Представляем систему VISS: революционный подход к оценке воздействия уязвимостей

Мы рады объявить об общедоступности нашего инновационного проекта с открытым исходным кодом — системы оценки воздействия уязвимостей (Vulnerability Impact Scoring System, или VISS), которая поможет изменить систему оценки уязвимостей и реагирования на инциденты. Этот проект, разработанный в прошлом году, направлен на усиление мер безопасности путем применения нашего новаторского подхода к оценке уязвимостей в целях создания более безопасной цифровой среды. Система VISS имеет удобный веб-интерфейс и продвинутые алгоритмы, которые отдают предпочтение фактическому демонстрируемому воздействию, а не теоретическим возможностям влияния на безопасность.

В то время как в традиционных системах оценки, таких как общая система оценки уязвимостей (Common Vulnerability Scoring System, CVSS), основное внимание уделяется точке зрения злоумышленника и наихудшим сценариям, в системе VISS применяется иной подход. Она дополняет CVSS, предлагая уникальную систему оценки, которая расширяет возможности реагирования на инциденты. Объективно измеряя воздействие уязвимостей с точки зрения защитника, система VISS может основывать свои оценки на реальных проблемах, выявленных с помощью ответственно используемых средств эксплуатации уязвимостей, а не на теоретических угрозах. 

Компания Zoom использует эту инновационную систему оценки для расчета вознаграждений в рамках своей программы Bug Bounty с марта 2023 года. Благодаря этой программе исследователи в области безопасности и пользователи продуктов получают безопасную гавань, в которой можно обнаруживать и раскрывать уязвимости безопасности Zoom, не опасаясь правовых санкций. Вследствие этой инициативы, которая часто предусматривает выплату вознаграждения за находку, представляемые отчеты существенно преобразились, что знаменует собой значительный шаг вперед по сравнению с предыдущими методами.

Мы считаем, что эта заметная тенденция к увеличению количества находок, оказывающих более серьезное воздействие, и все более сложных многоэтапных средств эксплуатации уязвимостей отражает то, что исследователи уделяют дополнительное время тому, чтобы глубже вникнуть в нюансы потенциальных уязвимостей.

Система VISS может помогать вам проактивно защищать свою среду и определять приоритетность уязвимостей, которые с наибольшей вероятностью могут повлиять на организацию, так что вам не нужно тратить драгоценные ограниченные ресурсы на уязвимости, которые могут оказать ощутимое воздействие с меньшей вероятностью. Учитывая, что многие компании в прошлом году сократили численность персонала, такая приоритизация крайне важна, поскольку позволяет определить, на что необходимо тратить время и усилия, чтобы получить максимальную выгоду.

Система VISS анализирует уязвимости на основе 13 аспектов воздействия, которые делятся на группы по платформам, инфраструктуре и данным. Полученная числовая оценка в диапазоне от 0 до 100 отражает серьезность воздействия в конкретной среде. Оценки системы VISS корректируются с использованием метрики «Компенсирующие средства контроля», и владельцы сред получают гибкость в адаптации оценок в соответствии с индивидуальным профилем риска и допустимой погрешностью благодаря надежному порталу администрирования.

Для того чтобы тщательно рассмотреть особенности и попробовать созданный компанией Zoom калькулятор системы VISS, ознакомьтесь с полным описанием системы VISS.

В 2023 году в Лондоне компания Zoom спонсировала хакерское мероприятие в реальном времени H1-4420, которое проводила компания HackerOne. В ходе этого мероприятия для представленных хакерами отчетов об уязвимостях выполнялось расширенное оценивание ошибок с использованием систем CVSS и VISS. Этот метод продемонстрировал эффективность системы VISS и способствовал улучшению распределения ресурсов и повышению концентрации внимания на устранении уязвимостей критической и высокой степени серьезности. 

После перехода на систему VISS в представляемых отчетах об уязвимостях вместо уязвимостей низкой и средней степени серьезности стали указываться уязвимости высокой и критической степени серьезности. Исследователи уделяют больше времени и усилий развитию своих средств эксплуатации уязвимостей, чтобы они позволяли выявлять в большей степени демонстрируемое воздействие, а не только теоретическое. За период с 1 марта по 1 декабря 2023 года в компании Zoom наблюдалось увеличение количества отчетов об уязвимостях критической степени серьезности на 28%, а высокой степени серьезности — на 12%. Примечательно, что количество представленных отчетов об уязвимостях средней степени серьезности существенно снизилось, на 57%, по сравнению с предыдущими 8 месяцами до внедрения системы VISS в марте 2023 года. 

Миссия системы VISS выходит за пределы компании Zoom и направлена на оказание помощи командам по безопасности и реагированию на инциденты по всему миру. Предоставляя отрасли комплексную и объективную оценку воздействия уязвимостей, система VISS вносит свой вклад в постоянное стремление обеспечить безопасный интернет для всех.
Приглашаем вас изучить систему VISS, внести свой вклад в ее развитие и проводить революционную оценку воздействия уязвимостей вместе с нами. Давайте строить более безопасное цифровое будущее вместе. Посетите репозиторий с открытым исходным кодом по адресу https://github.com/zoom/viss.

На исходный код распространяется лицензия GPL 3.0.