Уровни опасности задач, связанных с безопасностью
Источники информации об уязвимостях
- Заявки от сканеров безопасности, таких как Nexpose, Cloud Conformity, Snyk
- Уязвимости, обнаруженные исследователями по вопросам безопасности с помощью Bugcrowd в рамках Программы вознаграждения за найденные ошибки
- Уязвимости в защите, о которых сообщает команда безопасности по результатам проверок
- Уязвимости в защите, о которых сообщают сотрудники Atlassian
Система и оценка уровней опасности
Atlassian применяет общую систему оценки уязвимостей (Common Vulnerability Scoring System, CVSS) для оценки рисков безопасности и приоритизации обнаруженных уязвимостей. CVSS — это стандартный показатель уязвимости. Подробнее о CVSS см. на сайте FIRST.org.
Уровни опасности
В советах Atlassian по обеспечению безопасности выделено несколько уровней опасности. В основе уровней лежат рассчитанные нами баллы CVSS для каждой конкретной уязвимости.
- Критический
- Высокий
- Средняя
- Низкий
Для CVSS версии 3 компания Atlassian использует следующую систему оценки опасности.
ДИАПАЗОН БАЛЛОВ CVSS ВЕРСИИ 3 | УРОВЕНЬ ОПАСНОСТИ |
|---|---|
| 9,0–10,0 | Критический |
| 7,0–8,9 | Высокий |
| 4,0–6,9 | Средняя |
| 0,1–3,9 | Низкий |
В некоторых случаях для определения уровня серьезности уязвимости компания Atlassian может использовать дополнительные факторы, не связанные с оценкой CVSS. Этот подход поддерживается спецификацией CVSS v3.1:
Потребители могут использовать информацию CVSS в качестве входных данных в процессе управления уязвимостями организации, который также учитывает факторы, не относящиеся к CVSS, для ранжирования угроз в технологической инфраструктуре и принятия обоснованных решений по их устранению. Такие факторы могут включать: количество клиентов в линейке продукта, убытки в денежном исчислении вследствие нарушения безопасности, угрозы жизни или собственности, а также отношение общественности к уязвимостям, получившим большой резонанс. Перечисленные факторы не входят в сферу применения CVSS.
Когда Atlassian прибегает к данному подходу, в публичном сообщении об уязвимости описываются учитываемые дополнительные факторы и причины их использования.
Ниже приведены примеры уязвимостей, которые могут привести к указанным уровням опасности. Помните, что данная оценка не учитывает особенностей вашего развертывания и может использоваться только в качестве справочной информации.
Уровень опасности: критический
Уязвимости, оцениваемые как критические, обычно имеют большинство следующих характеристик.
- Использование этой уязвимости может привести к компрометации сервера или устройств инфраструктуры на уровне root.
- Прямое применение, т. е. злоумышленнику не требуются специальные учетные данные для аутентификации или сведения об отдельных жертвах, ему не нужно убеждать целевого пользователя, например с помощью социальной инженерии, выполнить какие-либо специальные действия.
При обнаружении критических уязвимостей рекомендуется как можно скорее установить исправление или выполнить обновление, если вы не можете принять других мер по смягчению последствий. Например, смягчающим фактором может стать недоступность вашего развертывания из Интернета.
Уровень опасности: высокий
Уязвимости, попадающие в диапазон баллов, характеризующих высокий уровень опасности, обычно имеют некоторые из следующих характеристик.
- Уязвимость сложно использовать.
- Компрометация может привести к повышению привилегий.
- Эксплуатация уязвимости может привести к серьезным потерям данных или длительной неработоспособности.
Уровень опасности: средний
Уязвимости, попадающие в диапазон баллов, характеризующих средний уровень опасности, обычно имеют некоторые из следующих характеристик.
- Уязвимости, требующие от злоумышленника манипулирования отдельными жертвами с помощью приемов социальной инженерии.
- Уязвимости типа «отказ в обслуживании», которые сложно организовать.
- Спекуляции, требующие, чтобы злоумышленник находился в той же локальной сети, что и жертва.
- Уязвимости, которые при компрометации предоставляют только очень ограниченный доступ.
- Уязвимости, для успешной эксплуатации которых требуются права пользователя.
Уровень опасности: низкий
Уязвимости низкого уровня серьезности обычно практически не влияют на деятельность организации. Для использования таких уязвимостей, как правило, требуется локальный или физический доступ к системе. До этого уровня серьезности могут быть понижены уязвимости в коде сторонних разработчиков, недоступные из кода Atlassian.
Сроки устранения уязвимостей
Компания Atlassian задает цели по уровню обслуживания для устранения уязвимостей в защите в зависимости от уровня опасности и затронутого продукта. Мы определили сроки устранения проблем безопасности в соответствии с нашей политикой исправления ошибок безопасности.
Сжатые сроки устранения проблем распространяются:
- на все облачные продукты Atlassian;
- Jira Align (как облачную версию, так и версию с самостоятельным управлением);
- любое другое программное обеспечение или систему, которыми управляет Atlassian или которые работают в инфраструктуре Atlassian.
Более длительные сроки устранения проблем распространяются:
- на все продукты Atlassian с самостоятельным управлением:
- продукты, которые устанавливаются клиентами в управляемых клиентами системах;
- сюда входят приложения Atlassian версий Server и Data Center, а также настольные и мобильные приложения.
Сроки устранения уязвимостей по CVSS
Уровни опасности | Укороченные временные отрезки | Расширенные временные отрезки |
|---|---|---|
| Критический | В течение 2 недель после проведения проверки | В течение 90 дней после проведения проверки |
| Высокий | В течение 4 недель после проведения проверки | В течение 90 дней после проведения проверки |
| Средняя | В течение 6 недель после проведения проверки | В течение 90 дней после проведения проверки |
| Низкий | В течение 25 недель после проведения проверки | В течение 180 дней после проведения проверки |