هنر اولویت‌بندی هوشمند آسیب‌پذیری‌ها

01 مرداد 1404 هنر اولویت‌بندی هوشمند آسیب‌پذیری‌ها

 روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  زمانی که برای اولین‌بار با CVSS (سیستم مشترک امتیازدهی آسیب‌پذیری‌ها) مواجه می‌شوید، ممکن است تصور کنید این ابزار، راه‌حل کامل برای ارزیابی و اولویت‌بندی آسیب‌پذیری‌هاست. به‌نظر می‌رسد نمره بالاتر، یعنی آسیب‌پذیری بحرانی‌تر؛ درست است؟ اما در واقعیت، این روش چندان کارآمد نیست. هر سال، تعداد آسیب‌پذیری‌هایی با امتیاز CVSS بالا افزایش می‌یابد. تیم‌های امنیتی توان اصلاح همه آن‌ها را به‌موقع ندارند، در حالی که بیشتر این ضعف‌ها در حملات واقعی مورد سوءاستفاده قرار نمی‌گیرند. از سوی دیگر، مهاجمان اغلب از آسیب‌پذیری‌هایی با ظاهر ساده و امتیاز پایین بهره می‌برند. مشکلات پنهان دیگری هم وجود دارد؛ از مسائل فنی مانند اختلاف در امتیازدهی گرفته تا مشکلات مفهومی مانند نادیده گرفتن زمینه‌های تجاری. این‌ها لزوماً ضعف‌های ذاتی CVSS نیستند، بلکه نشان‌دهنده نیاز به استفاده درست از آن در قالب یک فرآیند جامع‌تر و هوشمندانه‌تر برای مدیریت آسیب‌پذیری‌ها هستند.

اختلاف در امتیازدهی  CVSS 

تا به حال توجه کرده‌اید که یک آسیب‌پذیری ممکن است در منابع مختلف، امتیازهای متفاوتی داشته باشد؟ یک امتیاز از پژوهشگر امنیتی که آن را کشف کرده، یکی از سوی تولیدکننده نرم‌افزار، و امتیازی دیگر از پایگاه داده ملی آسیب‌پذیری‌ها؟ این تفاوت‌ها همیشه ناشی از اشتباه نیستند. گاهی دیدگاه کارشناسان درباره شرایط بهره‌برداری از آسیب‌پذیری متفاوت است. ممکن است برداشت آن‌ها از سطح دسترسی برنامه، یا این‌که آیا به اینترنت متصل است یا نه، با یکدیگر فرق داشته باشد. برای مثال، تولیدکننده نرم‌افزار ممکن است ارزیابی‌اش را بر پایه بهترین روش‌های پیشنهادی خود انجام دهد، در حالی که پژوهشگر امنیتی، پیکربندی‌های رایج در سازمان‌ها را در نظر بگیرد. یکی ممکن است پیچیدگی بهره‌برداری را بالا بداند و دیگری پایین. این اتفاق غیرمعمول نیست؛ در مطالعه‌ای در سال ۲۰۲۳ توسط Vulncheck مشخص شد که ۲۰٪ از آسیب‌پذیری‌های موجود در پایگاه ملی آسیب‌پذیری‌ها  (NVD)، دو امتیاز CVSS3 متفاوت از منابع مختلف داشتند که ۵۶٪ از آن‌ها با یکدیگر در تضاد بودند.

اشتباهات رایج در استفاده از  CVSS

طی بیش از یک دهه، سازمان FIRST همواره بر کاربرد صحیح و اصولی CVSS تأکید داشته است. با این حال، سازمان‌ها همچنان در بکارگیری این سیستم در فرآیندهای مدیریت آسیب‌پذیری خود، مرتکب اشتباهات رایجی می‌شوند:

