjak kiszámítására, sokkal szélesebb körű alkalmazása lehet. Andrew Braunberg, az Omdia biztonsági műveleti szolgáltatásainak vezető elemzője szerint egy olyan rendszer, amelyet arra terveztek, hogy segítse a vállalatokat a bejelentett sebezhetőségek pénzbeli értékének meghatározásában, segíthet a javítandó biztonsági problémák jobb értékelésében.
“Zoom is … using VISS not just to bubble up the most important vulnerabilities — i.e., prioritization — but to help assess a dollar value to the value of eliminating the risk — i.e., risk quantification,” he says. “It will be interesting to see if VISS is adopted by other organizations. It looks to offer good flexibility and transparency.”
A biztonsági kutatók jobb biztonsági rések felkutatására ösztönzése
A VISS a szoftverhibákat azok lehetséges hatásának 13 aspektusa alapján méri, így 0-tól 100-ig terjedő pontszámot ad. A nyár folyamán HackerOne H1-4420 élő hackeresemény, sponsored by Zoom, the company used VISS to rate reported vulnerabilities based on impact. The result: fewer lower severity vulnerabilities — the share of medium severity fell by 57% — and more higher severity vulnerabilities, with a 28% increase in critical issues and a 12% increase in high-severity bugs, says Zoom’s Davis.
“Before, we got a lot of reports that had theoretical impact, and we were paying them for those bugs,” he says. “At some point, you have to have a demonstration of actual impact to push your researcher community to the next level, and we really achieved that with this over the past year — we saw our researchers putting in extra time to really flesh out the actual impact.”
A hackeresemény során a Zoom a VISS segítségével értékelte a kutatók által talált hibákat, és visszajelzéseket gyűjtött a VISS funkcióiról. Mivel a Zoom a VISS fejlesztése érdekében a visszacsatolási kör szerves részeként kezeli a hackereket, a minősítési rendszer máris értékesnek bizonyult – mondja Alex Rice, a HackerOne társalapítója és technológiai igazgatója.
“We’ve found VISS can help hackers better anticipate what rewards they’ll receive from a vulnerability,” he says. “Predictable bounty amounts aligns security research to the highest impact areas, and that’s a win for everyone.”
A kifizetésekre való összpontosítás jobb bug-bounty rendszert eredményez?
Vita tárgya, hogy a hatásra való összpontosítás értékesebbé teszi-e a VISS-t más pontozási rendszereknél. Bármely pontozási rendszernek nem szabad pusztán azt reprodukálnia, amit mások már csinálnak, és úgy tűnik, hogy a VISS megpróbál új utakat lefedni – legalábbis a hatókör tekintetében – mondja Brian Martin, a Flashpoint, a fenyegetésekkel foglalkozó hírszerző cég sebezhetőségi történésze.
“Do we need another scoring system? No, but kind of yes,” he says. “On one hand, we have too many SSes. We have CVSS version 2, version 3, version 4, we have EPSS, we have the ransomware prediction scoring system — So I’m skeptical, but if it is more direct and to be utilized for a single purpose, such as bug bounties, then I can see it being beneficial.”
A vállalatok azonban nem számíthatnak arra, hogy a VISS használatával a sebezhetőségek prioritása egyszerűbb lesz, mint más rendszerek esetében. Bár a VISS kiszámítása egyszerűbb, mégis hozzáértő válaszokra van szükség ahhoz, hogy a megfelelő kockázati szintet hozzárendelje a sebezhetőségekhez – mondja Tim Jarrett, a Veracode szoftverbiztonsági cég termékkezelési alelnöke.
“Scoring models are not are not silver bullets,” he says. “You actually have to adopt them and use them and feed them. And I think that what this does not do is make the problem of prioritizing vulnerabilities any less labor intensive.”
For its part, Zoom will continue to use VISS for its bug bounty programs and use CVSS for its internal security team to rate third-party vulnerabilities, says Zoom’s Davis.
“CVSS values are perfect for a global audience, especially the new 4.0 version,” he says. “VISS, on the other hand, specifically measures the impact of a vulnerability to a single organization.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/putting-dollar-value-vulnerabilities-prioritize
