Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
CVSS-standarden gør det muligt at sammenligne, hvor alvorlige forskellige sårbarheder er. Dermed får de it-ansvarlige et værktøj til at prioritere indsatsen med.
Den nye CVSS-standard (Common Vulnerability Scoring System) løser et problem med den måde, vi behandler sårbarheder på: Vi har i dag ingen mulighed for at sammenligne, hvor alvorlige sårbarheder fra to forskellige it-leverandører er.
En sårbarhed er en fejl eller uhensigtsmæssighed i et it-system, der giver angribere mulighed for at udnytte eller skade det.
En vigtig oplysning om enhver sårbarhed er, hvor alvorlig den er. Men hidtil har der ikke været nogen standardiseret måde at beskrive det på.
Når Microsoft udsender sikkerhedsbulletiner, udstyrer firmaet hver sårbarhed med en af disse klassificeringer: Mindre vigtig, moderat, alvorlig eller kritisk. Oracle anvender derimod et system med langt flere grader af klassificering. Og andre udbydere har deres egne klassificeringssystemer.
Det tilbyder CVSS en løsning på. CVSS er en standardiseret metode til at klassificere en sårbarhed og dermed angive, hvor alvorlig den er.
Tidligere på måneden offentliggjorde organisationen FIRST (Forum of Incident Response and Security Teams), at den bliver hjemsted for CVSS. Dermed er der et sted, hvor CVSS-oplysninger og -værktøjer kan samles. Det lover godt for brugen af CVSS fremover.
Tre parametre
En CVSS-klassificering består af tre typer parametre: Grundlæggende, tidsafhængige og miljømæssige. Man starter med at se på de grundlæggende parametre. Det er elementer ved sårbarheden, der ikke vil ændre sig med tiden.
Nogle eksempler på grundlæggende parametre er: Skal angriberen have fysisk adgang til det sårbare system, eller kan han udnytte sårbarheden over nettet? Skal han være autentificeret af systemet for at få adgang? Hvilke konsekvenser har sårbarheden for tilgængelighed, integritet og fortrolighed? I alt er der syv parametre inden for de grundlæggende parametre.
Herefter ser man på de tidsafhængige parametre. De vil typisk ændre sig, som tiden går. Findes der programmer, som gør det nemt at udnytte sårbarheden? Hvilke løsninger i form af programrettelser er til rådighed? Og hvor pålidelige er informationerne om sårbarheden?
De første to hovedgrupper af parametre beregnes af den ansvarlige for det sårbare system. Det vil som regel være softwarehuset eller producenten.
Virksomheden beregner
Den tredje gruppe af parametre, de miljømæssige, skal derimod beregnes af de systemansvarlige i de organisationer, der bruger det sårbare system. Her ser man på to ting: Kan sårbarheden medføre skader på fysiske ting eller personer? Og hvor mange systemer har organisationen, der potentielt kan være sårbare?
De mange spørgsmål besvares med tal. Ved hjælp af nogle fastlagte formler beregnes tre delresultater: Alvorlighedsgraden for de grundlæggende elementer, for de elementer, der varierer over tid, og endelig for de elementer, der er specifikke for den enkelte organisation.
Den store fordel ved CVSS er, at standarden giver et sammenligningsgrundlag. Når der begynder at komme CVSS-tal for nye sårbarheder, kan de it-ansvarlige bruge dem til at prioritere indsatsen. På den måde kan de sørge for at lukke de alvorligste huller først. I dag er det meget vanskeligt at afgøre, om det er vigtigst at fjerne en sårbarhed i firmaets Oracle-database eller i Exchange-serveren.
Men succesen afhænger af, at softwarehusene begynder at bruge CVSS. Blandt udviklerne af standarden er imidlertid store virksomheder som Cisco, Symantec og Microsoft, så det skulle der være en god chance for. CVSS er i øvrigt udviklet i regi af National Infrastructure Advisory Council (NIAC), der rådgiver USA's præsident om it-sikkerhed.
Oprindelig bragt på Computerworld Online den 29. april 2005