چگونه آسیبپذیری در راورو ارزش گذاری میشود؟
(شماره نسخه ۲.۰۷) عدم ارزشگذاری مناسب همواره یکی از بزرگترین چالشها و نقاط تنشزا در فرآیند ارایه گزارش آسیبپذیری میان شرکتها/سازمانها و گزارش دهندهها بوده است. از این موضوع میتوان به عنوان یکی از مهمترین دلایلی نامبرد که باعث میشود تا نفودگران داخلی و خارجی تمایلی به ارایه گزارش آسیبپذیری به شرکتها/سازمانهای داخلی نداشته باشند.
تیم راورو بر اساس تجربه و با بهرهگیری از استانداردهای معتبر جهانی، اقدام به ارایه روشی منحصر بفرد جهت ارزشگذاری با توجه به قوانین و شرایط فضای سایبری ایران کرده است. ما در جهت ارایه سیستمی جامع و فراگیر، از معیارها و گروهبندیهای زیر در فرآیند محاسبه خود استفاده کردهایم.
• گروهبندی انواع آسیبپذیری • گروهبندی تاثیرگذاری آسیبپذیری بر روی هدف • گروهبندی شرکتها و سازمانها بر اساس ارزش مجموعه(برند)
توجه : اعداد و مبلغهای اعلام شده در این مطلب صرفا برای مثال است و بنا به صلاحدید بر اساس بودجه و نیاز هر سازمان/شرکت قابل محاسبه میباشد.
روش محاسبه ارزش گذاری بر روی آسیب پذیری روش محاسبه ارزشگذاری بر روی آسیبپذیری با مطالعه و تحلیل بر روی مدلهای موفق جهانی و همچنین بر اساس نیازسنجی انجام شده در فضای سایبری ایران بر مبنای مولفههای تاثیرگذار تعیین شده است. در این روش، ارزشگذاری آسیبپذیری اعلام شده بر اساس سه مولفه: نوع آسیبپذیری، تاثیرگذاری آسیبپذیری، ارزش برند(مجموعه هدف) محاسبه میگردد. بنابر نوع آسیبپذیری گزارش شده، مقدار قیمت پایه بر اساس جدول۱(گروه بندی انواع آسیبپذیریها) استخراج میشود، سپس با مشخص کردن محدودهی اثرگذاری آسیبپذیری، ضریب تاثیرگذاری بر اساس فرمول۲(فرمول محاسبه ضریب تاثیر گذاری) محاسبه میگردد، بعلاوه بر اساس ارزش مجموعه هدف، مقدار ضریب ارزش مجموعه بر اساس جدول۳(گروه بندی شرکتها و سازمانها بر اساس ارزش مجموعه) استخراج میگردد. در نهایت ارزش نهایی بر اساس فرمول۱(محاسبه ارزشگذاری بر روی آسیبپذیری) قابل محاسبه میباشد.
فرمول ۱ محاسبه ارزشگذاری بر روی آسیبپذیری در ادامه شرح هر کدام از گروه بندیها و نحوهی محاسبه آنها به تفکیک آمده است.
۱- گروه بندی انواع آسیب پذیریها تیم راورو همواره در تلاش است تا همزمان با استانداردهای جهانی، بروزترین سیستم ارزیابی برای طبقهبندی انواع آسیبپذیریها را ارائه دهد. بر این اساس گروه بندی انوع آسیبپذیریها با کمک از مدل تقسیم بندی VRT انجام شده است و شامل چهار گروه کلی میباشد. VRT با توجه به استانداردهای متفاوتی از جمله OWASP طراحی شده و به طور مداوم در حال پیشرفت و بروز رسانی میباشد. نسخه ارزشگذاری آسیبپذیری تهیه شده، شامل تمامی آسیبپذیریها از جمله آسیبپذیریهایی با سطح امنیتی کم تا سطح حساس و حتی در زمینههای جدید IT مانند صنعت خودرو میباشد. اولویتهای VRT بدون توجه به جزییات خاصی تعریف شده است، بنابراین ممکن است پیچیدگی و جزییات برنامه، محدودیتها در پرداخت پاداش و یا تاثیرگذاری غیر معمول باعث نیاز به وجود سیستم رتبهبندی دیگری شود. ما برای حل این محدودیتها از ۲ ضریب دیگر برای ارزش گذاری نهایی استفاده کردهایم تا بر اساس سیستم ارزشگذاری منحصر بفردمان بتوانیم به پاداشی شفاف، درخور و شایسته به ازای هر گزارش آسیبپذیری برسیم. قیمت پایه انواع آسیبپذیریها بر اساس درجه حساسیت آسیبپذیری در جدول ۱ ارایه شده است.
توجه: مقادیر پیشفرض دسته بندی آسیبپذیریها بر اساس مدل VRT میباشد. امکان تغییر و یا تعریف دستهبندیهای جدید بر اساس نیازهای شرکت/سازمان نیز وجود دارد.
