مهم‌ترین عوامل در الویت‌بندی آسیب‌پذیری‌ها چیست؟

امتیاز CVSS در واقع استانداردی برای اندازه‌گیری شدت آسیب‌پذیری‌هاست. اما جالب است بدانید که این استاندارد، بهترین روش اندازه‌گیری شدت آسیب‌پذیری نیست. طبق آمار رسمی مایکروسافت، در سال ۲۰۱۹، ۷۸۷ مورد آسیب‌پذیری برای محصولات این شرکت ثبت شده که از این تعداد ۷۳۱ مورد درجه شدت ۷ به بالا داشتند، اما تنها درصد کمی از آن‌ها در حملات سایبری مورد استفاده قرار گرفتند. به عبارت دیگر اگر ملاک تصمیم‌گیری ما تنها بر اساس امتیاز CVSS باشد، ممکن است تمام تلاش و تمرکزمان را برای ترمیم آسیب‌پذیری‌هایی بگذاریم که هرگز مورد سوءاستفاده قرار نمی‌گیرند و از مواردی که واقعا نیاز به توجه فوری دارند غافل بمانیم. پس امتیاز CVSS به تنهایی معیار خوبی برای تصمیم‌گیری نیست، اما همراه با چند عامل دیگر که در این مقاله به آن‌ها اشاره خواهیم کرد، می‌توانید آسیب‌پذیری‌ها را به طور موثر اولویت‌بندی و ارزیابی کنید. با ما همراه باشید.

بر اساس استاندارد CVSS، به طور کلی به آسیب‌پذیری‌ها امتیازی بین ۱ تا ۱۰ اختصاص داده می‌شود که عدد ۱۰ نشان‌دهنده بیشترین شدت است. اما این اعداد به هیچ‌وجه ملاک خوبی برای اولویت‌بندی آسیب‌پذیری نیستند و برای محفاظت از سازمان نباید تنها به این امتیازات اکتفا کرد. متاسفانه امتیاز CVSS در حال حاضر به عنوان یک استاندارد صنعتی محسوب می‌شود و سازمان‌ها برای اولویت‌بندی آسیب‌پذیری‌ها به این چارچوب متکی شده‌اند. برای مثال در میان سازمان‌ها اینطور باب شده است که امتیاز بالاتر از ۷ را به عنوان یک آسیب‌پذیری پرخطر در نظر بگیرند.

همانطور که در مقدمه اشاره کردیم، از میان ۷۸۷ آسیب‌پذیری منتشر شده توسط مایکروسافت در سال ۲۰۱۹، ۷۳۱ مورد درجه شدت ۷ به بالا داشتند، اما درصد کمی از آن‌ها در حملات سایبری مورد استفاده قرار گرفته‌اند. دلیلش این است که مهاجمین از آسیب‌پذیری‌هایی استفاده می‌کنند که هم ساده باشند و هم برای آن‌ها منفعت داشته باشد. به علاوه، در دسترس بودن کد PoC برای آسیب‌پذیری هم در این انتخاب بی‌تاثیر نیست.

ایرادی که در اینجا وجود دارد این است که دو هفته پس از کشف آسیب‌پذیری، امتیاز CVSS متناسب با آن تعیین می‌شود، اما بعدا این امتیاز هرگز اصلاح نخواهد شد. از طرف دیگر ممکن است آسیب‌پذیری‌های که درجه اهمیت پایین‌تری دارند مورد بهره‌برداری مهاجمین قرار بگیرند، اما هیچ‌گاه در امتیاز CVSS لحاظ نگردند.

بنابراین سازمان‌ها برای مدیریت آسیب‌پذیری‌هایشان باید علاوه بر امتیاز CVSS، عوامل دیگری را نیز در نظر بگیرند. مثلا عمر آسیب‌پذیری، در دسترس بودن کد اکسپلویت برای آن، وضعیت سوءاستفاده از آسیب‌پذیری، تعداد دارایی‌هایی که تحت تاثیر قرار می‌گیرند، اهمیت دارایی‌ها، تاثیرات آسیب‌پذیری و در دسترس بودن وصله امنیتی.

یکی از عوامل تاثیرگذار در تعیین اهمیت آسیب‌پذیری‌ها، در دسترس بودن کد اکسپلویت برای آن‌هاست. این آسیب‌پذیری‌ها بدون در نظر گرفتن درجه شدت آن‌ها، نیاز به توجه فوری دارند. چون اگر کد اکسپلویت آن‌ها در دسترس عموم قرار بگیرد، هرکسی می‌تواند با بهره‌برداری از آن‌ها، به سازمان شما نفوذ کند. تیم‌های امنیتی نیز باید همواره در جریان اخبار آخرین آسیب‌پذیری‌های افشا شده و فعالیت مهاجمین قرار بگیرند و تمام تلاش خود را برای رفع این آسیب‌پذیری‌ها انجام دهند.

