Jak seřadit závažnost zranitelností?

Společnost nCircle Network Security začala zdarma nabízet službu Patch Priority Index, jež by měla IT manažerům pomoci rozhodnout, jaké záplaty je třeba nasazovat přednostně. V žebříčku by se měly objevovat především opravy Microsoftu, Applu a Adobe, ale i dalších firem.


Služba je trochu podobná žebříčku Microsoftu (Exploitability index), v němž se hodnotí nejen „abstraktní“ závažnost chyby, ale i odhadovaná pravděpodobnost, že se brzy objeví/rozšíří i exploit. V jejím rámci by se však měly závažnosti jednotlivých rizik porovnávat i „napříč“ produkty různých společností. Proč vůbec takovou službu nabízet? Podle nCircle například Adobe neposkytuje uživatelům žádný návod, jaká z aktualizací má jakou prioritu (kromě označení závažnosti zranitelnosti, to ale není totéž).

Nový index má být založen na několika faktorech: jak dlouhá je doba mezi zjištěním chyby a vydáním opravy (pravděpodobnost, že útočníci stihnou vyvinout funkční exploit), nakolik lákavý je pro útočníky exploit vyvíjet/co takový útočný kód umožňuje. Na rozdíl od klasických systémů bodování závažnosti chyb (nejvyšší stupeň critical nebo arbitrary code execution) má být nový systém záměrně shora neomezený a hrozba obodována číslem, což by mělo vždy poskytnout jednoznačnou informaci o tom, kde hrozí největší riziko.

Zkušební verze služby je k dispozici na webu nCircle. Postupně sem mají být přidávány žebříčky i vzhledem k opravám dalších firem.

 











Komentáře