چگونه آسیب‌پذیری در راورو ارزش گذاری می‌شود؟

(شماره نسخه ۲.۰۷)
عدم ارزش‌گذاری مناسب همواره یکی از بزرگترین چالش‌ها و نقاط تنش‌زا در فرآیند ارایه گزارش آسیب‌پذیری میان شرکت‌ها/سازمان‌ها و گزارش دهنده‌‌‌ها بوده است. از این موضوع می‌توان به عنوان یکی از مهم‌ترین دلایلی نام‌برد که باعث‌ می‌شود تا نفودگران داخلی و خارجی تمایلی به ارایه گزارش آسیب‌پذیری به شرکت‌ها/سازمان‌های داخلی نداشته باشند.

تیم راورو بر اساس تجربه و با بهره‌گیری از استاندارد‌های معتبر جهانی، اقدام به ارایه روشی منحصر بفرد جهت ارزش‌گذاری با توجه به قوانین و شرایط فضای‌ سایبری ایران کرده است. ما در جهت ارایه سیستمی جامع و فراگیر، از معیار‌ها و گروه‌بند‌ی‌های زیر در فرآیند محاسبه‌ خود استفاده کرده‌ایم.

  • گروه‌بندی انواع آسیب‌پذیری‌
  • گروه‌بندی تاثیر‌گذاری آسیب‌پذیری بر روی هدف
  • گروه‌بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه(برند)
توجه : اعداد و مبلغ‌های اعلام شده در این مطلب صرفا برای مثال است و بنا به صلاحدید بر اساس بودجه و نیاز هر سازمان/شرکت قابل محاسبه می‌باشد.

روش محاسبه ارزش گذاری بر روی آسیب پذیری‌

روش محاسبه ارزش‌گذاری بر روی آسیب‌پذیری‌ با مطالعه و تحلیل بر روی مدل‌های موفق جهانی و همچنین بر اساس نیازسنجی انجام شده در فضای‌ سایبری ایران بر مبنای مولفه‌های تاثیرگذار تعیین شده است. در این روش، ارزش‌گذاری آسیب‌پذیری اعلام شده بر اساس سه مولفه: نوع آسیب‌پذیری، تاثیرگذاری آسیب‌پذیری، ارزش برند‌(مجموعه هدف)‌ محاسبه می‌گردد. بنابر نوع آسیب‌پذیری گزارش شده، مقدار قیمت پایه بر اساس جدول۱(گروه بندی انواع آسیب‌پذیری‌ها) استخراج می‌شود، سپس با مشخص کردن محدوده‌ی اثر‌گذاری آسیب‌پذیری، ضریب تاثیرگذاری بر اساس فرمول۲(فرمول محاسبه ضریب تاثیر گذاری) محاسبه می‌گردد، بعلاوه بر اساس ارزش مجموعه هدف، مقدار ضریب ارزش مجموعه بر اساس جدول۳(گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه) استخراج می‌گردد. در نهایت ارزش نهایی بر اساس فرمول۱(محاسبه ارزش‌گذاری بر روی آسیب‌پذیری) قابل محاسبه می‌باشد.

فرمول ۱ محاسبه ارزش‌گذاری بر روی آسیب‌پذیری
فرمول ۱ محاسبه ارزش‌گذاری بر روی آسیب‌پذیری

در ادامه شرح هر کدام از گروه بندی‌ها و نحوه‌ی محاسبه آنها به تفکیک آمده است.


۱- گروه بندی انواع آسیب پذیری‌ها

تیم راورو همواره در تلاش است تا همزمان با استاندارد‌های ‌جهانی، بروزترین سیستم ارزیابی برای طبقه‌بندی انواع آسیب‌پذیری‌ها را ارائه دهد. بر این اساس گروه بندی انوع آسیب‌پذیری‌ها با کمک از مدل تقسیم بندی [۱]VRT انجام شده است و شامل چهار گروه کلی می‌باشد. VRT با توجه به استانداردهای متفاوتی از جمله OWASP طراحی شده و به طور مداوم در حال پیشرفت و بروز رسانی می‌باشد. نسخه ارزش‌گذاری آسیب‌پذیری تهیه شده، شامل تمامی آسیب‌پذیری‌ها از جمله آسیب‌پذیری‌هایی با سطح امنیتی کم تا سطح حساس و حتی در زمینه‌های جدید IT مانند صنعت خودرو می‌باشد. اولویت‌های VRT بدون توجه به جزییات خاصی تعریف شده است، بنابراین ممکن است پیچیدگی و جزییات برنامه، محدودیت‌ها در پرداخت پاداش و یا تاثیرگذاری غیر معمول باعث نیاز به وجود سیستم رتبه‌بندی دیگری شود. ما برای حل این محدودیت‌ها از ۲ ضریب دیگر برای ارزش گذاری نهایی استفاده کرده‌ایم تا بر اساس سیستم ارزش‌گذاری منحصر بفردمان بتوانیم به پاداشی شفاف، درخور و شایسته به ازای هر گزارش آسیب‌پذیری‌ برسیم. قیمت پایه انواع آسیب‌پذیری‌ها بر اساس درجه حساسیت آسیب‌پذیری در جدول ۱ ارایه شده است.

