Close
Czy wyświetlić tę stronę w Twoim języku?
Wszystkie języki
Wybierz swój język
Produkty

Polecane

Jira Software

Śledzenie projektów i zgłoszeń

Confluence

Współpraca przy tworzeniu treści

Jira Service Management

ITSM o dużej prędkości

Trello

Wizualne zarządzanie projektami

Zobacz wszystkie produkty

Marketplace

Korzystaj z tysięcy aplikacji i narzędzi integracji do wszystkich Twoich produktów Atlassian

Close dropdown
Rozwiązania

Polecane

Zarządzanie pracą

Zarządzaj projektami i koordynuj cele we wszystkich zespołach, aby dostarczać wymagane elementy

Zarządzanie usługami IT

Umożliwiaj zespołom deweloperskim, ds. eksploatacji IT i biznesowym dostarczanie doskonałych usług z dużą szybkością

Agile i DevOps

Zarządzaj światowej klasy organizacją programistyczną Agile — od odkrywania po dostarczanie i eksploatację

Według wielkości zespołu

Enterprise

Małe firmy

Startup

Organizacje non-profit

Według funkcji zespołu

Tworzenie oprogramowania

IT

Finanse

Marketing

HR

Według branży

Handel detaliczny

Telekomunikacja

Usługi specjalistyczne

Administracja publiczna

Close dropdown
Zasoby

Uczenie się

Atlassian University

Porady strategiczne Atlassian

Dokumentacja produktu

Zasoby dla programistów

Wsparcie

Społeczność Atlassian

Wsparcie Atlassian

Atlassian Migration Program

Usługi Enterprise

Wsparcie dla partnerów

Zakup licencji

Łączność

O nas

Kariera

Blog Work Life

Wydarzenia

Close dropdown
Search
Wypróbuj teraz
Toggle menu
Close search

Poziomy ważności zgłoszeń dotyczących bezpieczeństwa

Źródła wiedzy o lukach w zabezpieczeniach

  • Zgłoszenia ze skanerów zabezpieczeń, np. przesyłane przez Nexpose, Cloud Conformity, Snyk
  • Zgłoszenia błędów wykrytych przez badaczy zabezpieczeń za pośrednictwem platformy Bugcrowd
  • Luki w zabezpieczeniach zgłaszane przez zespół ds. bezpieczeństwa w ramach przeglądów
  • Luki w zabezpieczeniach zgłaszane przez zespół Atlassian

Struktura i ocena ważności

Atlassian wykorzystuje Common Vulnerability Scoring System (CVSS) jako metodę oceny ryzyka związanego z zabezpieczeniami i ustalania priorytetu dla każdej wykrytej luki. CVSS jest standardowym wskaźnikiem branżowym dotyczącym luk w zabezpieczeniach. Więcej informacji na temat CVSS zawiera witryna FIRST.org.

Poziomy ważności

Zalecenia Atlassian dotyczące bezpieczeństwa obejmują poziom ważności. Taki poziom ważności jest oparty na naszym obliczonym samodzielnie wyniku oceny CVSS dla poszczególnych luk w zabezpieczeniach.

  • Krytyczny
  • Wysoki
  • Średni
  • Niski

W odniesieniu do CVSS w wersji 3 Atlassian stosuje następujący system oceny ważności:

ZAKRES PUNKTACJI CVSS W WERSJI 3
ZALECANY POZIOM WAŻNOŚCI

9,0–10,0

 Krytyczny

7,0–8,9

 Wysoki

4,0–6,9

 Średni

0,1–3,9

 Niski

W niektórych przypadkach Atlassian może wykorzystać dodatkowe czynniki niezwiązane z oceną CVSS, aby określić poziom ważności luki. Za takim podejściem przemawia specyfikacja CVSS v3.1:

Wskazówka eksperta:

Konsumenci mogą wykorzystywać informacje CVSS jako dane wejściowe do organizacyjnego procesu zarządzania lukami w zabezpieczeniach, który dodatkowo uwzględnia również czynniki niebędące elementem CVSS w celu uszeregowania zagrożeń dla infrastruktury technologicznej i podejmowania świadomych decyzji naprawczych. Takie czynniki mogą obejmować: liczbę klientów korzystających z danej linii produktów, straty pieniężne spowodowane naruszeniem, zagrożenia dla życia lub mienia bądź publiczne nastroje w odniesieniu do szeroko nagłośnionych luk w zabezpieczeniach. Wykraczają one poza zakres CVSS.

W przypadkach, w których Atlassian zdecyduje się przyjąć takie podejście, wraz z ujawnieniem luki w zabezpieczeniach opiszemy dodatkowe czynniki, jakie zostały uwzględnione oraz przyczynę ich uwzględnienia.