  •          استفاده از امتیاز پایه CVSS به‌عنوان شاخص اصلی ریسک:
    CVSS  تنها شدت یک آسیب‌پذیری را اندازه‌گیری می‌کند، نه احتمال سوءاستفاده از آن یا میزان اثرگذاری آن بر سازمان. ممکن است یک آسیب‌پذیری بحرانی در محیط خاص شرکت، کاملاً بی‌خطر باشد چون در سیستمی بی‌اهمیت و جداافتاده قرار دارد. در مقابل، نشتیِ اطلاعات ظاهراً کم‌اهمیت با امتیاز CVSS معادل ۶ می‌تواند نقطه شروع حمله‌ای گسترده مانند باج‌افزار باشد.
  •          استفاده از امتیاز پایه CVSS بدون در نظر گرفتن بُعد زمانی و محیطی:
    در دسترس بودن وصله‌ها، وجود کدهای بهره‌برداری عمومی و راهکارهای جبرانی، تأثیر زیادی بر اولویت و نحوه رسیدگی به آسیب‌پذیری دارند.
  •          تمرکز صرف بر آسیب‌پذیری‌هایی با امتیاز بالاتر از حد مشخص:
    برخی استانداردها یا مقررات (مثلاً الزام به رفع آسیب‌پذیری‌های با امتیاز بالای ۸ طی یک ماه) باعث می‌شوند تیم‌های امنیتی با حجم بالایی از وظایف مواجه شوند، در حالی‌که این فشار کاری، لزوماً به بهبود امنیت منجر نمی‌شود. تعداد آسیب‌پذیری‌های با امتیاز بالا در ده سال گذشته به‌طور چشم‌گیری افزایش یافته است.
  •          استفاده از CVSS برای پیش‌بینی احتمال سوءاستفاده:
    بین امتیاز CVSS و احتمال بهره‌برداری واقعی، همبستگی ضعیفی وجود دارد. تنها ۱۷٪ از آسیب‌پذیری‌های بحرانی واقعاً در حملات مورد استفاده قرار می‌گیرند.
  •          اتکا صرف به امتیاز عددی CVSS:
    در CVSS، بردار استاندارد امتیازدهی معرفی شده تا مدافعان بتوانند جزئیات فنی آسیب‌پذیری را درک کرده و با توجه به شرایط خاص سازمان خود، اهمیت آن را محاسبه کنند. نسخه ۴.۰ CVSS به‌طور خاص بازطراحی شده تا زمینه‌های تجاری را بهتر پوشش دهد. هرگونه تلاش برای مدیریت آسیب‌پذیری که صرفاً بر عدد CVSS متکی باشد، عمدتاً بی‌اثر خواهد بود.
  •          نادیده گرفتن سایر منابع اطلاعاتی:
    تکیه بر یک پایگاه داده آسیب‌پذیری و بررسی صرف امتیاز CVSS کافی نیست. نبود اطلاعاتی مانند وصله‌های موجود، نمونه کدهای بهره‌برداری عملی و شواهد سوءاستفاده در دنیای واقعی، تصمیم‌گیری درست برای مقابله با آسیب‌پذیری را دشوار می‌کند.

آنچه CVSS درباره یک آسیب‌پذیری به شما نمی‌گوید

CVSS  استانداردی صنعتی برای توصیف شدت آسیب‌پذیری، شرایط بهره‌برداری از آن، و تأثیر بالقوه بر سیستم هدف است. اما فراتر از این توصیف‌ها و امتیاز پایه CVSS ، نکات مهم زیادی وجود دارد که این سیستم پوشش نمی‌دهد:

