Close

Ernstniveaus voor beveiligingsproblemen


Bronnen van kwetsbaarheid

  • Tickets voor de beveiligingsscanner, zoals die worden ingediend door Nexpose en Snyk
  • Bug Bounty-bevindingen gevonden door beveiligingsonderzoekers via Bugcrowd
  • Beveiligingsproblemen die door het beveiligingsteam zijn gemeld als onderdeel van beoordelingen
  • Beveiligingsproblemen gemeld door Atlassians

Framework en beoordeling van ernst

Atlassian gebruikt het Common Vulnerability Scoring System (CVSS) als een methode om het veiligheidsrisico te beoordelen en prioriteiten te stellen voor elke ontdekte kwetsbaarheid. CVSS is een statistiek voor kwetsbaarheden in de branche. Meer informatie over CVSS vind je op FIRST.org.

Ernstniveaus

Beveiligingsadviezen van Atlassian bevatten een ernstniveau. Dit ernstniveau is gebaseerd op onze zelfberekende CVSS-score voor elke specifieke kwetsbaarheid.

  • Kritiek
  • Hoog
  • Gemiddeld
  • Laag

Voor CVSS v3 gebruikt Atlassian het volgende ernstbeoordelingssysteem:

CVSS V3-SCOREBEREIK
ERNST IN ADVIES

9,0 - 10,0

Kritiek

7,0 - 8,9

Hoog

4,0 - 6,9

Gemiddeld

0,1 - 3,9

Laag

In sommige gevallen kan Atlassian aanvullende factoren gebruiken die geen verband houden met de CVSS-score om de ernst van een kwetsbaarheid te bepalen. Deze aanpak wordt ondersteund door de CVSS v3.1 specificatie:

Tip van pro's:

Consumenten kunnen CVSS-informatie gebruiken als input voor een proces voor het beheren van organisatorische kwetsbaarheden dat ook rekening houdt met factoren die geen deel uitmaken van CVSS. Zo kunnen ze de bedreigingen voor hun technologie-infrastructuur rangschikken en weloverwogen herstelbeslissingen nemen. Dergelijke factoren kunnen zijn: aantal klanten op een productlijn, geldelijke verliezen als gevolg van een inbreuk, bedreigingen van leven of eigendommen, of publieke opinie over kwetsbaarheden waarover veel wordt gepubliceerd. Deze vallen buiten de reikwijdte van CVSS.

Wanneer Atlassian deze aanpak hanteert, zullen we beschrijven welke aanvullende factoren in overweging zijn genomen en waarom en wanneer we de kwetsbaarheid publiekelijk bekendmaken.

Hieronder staan enkele voorbeelden van kwetsbaarheden die in een bepaald ernstniveau kunnen resulteren. Houd er rekening mee dat deze beoordeling geen rekening houdt met details van je installatie en alleen als richtlijn moet worden gebruikt.

Ernstniveau: Kritiek

Kwetsbaarheden die in het kritieke bereik scoren hebben gewoonlijk de meeste van de volgende kenmerken:

  • Uitbuiting van de kwetsbaarheid leidt waarschijnlijk tot een compromis op rootniveau van servers of infrastructuurapparaten;
  • Uitbuiting is meestal eenvoudig, in die zin dat de aanvaller geen speciale authenticatiegegevens of kennis over individuele slachtoffers nodig heeft en een doelgebruiker niet hoeft te overtuigen (zoals via social engineering) om speciale functies uit te voeren.

Voor kritieke kwetsbaarheden wordt geadviseerd om zo snel mogelijk een patch of upgrade uit te voeren, tenzij je andere beperkende maatregelen hebt getroffen. Een verzachtende factor kan bijvoorbeeld zijn als je installatie niet toegankelijk is via internet.

Ernstniveau: Hoog

Kwetsbaarheden die in het hoge bereik scoren, voldoen meestal aan sommige van de volgende kenmerken:

  • De kwetsbaarheid kan moeilijk worden uitgebuit;
  • Uitbuiting kan leiden tot verhoogde machtigingen;
  • Uitbuiting kan leiden tot aanzienlijk(e) gegevensverlies of downtime.

Ernstniveau: Gemiddeld

Kwetsbaarheden die in het middenbereik scoren, voldoen meestal aan sommige van de volgende kenmerken:

  • Kwetsbaarheden die vereisen dat de aanvaller individuele slachtoffers manipuleert via social engineering-tactieken;
  • Denial of service-kwetsbaarheden die moeilijk in te stellen zijn;
  • Zwakke plekken waarbij een aanvaller zich op hetzelfde lokale netwerk moet bevinden als het slachtoffer;
  • Kwetsbaarheden waarvan uitbuiting slechts zeer beperkte toegang biedt;
  • Kwetsbaarheden waarvoor gebruikersrechten nodig zijn voor succesvolle uitbuiting.

Ernstniveau: Laag

Kwetsbaarheden in het lage bereik hebben doorgaans weinig impact op de bedrijfsvoering van een organisatie. Uitbuiting van dergelijke kwetsbaarheden vereist meestal lokale of fysieke systeemtoegang. Kwetsbaarheden in code van derden die niet bereikbaar zijn vanuit Atlassian-code kunnen ook een lager ernstniveau krijgen.

Tijdlijn voor herstel

Atlassian bepaalt service level objectives voor het oplossen van beveiligingsproblemen op basis van het ernstniveau van de beveiliging en het getroffen product. We hebben termijnen vastgesteld voor het oplossen van beveiligingsproblemen volgens ons beveiligingsbugfixbeleid.

De kortere termijnen voor probleemoplossing gelden voor:

  • Alle cloudgebaseerde Atlassian-producten
  • Jira Align (zowel de cloud- als zelfbeheerde versies)
  • Alle andere software of systemen die beheerd worden door Atlassian of draaien op een Atlassian-infrastructuur

De langere termijnen voor probleemoplossing gelden voor:

  • Alle zelfbeheerde Atlassian-producten
    • Dit zijn producten die door klanten worden geïnstalleerd op door klanten beheerde systemen
    • Dit omvat de Data Center-, desktop- en mobiele applicaties van Atlassian

CVSS-termijn voor probleemoplossing

Ernstniveaus
Versnelde tijdskaders voor probleemoplossing
Verlengde tijdskaders voor probleemoplossing

Kritiek

Binnen 2 weken na verificatie Binnen 90 dagen na verificatie

Hoog

Binnen 4 weken na verificatie Binnen 90 dagen na verificatie

Gemiddeld

Binnen 6 weken na verificatie Binnen 90 dagen na verificatie

Laag

Binnen 25 weken na verificatie Binnen 180 dagen na verificatie