Close

Ernstniveaus voor beveiligingsproblemen


Ernstniveaus

Beveiligingsadviezen van Atlassian bevatten een ernstniveau. Dit ernstniveau is gebaseerd op onze zelfberekende CVSS-score voor elke specifieke kwetsbaarheid. CVSS is een statistiek voor kwetsbaarheden in de branche. Meer informatie over CVSS vind je op FIRST.org.

  • Kritiek
  • Hoog
  • Gemiddeld
  • Laag

Voor CVSS v3 gebruikt Atlassian het volgende ernstbeoordelingssysteem:

CVSS V3-SCOREBEREIK
ERNST IN ADVIES

0,1 - 3,9

Laag

4,0 - 6,9

Gemiddeld

7,0 - 8,9

Hoog

9,0 - 10,0

Kritiek

In sommige gevallen kan Atlassian aanvullende factoren gebruiken die geen verband houden met de CVSS-score om de ernst van een kwetsbaarheid te bepalen. Deze aanpak wordt ondersteund door de CVSS v3.1 specificatie:

Tip van pro's:

Consumenten kunnen CVSS-informatie gebruiken als input voor een proces voor het beheren van organisatorische kwetsbaarheden dat ook rekening houdt met factoren die geen deel uitmaken van CVSS. Zo kunnen ze de bedreigingen voor hun technologie-infrastructuur rangschikken en weloverwogen herstelbeslissingen nemen. Dergelijke factoren kunnen zijn: aantal klanten op een productlijn, geldelijke verliezen als gevolg van een inbreuk, bedreigingen van leven of eigendommen, of publieke opinie over kwetsbaarheden waarover veel wordt gepubliceerd. Deze vallen buiten de reikwijdte van CVSS.

Wanneer Atlassian deze aanpak hanteert, zullen we beschrijven welke aanvullende factoren in overweging zijn genomen en waarom en wanneer we de kwetsbaarheid publiekelijk bekendmaken.

Hieronder staan enkele voorbeelden van kwetsbaarheden die in een bepaald ernstniveau kunnen resulteren. Houd er rekening mee dat deze beoordeling geen rekening houdt met details van je installatie en alleen als richtlijn moet worden gebruikt.

Ernstniveau: Kritiek

Kwetsbaarheden die in het kritieke bereik scoren, voldoen meestal aan de meeste van de volgende kenmerken:

  • Uitbuiting van de kwetsbaarheid leidt waarschijnlijk tot een compromis op rootniveau van servers of infrastructuurapparaten;
  • Uitbuiting is meestal eenvoudig, in die zin dat de aanvaller geen speciale authenticatiegegevens of kennis over individuele slachtoffers nodig heeft en een doelgebruiker niet hoeft te overtuigen (zoals via social engineering) om speciale functies uit te voeren.

Voor kritieke kwetsbaarheden wordt geadviseerd om zo snel mogelijk een patch of upgrade uit te voeren, tenzij je andere beperkende maatregelen hebt getroffen. Een verzachtende factor kan bijvoorbeeld zijn als je installatie niet toegankelijk is via internet.

Ernstniveau: Hoog

Kwetsbaarheden die in het hoge bereik scoren, voldoen meestal aan sommige van de volgende kenmerken:

  • De kwetsbaarheid kan moeilijk worden uitgebuit;
  • Uitbuiting kan leiden tot verhoogde machtigingen;
  • Uitbuiting kan leiden tot aanzienlijk gegevensverlies of downtime.

Ernstniveau: Gemiddeld

Kwetsbaarheden die in het middenbereik scoren, voldoen meestal aan sommige van de volgende kenmerken:

  • Kwetsbaarheden die vereisen dat de aanvaller individuele slachtoffers manipuleert via social engineering-tactieken;
  • Denial of service-kwetsbaarheden die moeilijk in te stellen zijn;
  • Zwakke plekken waarbij een aanvaller zich op hetzelfde lokale netwerk moet bevinden als het slachtoffer;
  • Kwetsbaarheden waarvan uitbuiting slechts zeer beperkte toegang biedt;
  • Kwetsbaarheden waarvoor gebruikersrechten nodig zijn voor succesvolle uitbuiting.

Ernstniveau: Laag

Kwetsbaarheden in het lage bereik hebben doorgaans weinig impact op de bedrijfsvoering van een organisatie. Uitbuiting van dergelijke kwetsbaarheden vereist meestal lokale of fysieke systeemtoegang. Kwetsbaarheden in code van derden die niet bereikbaar zijn vanuit Atlassian-code kunnen ook een lager ernstniveau krijgen.