Jak seřadit závažnost zranitelností?

2. 3. 2010

Sdílet

Společnost nCircle Network Security začala zdarma nabízet službu Patch Priority Index, jež by měla IT manažerům pomoci rozhodnout, jaké záplaty je třeba nasazovat přednostně. V žebříčku by se měly objevovat především opravy Microsoftu, Applu a Adobe, ale i dalších firem.

Služba je trochu podobná žebříčku Microsoftu (Exploitability index), v němž se hodnotí nejen „abstraktní“ závažnost chyby, ale i odhadovaná pravděpodobnost, že se brzy objeví/rozšíří i exploit. V jejím rámci by se však měly závažnosti jednotlivých rizik porovnávat i „napříč“ produkty různých společností. Proč vůbec takovou službu nabízet? Podle nCircle například Adobe neposkytuje uživatelům žádný návod, jaká z aktualizací má jakou prioritu (kromě označení závažnosti zranitelnosti, to ale není totéž).

Nový index má být založen na několika faktorech: jak dlouhá je doba mezi zjištěním chyby a vydáním opravy (pravděpodobnost, že útočníci stihnou vyvinout funkční exploit), nakolik lákavý je pro útočníky exploit vyvíjet/co takový útočný kód umožňuje. Na rozdíl od klasických systémů bodování závažnosti chyb (nejvyšší stupeň critical nebo arbitrary code execution) má být nový systém záměrně shora neomezený a hrozba obodována číslem, což by mělo vždy poskytnout jednoznačnou informaci o tom, kde hrozí největší riziko.

ICTS24

Zkušební verze služby je k dispozici na webu nCircle. Postupně sem mají být přidávány žebříčky i vzhledem k opravám dalších firem.