Close

Níveis de gravidade para problemas de segurança


Fontes de vulnerabilidade

  • Tickets de varredura de segurança, como os arquivados pela Nexpose, Cloud Conformity e Snyk
  • Descobertas de bugs encontrados por pesquisadores de segurança, por meio do Bugcrowd
  • Vulnerabilidades de segurança relatadas pela equipe de segurança como parte das análises
  • Vulnerabilidades de segurança relatadas pela Equipe da Atlassian

Estrutura e classificação de gravidade

A Atlassian usa o Common Vulnerability Scoring System (CVSS) como método para avaliar o risco de segurança e a priorização de cada vulnerabilidade descoberta. O CVSS é uma métrica de vulnerabilidade padrão do setor. Você pode aprender mais sobre o CVSS em FIRST.org.

Níveis de Gravidade

Os alertas de segurança da Atlassian têm níveis de gravidade. Esses níveis de gravidade são baseados na pontuação CVSS, autocalculada para cada vulnerabilidade específica.

  • Crítico
  • Alto
  • Médio
  • Baixo

Em relação ao CVSS v3, a Atlassian usa o seguinte sistema de classificação de gravidade:

FAIXA DE PONTUAÇÃO DO CVSS V3
GRAVIDADE DO ALERTA

9,0 - 10,0

Crítico

7,0 - 8,9

Alto

4,0 - 6,9

Médio

0,1 - 3,9

Baixo

Em alguns casos, a Atlassian pode usar fatores adicionais não relacionados à pontuação do CVSS para determinar o nível de gravidade de uma vulnerabilidade. Essa abordagem tem o suporte da especificação CVSS v3.1:

Dica profissional:

Os consumidores podem usar as informações do CVSS como entrada no processo de gerenciamento de vulnerabilidade organizacional que também considera fatores que não fazem parte do CVSS para classificar as ameaças à sua infraestrutura de tecnologia e tomar decisões de remediação informadas. Esses fatores podem incluir: número de clientes em uma linha de produtos, perdas monetárias devido a uma violação, risco de vida ou à propriedade, ou sentimento público sobre vulnerabilidades com ampla divulgação. Eles estão fora do escopo do CVSS.

Nos casos em que a Atlassian adotar essa abordagem, vamos descrever quais fatores adicionais foram considerados e o porquê, ao divulgar publicamente a vulnerabilidade.

Abaixo estão alguns exemplos de vulnerabilidades que podem resultar em determinado nível de gravidade. Não se esqueça de que esta classificação não leva em consideração as informações da sua instalação e deve ser usada apenas como guia.

Nível de Gravidade: Crítico

Vulnerabilidades com pontuação crítica em geral têm a maioria das seguintes características:

  • É provável que a exploração da vulnerabilidade resulte em comprometimento no nível raiz de servidores ou dispositivos de infraestrutura.
  • A exploração é em geral simples, no sentido de que o invasor não precisa de credenciais de autenticação especiais ou conhecimento sobre as vítimas individuais e não precisa convencer um usuário alvo por meio de engenharia social, por exemplo, a executar quaisquer funções especiais.

Para vulnerabilidades críticas, é recomendável corrigir ou fazer upgrade o mais rápido possível, a menos que você tenha outras medidas atenuantes em vigor. Por exemplo, um fator atenuante pode ser se a instalação não puder ser acessada via Internet.

Nível de Gravidade: Alto

Vulnerabilidades com pontuação alta em geral têm a maioria das seguintes características:

  • A vulnerabilidade é difícil de explorar.
  • A exploração pode resultar em privilégios elevados.
  • A exploração pode resultar em perda significativa de dados ou tempo de inatividade.

Nível de Gravidade: Médio

Vulnerabilidades com pontuação média em geral têm algumas das seguintes características:

  • Vulnerabilidades que exigem que o invasor manipule vítimas individuais por meio de táticas de engenharia social.
  • Vulnerabilidades de negação de serviço que são difíceis de configurar.
  • Explorações que exigem que o invasor resida na mesma rede local que a vítima.
  • Vulnerabilidades em que a exploração possibilita apenas acesso muito limitado.
  • Vulnerabilidades que exigem privilégios de usuário para exploração bem-sucedida.

Nível de Gravidade: Baixo

Vulnerabilidades na faixa baixa costumam ter muito pouco impacto nos negócios de uma empresa. A exploração de tais vulnerabilidades em geral requer acesso local ou físico ao sistema. Vulnerabilidades em código de terceiros, que não podem ser acessadas pelo código da Atlassian, podem ser rebaixadas para baixa gravidade.

Cronograma de remediação

A Atlassian define objetivos de nível de serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade da segurança e no produto afetado. Definimos prazos para corrigir problemas de segurança de acordo com nossa política de correção de bugs de segurança.

Cronogramas de Resolução Acelerada se aplicam:

  • a todos os produtos da Atlassian baseados em nuvem;
  • ao Jira Align (tanto na versão em nuvem quanto na versão autogerenciada); e
  • a qualquer outro software ou sistema gerenciado pela Atlassian ou executado na infraestrutura da Atlassian

Cronogramas de Resolução Estendida se aplicam:

  • a todos os produtos autogerenciados da Atlassian
    • Esses produtos são instalados pelos clientes em sistemas por eles gerenciados
    • Isso inclui as aplicações de data center, desktop e dispositivos móveis da Atlassian

Cronograma de resolução do CVSS

Níveis de Gravidade
Cronogramas de Resolução Acelerada
Cronogramas de Resolução Estendida

Crítico

Dentro de 2 semanas após a verificação Dentro de 90 dias após a verificação

Alto

Dentro de 4 semanas após a verificação Dentro de 90 dias após a verificação

Médio

Dentro de 6 semanas após a verificação Dentro de 90 dias após a verificação

Baixo

Dentro de 25 semanas após a verificação Dentro de 180 dias após a verificação