برخی از دارایی‌ها مهم‌تر از بقیه هستند. از آنجایی که سرویس‌دهنده‌های وب در لبه شبکه و بر روی بستر اینترنت قرار دارند، اهداف ساده‌ای برای مهاجمین هستند. سرورهای بانک‌های اطلاعاتی نیز به دلیل محتوای ارزشمندی که دارند، نسبت به سایر دارایی‌ها از اولویت بالاتری برخودار هستند چراکه حتی کم‌اهمیت‌ترین آسیب‌پذیری در این سرورها، ممکن است فاجعه بار باشد. ضمنا اگر یک آسیب‌پذیری با درجه اهمیت متوسط به بالا بر روی اکثر دارایی‌های سازمان مشاهده شد، بهتر است بلافاصله وصله گردد تا ریسک کلی آن کاهش یابد. در چنین مواردی معمولا ابزارهای مدیریت آسیب‌پذیری برای نصب گروهیِ وصله‌های امنیتی بسیار کارآمد هستند.

اگر یک آسیب‌پذیری برای مدت طولانی در سازمان شما وجود داشته باشد، احتمالا باید در سیاست‌های امنیتی خود تجدید نظر کنید. به محض انتشار جزئیات یک آسیب‌پذیری، شمارش معکوس برای سوءاستفاده از آن آغاز می‌شود. همچنین یک آسیب‌پذیری که در ابتدا کم‌اهمیت به نظر می‌رسد، ممکن است با گذشت زمان بسیار خطرناک باشد. چراکه ممکن است مهاجمان برنامه‌هایی را توسعه دهند که از این آسیب‌پذیری سوءاستفاده کنند. پس به عنوان یک اصل، بهتر است ابتدا آسیب‌پذیری‌هایی که اکسپلویت آن‌ها به صورت عمومی منتشر شده و یا در حال اکسپلویت شدن هستند را بلافاصله ترمیم کنید و سپس سراغ آسیب‌پذیری‌های بحرانی بروید. ضمنا آسیب‌پذیری‌هایی که درجه اهمیت «مهم» دارند سخت‌تر مورد بهره‌برداری قرار می‌گیرند، اما به عنوان یک قاعده کلی باید ظرف ۳۰ روز ترمیم شوند.

هرچند آسیب‌پذیری‌های ساده‌تر، سریعتر مورد بهره‌برداری قرار می‌گیرند، اما قابلیت اکسپلویت شدنِ یک آسیب‌پذیری هم لزوما دلیل بر بروز حمله نیست. در واقع مهاجمین تنها به دلیل اینکه یک آسیب‌پذیری قابل اکسپلویت شدن است آن را انتخاب نمی‌کنند، بلکه آن‌ها تنها به اهداف خود فکر می‌کنند.

پیامدهای یک آسیب‌پذیریِ ترمیم نشده می‌تواند شامل حملات انکار سرویس (DoS)، اجرای کد مخرب از راه دور، تخریب حافظه، افزایش سطح دسترسی، حمله XSS و افشای اطلاعات حساس باشد. ترسناک‌ترین موارد آسیب‌پذیری‌هایی هستند که با استفاده از آن‌ها میتوان بدافزار (کرم) تولید کرد که بدون نیاز به کاربر می‌توانند در سطح شبکه منتشر شوند.

ترمیم آسیب‌پذیری‌ها همواره یکی از موضوعات اصلی و البته از چالش‌های اساسی سازمان‌ها برای مقابله با حملات سایبری است. درک صحیح آسیب‌پذیری‌ها و ترمیم به موقع آن‌ها نیازمند شناخت عوامل موثر در تعیین شدت آسیب‌پذیری‌هاست. همانطور که در این مقاله اشاره شد، علاوه بر استاندارد CVSS عوامل دیگری از جمله عمر آسیب‌پذیری، در دسترس بودن کد اکسپلویت، وضعیت سوءاستفاده از آسیب‌پذیری، تعداد دارایی‌هایی که تحت تاثیر قرار می‌گیرند، اهمیت دارایی‌ها، تاثیرات آسیب‌پذیری و در دسترس بودن وصله امنیتی بر تعیین شدت و اهمیت آسیب‌پذیری تاثیرگذارند. بنابراین باتوجه به آسیب‌پذیری‌های متعدد در محصولات نرم‌افزاری و سخت‌افزاری مختلف، بهترین راهکار، اتخاذ یک سیاست درست برای ارزیابی آسیب‌پذیری‌ها و مدیریت وصله‌هاست. آرمان داده پویان با بهره‌مندی از تیم متخصص و با تجربه آماده ارائه خدمات ارزشمندی در این راستا به سازمان شما می‌باشد.

آرمان داده پویان ارائه‌دهنده راهکار قدرتمند GFI LanGuard برای کشف و مدیریت آسیب‌پذیری