توجه: مقادیر پیش‌فرض دسته بندی آسیب‌پذیری‌ها بر اساس مدل VRT می‌باشد. امکان تغییر و یا تعریف دسته‌بندی‌های جدید بر اساس نیاز‌های شرکت/سازمان نیز وجود دارد.
جدول ۱- گروه بندی انواع آسیب‌پذیری‌ها
جدول ۱- گروه بندی انواع آسیب‌پذیری‌ها


۲- گروه بندی تاثیر‌گذاری آسیب‌پذیری بر روی هدف

برای تعیین میزان تاثیرگذاری آسیب‌‌پذیری در میدان علاوه بر استفاده از استاندارد CVSS از معیار منحصر بفرد برآورد تخریب استفاده شده است. در ادامه به شرح این دو بخش خواهیم پرداخت.

امتیاز CVSS:

استاندارد CVSS یا سیستم امتیازدهی آسیب‌پذیری عام، یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیب‌پذیری کامپیوتری است. این سیستم سعی می‌کند با اختصاص دادن یک امتیاز به میزان شدت آسیب‌پذیری، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب‌پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی دارای چند معیار از جمله سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیب‌پذیری می‌باشد. امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایه CVSS برای تعیین میزان شدت آسیب‌پذیری رجوع می‌کنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیب‌پذیری سیستم‌ها در یک سازمان هستند. آسیب‌پذیری ها در CVSS در 3 گروه Base، Temporal و Environmental از نظر کمی و کیفی بررسی می‌شوند.

  • مقدار Base: نشان دهنده کیفیت اصلی و ذاتی آسیب‌پذیری است که با گذر زمان و یا محیط‌های مختلف تغییر نمی‌کند.
  • مقدار Temporal: نشان دهنده خصوصیات آسیب‌پذیری است که با گذر زمان تغییر می‌کند.
  • مقدار Environmental: نشان دهنده خصوصیات آسیب‌پذیری است که با توجه به محیط کاربر متغیر خواهد بود.

امتیاز CVSS می‌تواند عددی بین صفر تا ۱۰ باشد.

برآورد تخریب:

فرآیند ارزیابی برآورد تخریب، ترکیبی از مقدار معیار‌های استاندارد می‌باشد که با توجه به سه اصل [۲]CIA و فرمول‌ منحصر بفرد راورو محاسبه می‌گردد. در این فرآیند بررسی می‌شود که نفوذگر با آسیب‌پذیری بدست آمده در سامانه هدف تا چه حد می‌توانسته به محرمانگی، یکپارچگی و دسترسی پذیری اطلاعات هدف آسیب برساند. برآورد تخریب بر اساس ارزیابی پنج گانه تاثیرگذاری آسیب‌پذیری بر روی هدف ایجاد شده است، که در جدول۲ آمده است. مقدار پیش‌فرض برآورد تخریب صفر در نظر گرفته شده است و هر آسیب‌پذیری می‌تواند بر هیچ یا تمام حالات تاثیر بگذارد. در صورت تاثیر گذاشتن به ازای هر حالت به برآورد تخریب یک واحد اضافه می‌شود و در غیر اینصورت برآورد تخریب تغییر نمی‌کند.

جدول۲- محاسبه برآورد تخریب
جدول۲- محاسبه برآورد تخریب

برآورد تخریب می‌تواند عددی بین صفر تا پنج باشد.

نحوه‌ی محاسبه ضریب تاثیرگذاری:

ضریب تاثیرگذاری شامل دو متغیر برآورد تخریب و امتیاز CVSS می‌باشد و بر اساس فرمول زیر قابل محاسبه است.

فرمول ۲- محاسبه ضریب تاثیرگذاری
فرمول ۲- محاسبه ضریب تاثیرگذاری

ضریب تاثیر‌گذاری می‌تواند عددی بین صفر تا پنج باشد.


۳- گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه(برند)

در این ارزیابی، شرکت‌ها و سازمان‌ها شامل پنج گروه کلی می‌شوند. این تقسیم بندی با توجه به ارزش برند، براساس معیارهایی از جمله استاندارد [۳]IMI جایگاه وب سایت، رتبه بازدید در پایگاه الکسا، تعداد کاربران و... می‌باشد. ضریب ارزش برند، عددی است بین ۰/۱ تا ۵ که به واحد‌های ۰/۱ تقسیم می‌گردد. برای مثال ضریب اختصاص داده شده به هر گروه در جدول ۳ ارایه شده است.

توجه : ضریب ارزش مجموعخ صرفا جهت کمک به فرآیند ارزش گذاری تعریف می‌شود و بر روی وب‌سایت نمایش داده نمی‌شود. همچنین امکان تعیین بر اساس بودجه و یا نیاز هر شرکت/سازمان حتی خارج از دسته بندی جدول نیز فراهم می‌باشد.
جدول ۳ - گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه
جدول ۳ - گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه

ضریب ارزش‌گذاری مجموعه می‌تواند عددی بین ۰/۱ تا ۵ باشد.

تیم راورو با در دسترس قرار دادن منبع و روش محاسبه ارزش‌گذاری آسیب‌پذیری بصورت شفاف برای افراد و سازمان‌ها این امکان را فراهم سازد تا ارزش هر آسیب‌پذیری براحتی قابل محاسبه باشد. همچنین شما می‌توانید آخرین تغییرات را در بلاگ سامانه راورو مشاهده کنید و نظرات خود را در شبکه‌های اجتماعی با ما در میان بگذارید.


https://ravro.ir<br/>https://twitter.com/ravro_ir

https://t.me/ravro_ir


[۱] Vulnerability Rating Taxonomy

[۲]Confidentiality, Integrity and Availability

[۳]سازمان مدیریت صنعتی