  •          چه کسی آسیب‌پذیری را کشف کرده است؟ آیا سازنده نرم‌افزار، یک پژوهشگر اخلاق‌مدار که مشکل را گزارش داده و منتظر انتشار وصله مانده، یا یک مهاجم مخرب؟
  •          آیا کد اکسپلویت به‌صورت عمومی در دسترس است؟ یعنی آیا راهکار عملی و آماده‌ای برای سوءاستفاده وجود دارد؟
  •          امکان بهره‌برداری در سناریوهای واقعی چقدر است؟
  •          آیا پچی برای آن منتشر شده است؟ آیا این وصله همه نسخه‌های آسیب‌پذیر را پوشش می‌دهد؟ و آیا اعمال آن عوارض جانبی دارد؟
  •          آیا سازمان باید شخصاً آسیب‌پذیری را رفع کند؟ یا مربوط به یک سرویس کلود (SaaS) است که مسئولیت رفع با ارائه‌دهنده است؟
  •          آیا نشانه‌ای از سوءاستفاده در دنیای واقعی وجود دارد؟
  •          اگر وجود ندارد، احتمال سوءاستفاده در آینده چقدر است؟
  •          کدام سیستم‌های خاص درون سازمان در معرض این آسیب‌پذیری هستند؟
  •          آیا بهره‌برداری برای مهاجم واقعاً ممکن است؟
    برای مثال، ممکن است سیستم آسیب‌پذیر، یک وب‌سرور سازمانی قابل دسترس از اینترنت باشد، یا فقط یک چاپگر قدیمی باشد که به‌صورت فیزیکی به یک کامپیوتر بدون اتصال شبکه متصل است. حتی ممکن است آسیب‌پذیری در متدی از یک مؤلفه نرم‌افزاری باشد که برنامه سازمانی هیچ‌گاه آن متد را فراخوانی نمی‌کند.
  •          در صورت نفوذ، چه اتفاقی می‌افتد؟
  •          هزینه مالی این رخداد برای کسب‌وکار چقدر خواهد بود؟

همه این عوامل نقش مهمی در تصمیم‌گیری درباره زمان، نحوه، و حتی ضرورت رفع آسیب‌پذیری ایفا می‌کنند — موضوعاتی که CVSS به‌تنهایی پاسخ‌گوی آن‌ها نیست.

چطور CVSS را کامل‌تر کنیم؟ پاسخ در RBVM نهفته است!

بسیاری از عواملی که در چارچوب محدود CVSS به‌سختی قابل سنجش‌اند، در رویکردی به‌نام مدیریت آسیب‌پذیری مبتنی بر ریسک (RBVM) جایگاه محوری دارند.

RBVM یک فرآیند چرخه‌ای، یکپارچه و پیوسته است که شامل مراحل کلیدی زیر می‌شود:

 

-         شناسایی کامل دارایی‌های IT سازمان:
از کامپیوتر و سرور گرفته تا نرم‌افزارها، خدمات ابری و تجهیزات اینترنت اشیاء

-         اولویت‌بندی دارایی‌ها بر اساس اهمیت:
تشخیص «دارایی‌های حیاتی» که بیشترین ارزش تجاری یا امنیتی را دارند.

-         اسکن آسیب‌پذیری‌ها:
جستجوی آسیب‌پذیری‌های شناخته‌شده در دارایی‌ها.

-         غنی‌سازی داده‌های آسیب‌پذیری:
فراتر رفتن از CVSS Base و ترکیب آن با:

  • داده‌های تهدید و هوش تهدیدات
  • احتمال بهره‌برداری با ابزارهایی مانند EPSS یا پایگاه‌هایی مثل CISA KEV

-         درک بستر تجاری آسیب‌پذیری‌ها:
تحلیل اینکه آسیب‌پذیری چگونه می‌تواند بر دارایی‌های آسیب‌پذیر تأثیر بگذارد، با توجه به پیکربندی و کاربرد آن‌ها در سازمان.

-         مشخص کردن روش‌های مقابله:
بررسی امکان رفع آسیب‌پذیری با وصله یا استفاده از کنترل‌های جبرانی جایگزین.

-         ارزیابی ریسک تجاری و اولویت‌بندی:
با در نظر گرفتن تمام داده‌های فنی و تجاری، تصمیم‌گیری درباره اینکه کدام آسیب‌پذیری‌ها در اولویت رسیدگی هستند. این اولویت‌بندی می‌تواند بر اساس مدل CVSS-BTE  که مؤلفه محیطی را هم لحاظ می‌کند یا متدهای جایگزین انجام شود. الزامات قانونی هم در این مرحله تأثیرگذارند.

-         تعیین زمان‌بندی رفع آسیب‌پذیری:
با توجه به سطح ریسک و شرایط عملیاتی (مانند زمان مناسب برای اعمال تغییرات). اگر پچ در دسترس نباشد یا ریسک اعمال آن زیاد باشد، از اقدامات جبرانی استفاده می‌شود. گاهی نیز ممکن است تصمیم آگاهانه برای پذیرش ریسک و عدم رفع آسیب‌پذیری اتخاذ شود.

