5 minuten lezen
Bijgewerkt op December 14, 2023
Gepubliceerd op December 14, 2023
Om het landschap voor kwetsbaarheidsbeoordeling en incidentrespons te vernieuwen, kondigen we met veel plezier de algemene beschikbaarheid van ons innovatieve openbronproject aan: het Vulnerability Impact Scoring System, ofwel VISS. Dit project, dat in het afgelopen jaar is ontwikkeld, heeft als doel onze veiligheidsmaatregelen te verbeteren voor een veiliger digitaal landschap via een baanbrekende benadering van kwetsbaarheidsscores. VISS biedt een gebruiksvriendelijke webgebaseerde gebruikersinterface en geavanceerde algoritmes die prioriteit geven aan aangetoonde impact boven theoretisch mogelijke beveiligingsimpact.
Terwijl traditionele scoresystemen zoals het Common Vulnerability Scoring System (CVSS) zich richten op het perspectief van de aanvaller en worst-case-scenario's, kiest VISS voor een ander uitgangspunt. Het vult CVSS aan door een uniek beoordelingssysteem te bieden dat de mogelijkheden voor incidentrespons verbetert. Door de impact van kwetsbaarheden objectief te meten vanuit het perspectief van een verdediger, kan VISS zijn evaluaties baseren op verantwoord aangetoonde exploitatie in plaats van theoretische bedreigingen.
Sinds maart 2023 gebruikt Zoom dit innovatieve scoresysteem om de uitbetaling van beloningen in het kader van ons Bug Bounty-programma te beoordelen. Dit programma biedt beveiligingsonderzoekers en productgebruikers een veilige plek om beveiligingskwetsbaarheden aan het licht te brengen en te melden aan Zoom, zonder te hoeven vrezen voor juridische represailles. Dit initiatief, dat vaak gepaard gaat met een vindersloon – ook wel 'bounty' ofwel premie genoemd – heeft tot een opvallende verandering in de ingediende meldingen geleid. Dit betekent een aanzienlijke stap vooruit ten opzichte van eerdere praktijken.
We zijn ervan overtuigd dat deze waarneembare trend richting bevindingen met een hogere impact en steeds complexere meerstaps-aanvallen laat zien dat onderzoekers meer tijd besteden om diepgaander onderzoek te doen naar de nuances van potentiële kwetsbaarheden.
VISS kan je helpen om je omgeving proactief te beschermen en prioriteit te geven aan de kwetsbaarheden die waarschijnlijk de meeste impact hebben op je organisatie, zodat je geen kostbare en beperkte middelen kwijtraakt aan kwetsbaarheden waarvan de kans kleiner is dat ze een tastbare impact hebben. Veel bedrijven hebben het afgelopen jaar gesnoeid in hun personeelsbestand en deze prioritering is dus cruciaal om te weten waar je het beste tijd en moeite aan kunt besteden voor het hoogst mogelijke rendement.
VISS analyseert kwetsbaarheden op basis van 13 impactaspecten die worden gecategoriseerd in groepen die specifiek zijn voor het platform, de infrastructuur en de data. De score die dit oplevert, variërend van 0 tot 100, weerspiegelt de ernst van impact in een specifieke omgeving. VISS-scores, die gebruikmaken van de Compensating Controls-maatstaf, zijn aanpasbaar en bieden omgevingseigenaars de flexibiliteit om scores af te stemmen op hun individuele risicoprofiel en -tolerantie via een robuuste beheerportal.
Bekijk de volledige VISS-specificatie voor meer informatie en om de Zoom-implementatie van de VISS-calculator uit te proberen.
Zoom sponsorde in 2023 het live-hackingevenement HackerOne H1-4420 in Londen. Tijdens dit evenement ondergingen de kwetsbaarheidsmeldingen van hackers een geavanceerd foutevaluatieproces met behulp van zowel CVSS als VISS. Deze methode, die de effectiviteit van VISS aantoonde, maakte een betere toewijzing van middelen en een verhoogde concentratie voor het aanpakken van kwetsbaarheden met een kritieke en hoge ernst mogelijk.
Sinds de overstap naar VISS krijgt Zoom minder meldingen van lage en gemiddelde ernst en meer meldingen van hoge en kritieke ernst. Onderzoekers besteden meer tijd en energie om een stap verder te gaan dan het theoretische en aangetoonde impact te bereiken. Voor de periode tussen maart 2023 en 1 december 2023 heeft Zoom een stijging van 28% in het aantal meldingen met kritieke ernst en 12% in het aantal meldingen met hoge ernst waargenomen. Er was met name sprake van een significante daling van 57% in het aantal meldingen met gemiddelde ernst ten opzichte van de 8 maanden voorafgaand aan de implementatie van VISS in maart 2023.
De missie van VISS reikt verder dan alleen Zoom: VISS heeft als doel om incidentrepons- en beveiligingsteams over de hele wereld beter te maken. Door de branche te voorzien van een uitgebreide en objectieve maatstaf voor de impact van kwetsbaarheden draagt VISS bij aan het voortdurende streven naar een veilig internet voor iedereen.
We nodigen je uit om VISS te ontdekken, bij te dragen aan de ontwikkeling ervan en samen met ons een revolutie te veroorzaken in het bijhouden van de impact van kwetsbaarheden. Laten we samen aan een veiligere digitale toekomst bouwen. Bekijk de broncode-opslagplaats op https://github.com/zoom/viss.
De broncode is onderhevig aan de GPL 3.0-licentie.
3 minuten lezen
Tools voor nalevingsbeheer zoals Zoom Compliance Manager kunnen je helpen met de uitdagingen rond communicatie. Ontdek hoe.
3 minuten lezen
Het Bug Bounty-programma van Zoom moedigt de ontdekking en verantwoorde openbaarmaking van beveiligingsproblemen aan. Bekijk de hoogtepunten van het afgelopen jaar.
2 minuten lezen
Zoom is nu geregistreerd bij het Information System Security Management and Assessment Program (ISMAP). Ontdek wat dit voor onze klanten betekent.
