Close

Livelli di gravità per i ticket di sicurezza


Livelli di gravità

Gli avvisi di sicurezza Atlassian includono un livello di gravità, che è basato sul nostro punteggio CVSS calcolato automaticamente per ogni vulnerabilità specifica. CVSS è una metrica di vulnerabilità standard del settore. Maggiori informazioni su CVSS sono disponibili su First.org.

  • Critico
  • Elevato
  • Medio
  • Basso

Per CVSS v3 Atlassian utilizza il seguente sistema di classificazione del livello di gravità:

INTERVALLO DI PUNTEGGI CVSS V3
LIVELLO DI GRAVITÀ INDICATO NELL'AVVISO

0,1 - 3,9

Basso

4,0 - 6,9

Medio

7,0 - 8,9

Elevato

9,0 - 10,0

Critico

In alcuni casi, Atlassian può utilizzare fattori aggiuntivi non correlati al punteggio CVSS per determinare il livello di gravità di una vulnerabilità. Questo approccio è supportato dalla specifica CVSS v3.1:

Suggerimento:

I consumatori possono utilizzare le informazioni CVSS come input per un processo di gestione delle vulnerabilità dell'organizzazione che tenga conto anche di fattori che non fanno parte di CVSS al fine di classificare le minacce alla loro infrastruttura tecnologica e prendere decisioni informate in merito alla correzione. Tali fattori possono includere: numero di clienti di una linea di prodotti, perdite monetarie dovute a una violazione, minacce alla vita o alla proprietà oppure l'opinione pubblica su vulnerabilità altamente pubblicizzate. I fattori menzionati sopra non rientrano nell'ambito di applicazione del CVSS.

Nei casi in cui Atlassian adotti questo approccio, descriveremo quali fattori aggiuntivi sono stati considerati e per quale motivo al momento della divulgazione pubblica della vulnerabilità.

Di seguito sono riportati alcuni esempi di vulnerabilità che possono causare un determinato livello di gravità. Tieni presente che questa valutazione non prende in considerazione i dettagli dell'installazione e deve essere utilizzata solo come guida.

Livello di gravità: critico

Le vulnerabilità con punteggi inclusi nell'intervallo critico di solito presentano la maggior parte delle seguenti caratteristiche:

  • Lo sfruttamento della vulnerabilità comporta probabilmente una compromissione a livello principale dei server o dei dispositivi dell'infrastruttura.
  • Lo sfruttamento è di solito semplice, nel senso che l'aggressore non necessita di credenziali di autenticazione speciali o conoscenze sulle singole vittime e non ha bisogno di indurre un utente preso di mira, ad esempio tramite l'ingegneria sociale, a eseguire particolari funzioni.

Per le vulnerabilità critiche, è consigliabile applicare una patch o effettuare l'upgrade il prima possibile, a meno che non siano state adottate altre misure di mitigazione. Ad esempio, un fattore di mitigazione potrebbe essere un'installazione non accessibile da Internet.

Livello di gravità: elevato

Le vulnerabilità con punteggi nella fascia alta dell'intervallo di solito presentano alcune delle seguenti caratteristiche:

  • La vulnerabilità è difficile da sfruttare.
  • Lo sfruttamento potrebbe comportare privilegi elevati.
  • Lo sfruttamento potrebbe comportare una significativa perdita di dati o tempi di inattività.

Livello di gravità: medio

Le vulnerabilità con punteggi inclusi nell'intervallo medio di solito presentano alcune delle seguenti caratteristiche:

  • Vulnerabilità che richiedono all'autore di un attacco di manipolare le singole vittime tramite tattiche di ingegneria sociale.
  • Vulnerabilità di tipo Denial of Service, che sono difficili da configurare.
  • Exploit che richiedono che l'autore di un attacco risieda nella stessa rete locale della vittima.
  • Vulnerabilità in cui lo sfruttamento fornisce solo un accesso molto limitato.
  • Vulnerabilità che richiedono privilegi utente per uno sfruttamento corretto.

Livello di gravità: basso

Le vulnerabilità nella fascia bassa in genere hanno un impatto minimo sull'attività di un'organizzazione. Lo sfruttamento di tali vulnerabilità richiede in genere l'accesso al sistema locale o fisico. Per le vulnerabilità nel codice di terze parti che non sono raggiungibili dal codice Atlassian è possibile ridurre la gravità a un livello basso.