Wszystko o VISS: rewolucyjnym podejściu do oceny podatności na ataki

Aby pomóc w przekształceniu krajobrazu oceny podatności an ataki i reagowania na incydenty, z przyjemnością ogłaszamy ogólną dostępność naszego innowacyjnego projektu open-source: Vulnerability Impact Scoring System (VISS). Projekt ten, opracowany w ciągu ostatniego roku, ma na celu wzmocnienie środków bezpieczeństwa, aby zapewnić bezpieczniejszy krajobraz cyfrowy poprzez nasze przełomowe podejście do oceny podatności na ataki. VISS zapewnia przyjazny dla użytkownika interfejs sieciowy i zaawansowane algorytmy, które przedkładają rzeczywisty wykazany wpływ nad teoretyczne możliwości wpływu na bezpieczeństwo.

Podczas gdy tradycyjne systemy oceny, takie jak Common Vulnerability Scoring System (CVSS), koncentrują się na punkcie widzenia atakującego i najgorszych scenariuszach, VISS przyjmuje inne stanowisko. Uzupełnia CVSS, oferując unikalny system oceny, który zwiększa możliwości reagowania na incydenty. Obiektywnie mierząc podatność na ataki z perspektywy strony broniącej się przez atakiem, VISS może oprzeć swoje oceny na odpowiedzialnie wykazanym wykorzystaniu luk w zabezpieczeniach, a nie na teoretycznych zagrożeniach. 

Od marca 2023 r. firma Zoom stosuje ten innowacyjny system oceny do ustalania wypłat nagród w ramach naszego programu Bug Bounty. Program ten oferuje bezpieczną przystań dla badaczy ds. bezpieczeństwa i użytkowników produktów, którzy mogą odkrywać i ujawniać luki w zabezpieczeniach Zoom, a wszystko to bez obawy przed odwetem prawnym. Dzięki tej inicjatywie, której często towarzyszy opłata dla znalazcy (nagroda), zaobserwowano znaczącą transformację w przesyłanych raportach, co oznacza istotną ewolucję w stosunku do poprzednich praktyk.

Uważamy, że ta dostrzegalna tendencja dokonywania odkryć o większym wpływie i coraz bardziej skomplikowanych, wieloetapowych sposobów wykorzystania luk w zabezpieczeniach odzwierciedla dodatkowy czas, jaki poświęcają badacze, na głębsze zbadanie niuansów tych potencjalnych błędów.

Zamiast koncentrować cenne, ograniczone zasoby na lukach w zabezpieczeniach, które z mniejszym prawdopodobieństwem będą miały wymierny wpływ, VISS może pomóc w proaktywnej ochronie środowiska i nadaniu priorytetu lukom, które z największym prawdopodobieństwem będą miały wpływ na organizację. Ponieważ wiele firm zmniejszyło zatrudnienie w ciągu ostatniego roku, priorytetyzacja ta ma kluczowe znaczenie, aby pomóc Ci zrozumieć, na czym warto skupić czas i wysiłek, aby uzyskać maksymalną wartość.

VISS analizuje podatność na ataki w oparciu o 13 aspektów, które są podzielone na kategorie platforma, infrastruktura i grupy danych. Uzyskany wynik liczbowy — w zakresie od 0 do 100 — odzwierciedla dotkliwość wpływu luk w zabezpieczeniach w określonym środowisku. Wyniki VISS można skorygować, korzystając ze wskaźnika zabezpieczeń kompensacyjnych, przez co zapewniają one właścicielom środowisk elastyczność w dostosowywaniu wyników do ich indywidualnego profilu ryzyka i tolerancji za pośrednictwem solidnego portalu administracyjnego.

Aby zagłębić się w szczegóły i wypróbować kalkulator VISS w Zoom, zapoznaj się z pełną specyfikacją VISS.

W 2023 roku firma Zoom sponsorowała wydarzenie hakerskie na żywo HackerOne H1-4420 w Londynie. Podczas tego wydarzenia luki w zabezpieczeniach zgłoszone przez hakerów przeszły zaawansowany proces oceny przy użyciu zarówno CVSS, jak i VISS. Metoda VISS umożliwiła lepszą alokację zasobów i większą koncentrację na eliminowaniu krytycznych i poważnych luk w zabezpieczeniach, udowadniając swoją skuteczność. 

Po przejściu na system VISS istotność przesyłania raportów dotyczących podatności na ataki przesunęła się z niskiej i średniej na wysoką i krytyczną. Badacze inwestują więcej czasu i energii, aby rozwinąć swoje sposoby wykorzystywania luk w zabezpieczeniach poza teoretyczne rozważania i bardziej w kierunku wykazania ich wpływu. W okresie od marca 2023 r. do 1  rudnia 2023 r. firma Zoom zaobserwowała 28% wzrost liczby zgłoszeń krytycznych i 12% wzrost liczby zgłoszeń o wysokiej istotności. Warto zauważyć, że w marcu 2023 r. nastąpił znaczny, 57% spadek liczby zgłoszeń o średnim stopniu istotności w porównaniu z poprzednimi 8 miesiącami przed wdrożeniem VISS. 

Misja VISS wykracza poza Zoom, a jej celem jest usprawnienie pracy zespołów reagowania na incydenty i zespołów ds. bezpieczeństwa na całym świecie. Jako kompleksowa i obiektywna miara podatności na ataki VISS przyczynia się do ciągłego dążenia branży do zapewniania bezpieczeństwa Internetu dla wszystkich.
Zapraszamy do zapoznania się z VISS, przyczynienia się do jego rozwoju i przyłączenia się do nas w rewolucjonizowaniu oceny podatności na ataki. Zbudujmy razem bezpieczniejszą cyfrową przyszłość. Zajrzyj do repozytorium open source pod adresem https://github.com/zoom/viss.

Kod źródłowy podlega licencji GPL 3.0.