فراتر از رفع موردیِ آسیب‌پذیری‌ها

علاوه بر موارد فوق، تحلیل دوره‌ای زیرساخت و آسیب‌پذیری‌های سازمانی ضروری است. هدف، اتخاذ اقداماتی پیشگیرانه برای حذف دسته‌ای از آسیب‌پذیری‌ها یا افزایش سطح امنیتی کلی سیستم‌هاست؛ مانند:

  • ریز-بخش‌بندی شبکه
  • اجرای اصل حداقل دسترسی
  • سیاست‌های سخت‌گیرانه‌تر برای مدیریت حساب‌ها

چرا RBVM بهتر عمل می‌کند؟

RBVM  باعث تمرکز بهتر تیم‌های امنیتی روی آسیب‌پذیری‌هایی می‌شود که واقعاً تهدیدی برای سازمان هستند. طبق مطالعه‌ای از FIRST:

  • اگر فقط از EPSS  برای اولویت‌بندی استفاده شود، می‌توان تنها با رسیدگی به ۳٪آسیب‌پذیری‌ها، به ۶۵٪اثربخشی دست یافت.
  • در مقابل، استفاده صرف از امتیاز پایه CVSS-B نیاز به رفع ۵۷٪آسیب‌پذیری‌ها دارد، اما فقط ۴٪اثربخشی دارد.

در اینجا، «اثربخشی» به معنای رسیدگی موفق به آسیب‌پذیری‌هایی است که در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند.

در نتیجه

مدیریت آسیب‌پذیری زمانی واقعاً مؤثر است که از عدد خشک CVSS فراتر برویم و با نگاهی واقع‌گرایانه، هوشمند و تجاری، ریسک‌ها را تحلیل کنیم — درست همان کاری که RBVM انجام می‌دهد.

 

 

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    9,451,490 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    14,181,740 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    14,181,740 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    94,595,990 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    13,379,850 ریال26,759,700 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    19,186,795 ریال38,373,590 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    20,524,780 ریال41,049,560 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    68,111,996 ریال170,279,990 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    108,981,356 ریال272,453,390 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,735,116 ریال204,337,790 ریال
    خرید
  • Kaspersky Small Office Security

    130,929,716 ریال327,324,290 ریال
    خرید
  • Kaspersky Small Office Security

    95,358,236 ریال238,395,590 ریال
    خرید
  • Kaspersky Small Office Security

    152,499,656 ریال381,249,140 ریال
    خرید
  • Kaspersky Small Office Security

    108,981,356 ریال272,453,390 ریال
    خرید
  • Kaspersky Small Office Security

    174,448,016 ریال436,120,040 ریال
    خرید
  • Kaspersky Small Office Security

    122,604,476 ریال306,511,190 ریال
    خرید
  • Kaspersky Small Office Security

    196,017,956 ریال490,044,890 ریال
    خرید
  • Kaspersky Small Office Security

    124,874,996 ریال312,187,490 ریال
    خرید
  • Kaspersky Small Office Security

    199,802,156 ریال499,505,390 ریال
    خرید
  • Kaspersky Small Office Security

    175,961,696 ریال439,904,240 ریال
    خرید
  • Kaspersky Small Office Security

    281,540,876 ریال703,852,190 ریال
    خرید
  • Kaspersky Small Office Security

    227,048,396 ریال567,620,990 ریال
    خرید
  • Kaspersky Small Office Security

    363,279,596 ریال908,198,990 ریال
    خرید
  • Kaspersky Small Office Security

    274,350,896 ریال685,877,240 ریال
    خرید
  • Kaspersky Small Office Security

    438,963,596 ریال1,097,408,990 ریال
    خرید
  • Kaspersky Small Office Security

    520,323,896 ریال1,300,809,740 ریال
    خرید
  • Kaspersky Small Office Security

    832,520,396 ریال2,081,300,990 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد