Close

Poziomy ważności zgłoszeń dotyczących bezpieczeństwa


Poziomy ważności

Zalecenia Atlassian dotyczące bezpieczeństwa obejmują poziom ważności. Taki poziom ważności jest oparty na naszym obliczonym samodzielnie wyniku oceny CVSS dla poszczególnych luk w zabezpieczeniach. CVSS jest przyjętym w branży standardowym wskaźnikiem obecności luk w zabezpieczeniach. Więcej informacji na temat CVSS zawiera witryna First.org.

  • Krytyczny
  • Wysokie
  • Średnio
  • Niski

W odniesieniu do CVSS w wersji 3 Atlassian stosuje następujący system oceny ważności:

ZAKRES PUNKTACJI CVSS W WERSJI 3
ZALECANY POZIOM WAŻNOŚCI

0,1–3,9

Niski

4,0–6,9

Średnio

7,0–8,9

Wysokie

9,0–10,0

Krytyczny

W niektórych przypadkach Atlassian może wykorzystać dodatkowe czynniki niezwiązane z oceną CVSS, aby określić poziom ważności luki. Za takim podejściem przemawia specyfikacja CVSS v3.1:

Wskazówka eksperta:

Konsumenci mogą wykorzystywać informacje CVSS jako dane wejściowe do organizacyjnego procesu zarządzania lukami w zabezpieczeniach, który dodatkowo uwzględnia również czynniki niebędące elementem CVSS w celu uszeregowania zagrożeń dla infrastruktury technologicznej i podejmowania świadomych decyzji naprawczych. Takie czynniki mogą obejmować: liczbę klientów korzystających z danej linii produktów, straty pieniężne spowodowane naruszeniem, zagrożenia dla życia lub mienia bądź publiczne nastroje w odniesieniu do szeroko nagłośnionych luk w zabezpieczeniach. Wykraczają one poza zakres CVSS.

W przypadkach, w których Atlassian zdecyduje się przyjąć takie podejście, wraz z ujawnieniem luki w zabezpieczeniach opiszemy dodatkowe czynniki, jakie zostały uwzględnione oraz przyczynę ich uwzględnienia.

Poniżej znajduje się kilka przykładów luk w zabezpieczeniach, które można powiązać z konkretnym poziomem ważności. Należy pamiętać, że ta ocena nie uwzględnia szczegółów Twojej instalacji i ma charakter wyłącznie poglądowy.

Poziom ważności: krytyczny

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający krytycznemu poziomowi ważności, zwykle wykazują większość z opisanych poniżej cech:

  • Wykorzystanie luki w zabezpieczeniach prawdopodobnie skutkuje naruszeniem serwerów lub urządzeń infrastrukturalnych na poziomie root.
  • Wykorzystanie luki przebiega zwykle w prosty sposób w tym sensie, że sprawca ataku nie potrzebuje żadnych specjalnych poświadczeń uwierzytelniających ani wiedzy na temat poszczególnych ofiar, nie musi nakłaniać użytkownika docelowego, na przykład stosując strategie właściwe dla inżynierii społecznej, do wykonywania żadnych specjalnych funkcji.

W przypadku krytycznych luk w zabezpieczeniach zaleca się możliwie jak najszybsze zainstalowanie poprawki lub uaktualnienia, chyba że podjęto inne środki eliminujące zagrożenie. Takim środkiem eliminującym zagrożenie może być na przykład uniemożliwienie dostępu do instalacji za pośrednictwem Internetu.

Poziom ważności: wysoki

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający wysokiemu poziomowi ważności, zwykle wykazują niektóre z opisanych poniżej cech:

  • Luka jest trudna do wykorzystania.
  • Wykorzystanie luki może doprowadzić do uzyskania podwyższonych uprawnień.
  • Wykorzystanie luki może spowodować znaczną utratę danych lub przestoje.

Poziom ważności: średni

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający średniemu poziomowi ważności, zwykle wykazują niektóre z opisanych poniżej cech:

  • Luki w zabezpieczeniach, które wymagają od sprawcy ataku manipulowania poszczególnymi ofiarami za pomocą taktyk inżynierii społecznej.
  • Luki narażające na ataki typu „DoS”, które są trudne do przygotowania.
  • Exploity wymagające od sprawcy ataku dostępu do sieci ofiary.
  • Luki w zabezpieczeniach, których wykorzystanie zapewnia tylko bardzo ograniczony dostęp.
  • Luki w zabezpieczeniach, których wykorzystanie wymaga uprawnień użytkownika.

Poziom ważności: niski

Luki w zabezpieczeniach, które uzyskują wynik odpowiadający niskiemu poziomowi ważności, mają zazwyczaj bardzo niewielki wpływ na działalność organizacji. Wykorzystanie takich luk wymaga zazwyczaj dostępu do systemu na poziomie lokalnym lub fizycznym. Poziom ważności luk w kodzie innych firm nieosiągalnych z poziomu kodu Atlassian może zostać obniżony do niskiego poziomu.