5 Minute Lesezeit
Aktualisiert am December 14, 2023
Veröffentlicht am December 14, 2023
Im Rahmen der Bemühungen, die Bewertung von Sicherheitsrisiken und die Reaktion auf Vorfälle neu zu denken, freuen wir uns, die allgemeine Verfügbarkeit unseres innovativen Open-Source-Projekts bekanntzugeben, genannt Vulnerability Impact Scoring System oder VISS. Dieses im Laufe des letzten Jahres entwickelte Projekt zielt darauf ab, die Sicherheitsmaßnahmen durch unseren bahnbrechenden Ansatz zur Analyse von Sicherheitsrisiken zu verbessern und so die digitale Welt sicherer zu machen. VISS bietet eine benutzerfreundliche webbasierte Oberfläche und erweiterte Algorithmen, die tatsächlich nachgewiesene Auswirkungen gegenüber theoretischen Auswirkungen auf die Sicherheit priorisieren.
Während herkömmliche Analysesysteme wie das Common Vulnerability Scoring System (CVSS) den Schwerpunkt auf die Sichtweise des Angreifers und Worst-Case-Szenarien legen, setzt VISS andere Prioritäten. Es ergänzt CVSS, indem es ein einzigartiges Analysesystem bietet, das die möglichen Reaktionen auf Vorfälle verbessert. Durch die objektive Messung der Auswirkungen von Sicherheitsrisiken aus der Sicht des Angriffsziels stützt VISS seine Analyse auf den realistisch nachgewiesenen Schaden statt auf theoretische Bedrohungen.
Seit März 2023 verwendet Zoom dieses innovative Analysesystem, um die Auszahlung von Prämien im Rahmen des Bug-Bounty-Programms zu ermitteln. Dieses Programm bietet Sicherheitsexperten und Produktbenutzern einen sicheren Rahmen, um Sicherheitsrisiken bei Zoom aufzuspüren und offenzulegen, ohne rechtliche Konsequenzen befürchten zu müssen. Diese Initiative, die häufig mit einem Finderlohn („Bounty“) einhergeht, hat eine bemerkenswerte Veränderung bei den eingereichten Berichten erlebt, was eine bedeutende Weiterentwicklung gegenüber früheren Verfahren darstellt.
Wir sind davon überzeugt, dass dieser erkennbare Trend hin zu Treffern mit größeren Auswirkungen und zunehmend komplexeren mehrstufigen Exploits widerspiegelt, dass Experten mehr Zeit darauf verwenden, potenzielle Sicherheitsrisiken genauer zu untersuchen.
Anstatt wertvolle, begrenzte Ressourcen für Sicherheitsrisiken aufzuwenden, die eher keine spürbaren Auswirkungen haben werden, kann VISS Ihnen dabei helfen, Ihre Umgebung proaktiv zu schützen und die Sicherheitsrisiken zu priorisieren, die sich mit größerer Wahrscheinlichkeit auf Ihr Unternehmen auswirken. Da viele Unternehmen im vergangenen Jahr ihren Personalbestand reduziert haben, ist diese Priorisierung von entscheidender Bedeutung, damit Sie wissen, wie Sie Ihre Zeit und Ressourcen für maximalen Nutzen einsetzen.
VISS analysiert Sicherheitsrisiken anhand von 13 Aspekten zur Auswirkung, die in plattform-, infrastruktur- und datenbezogene Aspekte eingeteilt werden. Der daraus resultierende numerische Wert zwischen 0 und 100 spiegelt den Schweregrad der Auswirkungen in einer bestimmten Umgebung wider. Durch die Kennzahl „Compensating Controls“ sind VISS-Analysen personalisierbar und bieten den Umgebungsverantwortlichen die Flexibilität, Analysen über ein robustes Verwaltungsportal entsprechend ihrem individuellen Risikoprofil und ihrer Toleranz anzupassen.
Um mehr zu erfahren und die Implementierung des VISS-Rechners durch Zoom auszuprobieren, sehen Sie sich die vollständige VISS-Spezifikation an.
Zoom sponserte das Live-Hacking-Event HackerOne H1-4420 2023 in London. Während dieses Events wurden die von Hackern eingereichten Berichte zu Sicherheitsrisiken einem erweiterten Fehlerbewertungsprozess unterzogen, bei dem sowohl CVSS als auch VISS zum Einsatz kamen. Diese Methode demonstrierte die Wirksamkeit von VISS und ermöglichte eine verbesserte Ressourcenzuweisung und eine verstärkte Konzentration auf die Behebung kritischer und schwerwiegender Sicherheitsrisiken.
Nach der Umstellung auf VISS verschob sich der Prozentsatz der gemeldeten Sicherheitsrisiken mit den Schweregraden „Niedrig“ und „Mittel“ hin zu „Hoch“ und „Kritisch“. Forscher investieren mehr Zeit und Energie, um ihre Erkenntnisse über Theorien hinaus weiterzuentwickeln und stärker auf nachweisbare Auswirkungen auszurichten. Für den Zeitraum zwischen März 2023 und dem 1. Dezember 2023 beobachtete Zoom einen Anstieg der gemeldeten Risiken mit dem Schweregrad „Kritisch“ um 28 % und einen Anstieg der Meldungen mit dem Schweregrad „Hoch“ um 12 %. Bemerkenswert ist, dass es im Vergleich zu den 8 Monaten vor der VISS-Implementierung im März 2023 zu einem signifikanten Rückgang der Meldungen mit dem Schweregrad „Mittel“ kam, nämlich um ganze 57 %.
VISS soll nicht nur Zoom helfen, sondern weltweit die Reaktion auf Vorfälle verbessern und Sicherheitsteams unterstützen. Indem VISS der Branche eine umfassende, objektive Messung der Auswirkungen von Sicherheitsrisiken liefert, trägt es zu einem sicheren Internet für alle bei.
Wir laden Sie ein, VISS kennenzulernen, zu seiner Entwicklung beizutragen und gemeinsam mit uns die Analyse der Auswirkungen von Sicherheitsrisiken zu revolutionieren. Gemeinsam können wir eine sicherere digitale Zukunft schaffen. Das Open-Source-Repository finden Sie unter https://github.com/zoom/viss.
Der Quellcode unterliegt der GPL 3.0-Lizenz.
3 Minute Lesezeit
Compliance-Management-Tools wie der Zoom Compliance Manager können Ihnen dabei helfen, sich in der komplexen Kommunikationslandschaft zurechtzufinden. Erfahren Sie, wie es funktioniert.
3 Minute Lesezeit
Das Bug-Bounty-Programm von Zoom bietet Anreize für die Entdeckung und verantwortungsvolle Offenlegung von Schwachstellen. Hier finden Sie einen Überblick über die Highlights des vergangenen Jahres.
2 Minute Lesezeit
Zoom ist jetzt beim Information System Security Management and Assessment Program (ISMAP) registriert. Erfahren Sie, was das für unsere Kunden bedeutet.
