בעולם אבטחת המידע, ה-CVSS (Common Vulnerability Scoring System) נמצא במרכז דיון רחב לגבי האפקטיביות שלו. לאחרונה, דניאל שטיינברג טוען כי המערכת מתה, ואני רוצה לשתף את דעתי בנושא זה.
הקדמה לדיון
בדיון הנוכחי, נבחן את מערכת ה-CVSS (Common Vulnerability Scoring System) ואת האתגרים שהיא מציבה. המערכת אמורה לספק דרך אחידה להעריך פגיעויות, אך האם היא מצליחה באמת? נעמוד על הנקודות המרכזיות שצצות בדיון סביב המערכת ונבין מדוע יש המרגישים שהיא לא מספקת את הסחורה.
מהו CVSS?
CVSS הוא מערכת מדידה שנועדה להעריך את החומרה של פגיעויות אבטחה. היא מספקת מדדים מספריים שמסייעים לארגונים להבין את הסיכונים הכרוכים בכל פגיעות. אך מה קורה כאשר המדדים הללו לא משקפים את המציאות? האם הם באמת עוזרים למומחי אבטחה לקבל החלטות מושכלות?
הבעיות בהערכת פגיעויות
אחת הבעיות המרכזיות במערכת ה-CVSS היא הקושי שלה להעריך פגיעויות בצורה מדויקת. פגיעויות שונות עשויות להשפיע בדרכים שונות על סוגי תוכנה שונים. לדוגמה, פגיעות בתוכנה שפורסמה בסביבה סגורה עשויה להיות פחות קריטית מאשר פגיעות באותו קוד המופעל בסביבה ציבורית.
תלות יתר בכלים מבוססי אבטחה
ההסתמכות על מדדי CVSS מעוררת חשש בקרב מומחי אבטחה. כלים רבים מסתמכים על ציון ה-CVSS כדי לאתר פגיעויות, דבר שעלול להוביל לתגובות לא פרופורציונליות. כשתגובות כאלה מתבצעות, זה עלול לגרום לארגונים לנקוט בפעולות קיצוניות שאינן בהכרח מועילות.
דוגמה לפגיעות במדד CVSS
ניקח לדוגמה את CVE-2024-11053. במקרה זה, ציון ה-CVSS שניתן היה קריטי, אך הצוות המפתח לא הסכים עם ההערכה הזו. זה מדגיש את האי-סדר במערכת המדרגת פגיעויות, כאשר ציון יכול להיות שרירותי ולא משקף את הסיכון האמיתי.
המשמעות של CVE
CVE, או Common Vulnerability Exposure, הוא מערכת שנועדה לזהות ולעקוב אחרי פגיעויות אבטחה ידועות. המטרה של מערכת זו היא לספק שמות סטנדרטיים עבור הפגיעויות, כדי להקל על חילופי מידע בין מומחי אבטחה. אך האם המידע הזה מספק הקשר מספיק כדי להעריך את הסיכון בצורה מדויקת?
הקשר בין CVE ל-CVSS
CVEs ו-CVSS הם שני רכיבים חיוניים במערכת אבטחת המידע. CVE, או Common Vulnerability Exposure, מספק שמות סטנדרטיים לפגיעויות ידועות, בעוד CVSS (Common Vulnerability Scoring System) מספק שיטת דירוג לחומרת הפגיעויות. הקשר ביניהם חיוני להבנה והערכה של סיכונים.
כשה-CVE מתעד פגיעות, ה-CVSS מספק את המדדים המספריים שיכולים לעזור לארגונים לקבוע את רמת הסיכון הכרוכה בפגיעות. עם זאת, לעיתים קרובות יש פער בין הציון שניתן ובין ההשפעה בפועל של הפגיעות בסביבות שונות.
הקשר ההקשרי של פגיעויות
ההקשר שבו פגיעות מתרחשות הוא קריטי. פגיעות עשויות להשפיע באופן שונה על מערכות שונות, תלוי בסביבה שבה הן פועלות. לדוגמה, פגיעות בתוכנה הפועלת בסביבת רשת סגורה עשויה להיות פחות מסוכנת מאשר באותה פגיעות הפועלת בסביבה ציבורית.
כדי להעריך נכון את הסיכון, יש צורך להבין את ההקשר שבו הפגיעות פועלות. זה כולל הבנת סוגי המכשירים, סוגי הרשתות וההגנות הנוספות שיכולות להיות קיימות.
היישום של מדדי סיכון
יישום מדדי סיכון הוא חלק חשוב בתהליך ניהול הפגיעויות. ארגונים צריכים לפתח מדדים מותאמים אישית שמתאימים לצרכיהם ולפרופיל הסיכון שלהם. זה כולל התאמת ציון ה-CVSS לפי הקשר הספציפי של כל פגיעות.
למשל, ישנם ארגונים שמעדיפים להשתמש בקטגוריות כמו נמוך, בינוני, גבוה וקריטי במקום להשתמש בציונים מספריים שמקנים משקל לא נכון לפגיעויות בסביבות שונות.
האם CVSS הוא בסיס טוב?
למרות ש-CVSS מספק בסיס להערכה, יש המרגישים שהוא לא מספיק. הציונים המספריים יכולים להיות שרירותיים ולעיתים לא משקפים את הסיכון האמיתי. ברוב המקרים, הארגונים צריכים לשלב בין הציון שניתן לבין ההבנה שלהם לגבי השפעת הפגיעות.
כפי שצוין, ישנם ארגונים שמעדיפים לגזור את הסיכון על בסיס הקשר ולא על בסיס מספרי בלבד. זה מאפשר להם להיות יותר גמישים ולא להסתמך רק על ציון ה-CVSS.
הצעות לשיפוט משופר
כדי לשפר את השיפוט לגבי פגיעויות, ארגונים יכולים לשקול להוסיף מדדים נוספים להערכת הסיכון. זה יכול לכלול שימוש באלגוריתמים מתקדמים או כלי אוטומטיים שמספקים הקשר נוסף לגבי הפגיעות.
- התאמת ציוני CVSS לפי פרמטרים נוספים כמו סוג המכשיר והסביבה שבה הוא פועל.
- שילוב של מדדים נוספים כמו EPS (Exploit Prediction Scoring System) כדי להבין את הסיכון האמיתי.
- הכנת דוחות סיכונים מותאמים אישית לכל פרויקט או מערכת.
סיכום והרהורים
במהלך הדיון על CVE ו-CVSS, ברור שהקשר בין השניים הוא חיוני, אך יש לקחת בחשבון את ההקשר הספציפי של כל פגיעות. התמקדות בציונים מספריים בלבד עלולה להוביל להחלטות רעות.
כדי לנהל פגיעויות בצורה אפקטיבית, יש צורך לפתח מדדים מותאמים אישית ולהבין את ההקשרים השונים שבהם פגיעות מתרחשות. בסופו של דבר, אבטחת מידע היא לא רק על מדדים, אלא על הבנה מעמיקה של הסיכונים.