Poniżej znajduje się kilka przykładów luk w zabezpieczeniach, które można powiązać z konkretnym poziomem ważności. Należy pamiętać, że ta ocena nie uwzględnia szczegółów Twojej instalacji i ma charakter wyłącznie poglądowy.

Poziom ważności: krytyczny

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający krytycznemu poziomowi ważności, zwykle wykazują większość z opisanych poniżej cech:

  • Wykorzystanie luki w zabezpieczeniach prawdopodobnie skutkuje naruszeniem serwerów lub urządzeń infrastrukturalnych na poziomie root.
  • Wykorzystanie luki przebiega zwykle w prosty sposób w tym sensie, że sprawca ataku nie potrzebuje żadnych specjalnych poświadczeń uwierzytelniających ani wiedzy na temat poszczególnych ofiar, nie musi nakłaniać użytkownika docelowego, na przykład stosując strategie właściwe dla inżynierii społecznej, do wykonywania żadnych specjalnych funkcji.

W przypadku krytycznych luk w zabezpieczeniach zaleca się możliwie jak najszybsze zainstalowanie poprawki lub uaktualnienia, chyba że podjęto inne środki eliminujące zagrożenie. Takim środkiem eliminującym zagrożenie może być na przykład uniemożliwienie dostępu do instalacji za pośrednictwem Internetu.

Poziom ważności: wysoki

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający wysokiemu poziomowi ważności, zwykle wykazują niektóre z opisanych poniżej cech:

  • Luka jest trudna do wykorzystania.
  • Wykorzystanie luki może doprowadzić do uzyskania podwyższonych uprawnień.
  • Wykorzystanie luki może spowodować znaczną utratę danych lub przestoje.

Poziom ważności: średni

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający średniemu poziomowi ważności, zwykle wykazują niektóre z opisanych poniżej cech:

  • Luki w zabezpieczeniach, które wymagają od sprawcy ataku manipulowania poszczególnymi ofiarami za pomocą taktyk inżynierii społecznej.
  • Luki narażające na ataki typu „DoS”, które są trudne do przygotowania.
  • Exploity wymagające od sprawcy ataku dostępu do sieci ofiary.
  • Luki w zabezpieczeniach, których wykorzystanie zapewnia tylko bardzo ograniczony dostęp.
  • Luki w zabezpieczeniach, których wykorzystanie wymaga uprawnień użytkownika.

Poziom ważności: niski

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający niskiemu poziomowi ważności, mają zazwyczaj bardzo niewielki wpływ na działalność organizacji. Wykorzystanie takich luk wymaga zazwyczaj dostępu do systemu na poziomie lokalnym lub fizycznym. Poziom ważności luk w kodzie innych firm nieosiągalnych z poziomu kodu Atlassian może zostać obniżony do niskiego poziomu.

Oś czasu działań naprawczych

Atlassian wyznacza docelowe poziomy świadczenia usług dotyczące usuwania luk w zabezpieczeniach na podstawie poziomu ważności problemu z zabezpieczeniami i dotkniętego produktu. Zdefiniowaliśmy ramy czasowe naprawiania problemów związanych z bezpieczeństwem zgodnie z naszymi zasadami usuwania błędów zabezpieczeń.

Ramy czasowe działań naprawczych w trybie przyspieszonym dotyczą:

  • Wszystkich produktów chmurowych Atlassian
  • Jira Align (zarówno w wersji Cloud, jak i w wersjach samodzielnie zarządzanych)
  • Każdego innego oprogramowania lub systemu zarządzanego przez Atlassian lub działającego w infrastrukturze Atlassian

Ramy czasowe działań naprawczych w trybie wydłużonym dotyczą:

  • Wszystkich samodzielnie zarządzanych produktów Atlassian
    • Są to produkty instalowane przez klienta w systemach zarządzanych przez klienta
    • Obejmuje to aplikacje serwerowe, dla centrów danych, komputerowe i mobilne firmy Atlassian

Ramy czasowe działań naprawczych CVSS

Poziomy ważności
Czas usuwania błędów w trybie przyspieszonym
Czas usuwania błędów w trybie wydłużonym

Krytyczny

 W ciągu 2 tygodni od weryfikacji W ciągu 90 dni od weryfikacji

Wysoki

 W ciągu 4 tygodni od weryfikacji W ciągu 90 dni od weryfikacji

Średni

 W ciągu 6 tygodni od weryfikacji W ciągu 90 dni od weryfikacji

Niski

 W ciągu 25 tygodni od weryfikacji W ciągu 180 dni od weryfikacji