¿Es "Discoverable = bajo" una razón aceptable para reducir el riesgo de una vulnerabilidad?

Navega tus respuestas
9

El modelo de riesgo DREAD obsoleto ( wikipedia ) enumera la capacidad de detección como un criterio para juzgar la gravedad de una vulnerabilidad . La idea es que algo que no se conoce públicamente y que es poco probable que descubra sin un conocimiento profundo de la aplicación en cuestión no necesita tanto pánico como, por ejemplo, algo con un CVE publicado (suponiendo que no haya prototipos de ataque de publicación, ya que eso sangra en la métrica de explotabilidad).

Observo que CVSS v3.0 no tiene una métrica para determinar la probabilidad de que la vulnerabilidad se descubra de forma independiente.

Wikipedia dice esto:

  

Debate de descubribilidad

     

Algunos expertos en seguridad creen que incluir el elemento "Descubrimiento" como la última D recompensa la seguridad a través de   oscuridad, por lo que algunas organizaciones se han movido a DREAD-D "DREAD   menos la escala D "(que omite la capacidad de detección) o siempre supone que   La capacidad de descubrimiento está en su máxima calificación.

Entonces, mi pregunta es básicamente: aparte de la obvia "la seguridad por la oscuridad es mala", ¿cuáles son los argumentos a favor y en contra de usar la capacidad de detección como parte de un análisis de riesgo?

    
pregunta Mike Ounsworth 12.07.2018 - 23:48
fuente

3 respuestas

11

La baja capacidad de descubrimiento no significa necesariamente "seguridad por oscuridad". Solo podría significar que la vulnerabilidad reside en una parte de la funcionalidad que rara vez se investiga. También podría significar que el descubrimiento requeriría un caso de esquina tan estrecho que incluso el descubrimiento initial probablemente nunca hubiera ocurrido. Tales ejemplos serían COW sucia y Specter / Meltdown , que tardaron casi una década en notarse.

Por otra parte, baja capacidad de detección no debe significar necesariamente baja prioridad . Si se informa de una vulnerabilidad con poca capacidad de descubrimiento, se deben tener en cuenta otros factores, como el impacto y la facilidad de explotación, para determinar la respuesta adecuada. De hecho, tales consideraciones son exactamente la razón por la que existen puntuaciones de riesgo como DREAD y CVSS. Sin embargo, como se analiza en los comentarios, la "detectabilidad" solo puede tener un significado en el contexto de una divulgación privada . Si una vulnerabilidad ya es pública, la capacidad de detección es esencialmente del 100% y ya no es una consideración relevante.

    
respondido por el Mr. Llama 13.07.2018 - 00:23
fuente
6

Estoy del lado que no le gusta el uso de la capacidad de descubrimiento. Está mal definido y para cualquier definición dada, las personas son especialmente malas para adivinar una medida para ello.

Existe una medida de tiempo y atención en la que cada pieza de software es vulnerable y todas las vulnerabilidades, incluidas las que usted no sabe que tienen, son detectables.

Hay personas que realmente conocen su superficie de ataque y sus actores de amenaza, y quizás puedan dar una buena estimación de algún significado de capacidad de descubrimiento, pero este no es el caso común, y es muy fácil sorprenderse.

He observado que las organizaciones que tienen terribles vulnerabilidades se ocultan a simple vista y que nunca son atacadas, tal vez porque siempre hay una fruta más baja.

También, he observado que lo que piensan muchos ejecutivos al intuir una medida de "capacidad de descubrimiento" es: ¿qué tan malo es para mí si estamos comprometidos debido a esto, donde un extremo de ese espectro es Equifax? y todo lo demás), y el otro extremo es un oops, lo siento, el costo de hacer negocios. Esa intuición en sí misma no es necesariamente una mala forma de priorizar, pero no tiene nada que ver con una definición razonable de "descubribilidad".

Por lo tanto, no creo que deba tener un rol.

    
respondido por el Jonah Benton 13.07.2018 - 00:33
fuente
2

Sí. Si bien DREAD puede estar desactualizado, otros modelos incluyen conceptos similares y los definen de manera más rígida. En FAIR, por ejemplo, el aspecto de Vulnerabilidad se determina como la proporción de Capacidad de amenaza frente a Dificultad, donde Capacidad de amenaza significa cuán capaz es su amenaza específica (en una escala de 1 a 100), mientras que Dificultad significa que la barrera que debe superar es exitoso (en una escala de 1 a 100). El hecho de que necesite un conocimiento considerable para descubrir la debilidad explotable agregaría algunos puntos a la dificultad.

La razón por la que la Descubribilidad se elimina correctamente de DREAD es que es uno de los muchos factores de un subaspecto de un subaspecto de riesgo. No merece la posición de primer orden que tiene en DREAD. Una baja capacidad de descubrimiento golpea a los atacantes de bajo nivel y tiene poco efecto en los atacantes más expertos.

Además, DREAD es un método de evaluación cualitativo . Como tal, incluso uno o dos puntos en cualquier categoría pueden cambiar el resultado a una "caja" diferente, exagerando aún más el efecto. En un modelo estadístico o cuantitativo adecuado, el efecto es mucho más gradual.

    
respondido por el Tom 13.07.2018 - 06:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo se pueden descifrar nuestras contraseñas tan fácilmente? Investigación forense: qué sistema operativo utilizar [cerrado]