جدول ۱- گروه بندی انواع آسیبپذیریها
۲- گروه بندی تاثیرگذاری آسیبپذیری بر روی هدف برای تعیین میزان تاثیرگذاری آسیبپذیری در میدان علاوه بر استفاده از استاندارد CVSS از معیار منحصر بفرد برآورد تخریب استفاده شده است. در ادامه به شرح این دو بخش خواهیم پرداخت.
استاندارد CVSS یا سیستم امتیازدهی آسیبپذیری عام، یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیبپذیری کامپیوتری است. این سیستم سعی میکند با اختصاص دادن یک امتیاز به میزان شدت آسیبپذیری، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیبپذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی دارای چند معیار از جمله سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیبپذیری میباشد. امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایه CVSS برای تعیین میزان شدت آسیبپذیری رجوع میکنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیبپذیری سیستمها در یک سازمان هستند. آسیبپذیری ها در CVSS در 3 گروه Base، Temporal و Environmental از نظر کمی و کیفی بررسی میشوند.
• مقدار Base: نشان دهنده کیفیت اصلی و ذاتی آسیبپذیری است که با گذر زمان و یا محیطهای مختلف تغییر نمیکند. • مقدار Temporal: نشان دهنده خصوصیات آسیبپذیری است که با گذر زمان تغییر میکند. • مقدار Environmental: نشان دهنده خصوصیات آسیبپذیری است که با توجه به محیط کاربر متغیر خواهد بود.
امتیاز CVSS میتواند عددی بین صفر تا ۱۰ باشد.
برآورد تخریب:
فرآیند ارزیابی برآورد تخریب، ترکیبی از مقدار معیارهای استاندارد میباشد که با توجه به سه اصل CIA و فرمول منحصر بفرد راورو محاسبه میگردد. در این فرآیند بررسی میشود که نفوذگر با آسیبپذیری بدست آمده در سامانه هدف تا چه حد میتوانسته به محرمانگی، یکپارچگی و دسترسی پذیری اطلاعات هدف آسیب برساند. برآورد تخریب بر اساس ارزیابی پنج گانه تاثیرگذاری آسیبپذیری بر روی هدف ایجاد شده است، که در جدول۲ آمده است. مقدار پیشفرض برآورد تخریب صفر در نظر گرفته شده است و هر آسیبپذیری میتواند بر هیچ یا تمام حالات تاثیر بگذارد. در صورت تاثیر گذاشتن به ازای هر حالت به برآورد تخریب یک واحد اضافه میشود و در غیر اینصورت برآورد تخریب تغییر نمیکند.
جدول۲- محاسبه برآورد تخریب برآورد تخریب میتواند عددی بین صفر تا پنج باشد.
نحوهی محاسبه ضریب تاثیرگذاری:
ضریب تاثیرگذاری شامل دو متغیر برآورد تخریب و امتیاز CVSS میباشد و بر اساس فرمول زیر قابل محاسبه است.
فرمول ۲- محاسبه ضریب تاثیرگذاری ضریب تاثیرگذاری میتواند عددی بین صفر تا پنج باشد.
۳- گروه بندی شرکتها و سازمانها بر اساس ارزش مجموعه(برند) در این ارزیابی، شرکتها و سازمانها شامل پنج گروه کلی میشوند. این تقسیم بندی با توجه به ارزش برند، براساس معیارهایی از جمله استاندارد IMI جایگاه وب سایت، رتبه بازدید در پایگاه الکسا، تعداد کاربران و... میباشد. ضریب ارزش برند، عددی است بین ۰/۱ تا ۵ که به واحدهای ۰/۱ تقسیم میگردد. برای مثال ضریب اختصاص داده شده به هر گروه در جدول ۳ ارایه شده است.
توجه : ضریب ارزش مجموعخ صرفا جهت کمک به فرآیند ارزش گذاری تعریف میشود و بر روی وبسایت نمایش داده نمیشود. همچنین امکان تعیین بر اساس بودجه و یا نیاز هر شرکت/سازمان حتی خارج از دسته بندی جدول نیز فراهم میباشد.
جدول ۳ - گروه بندی شرکتها و سازمانها بر اساس ارزش مجموعه ضریب ارزشگذاری مجموعه میتواند عددی بین ۰/۱ تا ۵ باشد.
تیم راورو با در دسترس قرار دادن منبع و روش محاسبه ارزشگذاری آسیبپذیری بصورت شفاف برای افراد و سازمانها این امکان را فراهم سازد تا ارزش هر آسیبپذیری براحتی قابل محاسبه باشد. همچنین شما میتوانید آخرین تغییرات را در بلاگ سامانه راورو مشاهده کنید و نظرات خود را در شبکههای اجتماعی با ما در میان بگذارید.