Gyurkity Péter
Egységes rendszer a sebezhetőségek tanulmányozására
A biztonsági és válaszadási megoldások globális fórumaként szolgáló FIRST olyan egységes megoldást sürget, amely pontozásos rendszerben tartaná nyilván a szoftverek sebezhetőségeit.
A tervek szerint a Forum of Incident Response and Security Teams hétfőn kezdi meg új hadjáratát az új, egységes rendszer elfogadtatásáért, amely a Common Vulnerability Scoring System (CVSS) nevet kapta. Véleményük szerint ez könnyű és gyorsan megvalósítható rendszert testesít meg, amely mind a felhasználók, mind a vállalatok számára könnyebbséget jelentene, hiszen leegyszerűsödne a szoftversebezhetőségek bejegyzése, és az általuk jelentett veszély felmérése. A 170 szervezetet tömörítő fórum ezért a minél gyorsabb alkalmazás mellett érvel.
"Szeretnénk némi rendet teremteni a jelenlegi káoszban. A végső célunk, hogy az új rendszer segítségével a felhasználók kellőkép gyorsan és megfelelően reagáljanak a felbukkanó sebezhetőségekre" - jelentette ki a Cnet magazinnak adott válaszában Mike Caudill, a FIRST első embere. A rendszer mintegy másfél éve áll szolgálatban, ám kizárólag azon vállalatok számára, amelyek a tesztek indulásakor jelezték együttműködési hajlandóságukat.
A CVSS keretében 1-10 közötti besorolással, vagyis pontrendszerben értékelhetjük az egyes sebezhetőségeket. Ez eltér a jelenleg használatos megoldásoktól, amelyek legyakrabban a súlyos, kritikus, illetve a közepes jelölést használják, legyen szó akár a Microsoft, a Symantec, vagy a többi biztonsági és szoftvercég saját rendszeréről. Bármennyire is egységesnek tűnik azonban ez a megoldás, a FIRST szerint nem szolgálja kellőképp a vállalat és a felhasználók érdekeit. A pontozásos rendszer megkönnyítené a fejlesztést, és segítene meghatározni a javítások fontossági sorrendjét. A CVSS emellett nemcsak a hiba súlyosságát venné figyelembe, hanem a kártékony kód elérhetőségét, illetve a javítások meglétét és azok hatékonyságát.
"Ez lehetővé tenné a vállalatoknak, hogy gyorsan összehasonlítsák a különböző fejlesztőktől érkező, eltérő operációs rendszereken működő, és egészen más feladatokat végző szoftverek hibáit és a veszélyességi fokot" - hangsúlyozta Caudill. Hozzátette, hogy a Cisco már most is mellékeli a CVSS besorolást a MySDN oldalán, igaz, jelentéseiben még nem tünteti fel azokat. Nagy könnyebbséget jelent azonban, hogy több biztonsági cég - így a Symantec, az Internet Security Systems és a Qualys - is előrelépésnek tartja a kezdeményezést, és már korábban kilátásba helyezték annak alkalmazását. A Microsoft egyelőre marad saját jól bevált rendszerénél, ám Kevin Kean, a vállalat biztonsági válaszadó központjának igazgatója elmondta, hogy a felhasználók igénye esetén hajlandók átvenni a CVSS-t.
A tervek szerint a Forum of Incident Response and Security Teams hétfőn kezdi meg új hadjáratát az új, egységes rendszer elfogadtatásáért, amely a Common Vulnerability Scoring System (CVSS) nevet kapta. Véleményük szerint ez könnyű és gyorsan megvalósítható rendszert testesít meg, amely mind a felhasználók, mind a vállalatok számára könnyebbséget jelentene, hiszen leegyszerűsödne a szoftversebezhetőségek bejegyzése, és az általuk jelentett veszély felmérése. A 170 szervezetet tömörítő fórum ezért a minél gyorsabb alkalmazás mellett érvel.
"Szeretnénk némi rendet teremteni a jelenlegi káoszban. A végső célunk, hogy az új rendszer segítségével a felhasználók kellőkép gyorsan és megfelelően reagáljanak a felbukkanó sebezhetőségekre" - jelentette ki a Cnet magazinnak adott válaszában Mike Caudill, a FIRST első embere. A rendszer mintegy másfél éve áll szolgálatban, ám kizárólag azon vállalatok számára, amelyek a tesztek indulásakor jelezték együttműködési hajlandóságukat.
A CVSS keretében 1-10 közötti besorolással, vagyis pontrendszerben értékelhetjük az egyes sebezhetőségeket. Ez eltér a jelenleg használatos megoldásoktól, amelyek legyakrabban a súlyos, kritikus, illetve a közepes jelölést használják, legyen szó akár a Microsoft, a Symantec, vagy a többi biztonsági és szoftvercég saját rendszeréről. Bármennyire is egységesnek tűnik azonban ez a megoldás, a FIRST szerint nem szolgálja kellőképp a vállalat és a felhasználók érdekeit. A pontozásos rendszer megkönnyítené a fejlesztést, és segítene meghatározni a javítások fontossági sorrendjét. A CVSS emellett nemcsak a hiba súlyosságát venné figyelembe, hanem a kártékony kód elérhetőségét, illetve a javítások meglétét és azok hatékonyságát.
"Ez lehetővé tenné a vállalatoknak, hogy gyorsan összehasonlítsák a különböző fejlesztőktől érkező, eltérő operációs rendszereken működő, és egészen más feladatokat végző szoftverek hibáit és a veszélyességi fokot" - hangsúlyozta Caudill. Hozzátette, hogy a Cisco már most is mellékeli a CVSS besorolást a MySDN oldalán, igaz, jelentéseiben még nem tünteti fel azokat. Nagy könnyebbséget jelent azonban, hogy több biztonsági cég - így a Symantec, az Internet Security Systems és a Qualys - is előrelépésnek tartja a kezdeményezést, és már korábban kilátásba helyezték annak alkalmazását. A Microsoft egyelőre marad saját jól bevált rendszerénél, ám Kevin Kean, a vállalat biztonsági válaszadó központjának igazgatója elmondta, hogy a felhasználók igénye esetén hajlandók átvenni a CVSS-t.