Tiết lộ về VISS: cách tiếp cận đột phá để chấm điểm tác động lỗ hổng

Để góp phần định hình lại bối cảnh đánh giá lỗ hổng và ứng phó sự cố, chúng tôi rất vui mừng được thông báo về việc cung cấp rộng rãi dự án mã nguồn mở đột phá của chúng tôi: Hệ thống chấm điểm tác động lỗ hổng hay VISS. Được phát triển trong năm vừa qua, dự án này nhằm mục đích tăng cường các biện pháp bảo mật cho bối cảnh kỹ thuật số an toàn hơn thông qua phương pháp đột phá của chúng tôi về chấm điểm lỗ hổng. VISS cung cấp giao diện người dùng (UI) dễ sử dụng trên web và các thuật toán nâng cao ưu tiên cho tác động đã được chứng minh thực tế so với khả năng tác động đến bảo mật theo lý thuyết.

Trong khi các hệ thống chấm điểm truyền thống như Hệ thống chấm điểm lỗ hổng thường gặp (CVSS) tập trung vào góc nhìn của kẻ tấn công và các tình huống xấu nhất thì VISS lại có quan điểm khác. Giải pháp này bổ sung cho CVSS khi cung cấp một hệ thống đánh giá độc đáo giúp nâng cao khả năng ứng phó sự cố. Bằng cách đo lường khách quan tác động của các lỗ hổng từ quan điểm của người bảo vệ, VISS có thể đưa ra đánh giá dựa trên việc khai thác chứng minh được kết quả một cách có trách nhiệm thay vì các mối đe dọa theo lý thuyết. 

Kể từ tháng 3 năm 2023, Zoom đã sử dụng hệ thống chấm điểm đổi mới này để đánh giá các khoản giải ngân phần thưởng trong Chương trình săn lỗi của chúng tôi. Chương trình này tạo ra một chỗ trú an toàn cho các nhà nghiên cứu bảo mật và người dùng sản phẩm để phát hiện và tiết lộ các lỗ hổng bảo mật cho Zoom mà không phải lo lắng về việc phải đối mặt với sự trả đũa về pháp lý. Thường kèm theo một khoản phí cho người phát hiện được gọi là tiền thưởng, sáng kiến này đã chứng kiến sự thay đổi đáng chú ý trong các báo cáo được gửi, qua đó đánh dấu sự phát triển đáng kể so với thực tiễn trước đây.

Chúng tôi tin rằng xu hướng rõ ràng hướng tới những phát hiện có tác động lớn hơn này và các trường hợp khai thác nhiều bước ngày càng phức tạp cho thấy cách các nhà nghiên cứu đang dành thêm thời gian để tìm hiểu sâu hơn về sắc thái của các lỗ hổng tiềm ẩn.

Thay vì tập trung nguồn lực hữu hạn quý giá cho các lỗ hổng ít có khả năng gây tác động hữu hình, VISS có thể giúp bạn chủ động bảo vệ môi trường của mình và ưu tiên cho các lỗ hổng gần như chắc chắn sẽ ảnh hưởng đến tổ chức của bạn. Với việc nhiều công ty đã cắt giảm nhân sự trong năm vừa qua, tính năng sắp xếp ưu tiên này là điều rất quan trọng để giúp bạn biết nơi cần tập trung thời gian và nỗ lực để đạt được giá trị tối đa.

VISS phân tích các lỗ hổng dựa trên 13 khía cạnh tác động, được phân loại thành các nhóm nền tảng, cơ sở hạ tầng và dữ liệu. Điểm số thu được từ 0 đến 100 phản ánh mức độ nghiêm trọng của tác động trong một môi trường cụ thể. Thông qua chỉ số Kiểm soát cân bằng bù trừ, điểm VISS có thể điều chỉnh được và tạo điều kiện để chủ sở hữu môi trường tùy chỉnh điểm một cách linh hoạt theo hồ sơ rủi ro cá nhân và khả năng chấp nhận rủi ro của họ thông qua một cổng quản trị mạnh mẽ.

Để tìm hiểu chi tiết cụ thể và thử việc triển khai công cụ tính VISS của Zoom, hãy xem thông số VISS đầy đủ.

Zoom đã tài trợ cho sự kiện hacking trực tiếp HackerOne H1-4420 tại London vào năm 2023 và trong sự kiện này, báo cáo về lỗ hổng bảo mật nhận được từ các hacker đã trải qua quy trình đánh giá lỗi nâng cao thông qua cả Hệ thống chấm điểm lỗ hổng thường gặp (CVSS) và Hệ thống chấm điểm tác động lỗ hổng (VISS). Thông qua việc thể hiện tính hiệu quả của VISS, phương pháp này đã tạo điều kiện cải thiện việc phân bổ nguồn lực và tập trung cao độ vào việc giải quyết các lỗ hổng Nghiêm trọng và Rất nghiêm trọng. 

Sau khi chuyển sang VISS, việc gửi báo cáo về lỗ hổng đã chuyển từ mức độ Ít nghiêm trọng và Nghiêm trọng trung bình sang Nghiêm trọng và Rất nghiêm trọng. Các nhà nghiên cứu đang đầu tư nhiều thời gian và công sức hơn để phát triển các cách khai thác vượt ra ngoài phạm vi lý thuyết và hướng tới tác động đã được chứng minh nhiều hơn. Trong khoảng thời gian từ tháng 3 năm 2023 đến ngày 1 tháng 12 năm 2023, Zoom đã quan sát thấy báo cáo Rất nghiêm trọng tăng mạnh ở mức 28% và báo cáo Nghiêm trọng tăng 12%. Đáng chú ý, số lượt gửi ở mức độ nghiêm trọng trung bình đã giảm một mức đáng kể là 57% so với 8 tháng trước đó, trước khi triển khai VISS vào tháng 3 năm 2023. 

Sứ mệnh của VISS mở rộng ngoài phạm vi Zoom, hướng đến mục đích góp phần kiện toàn các nhóm bảo mật và ứng phó sự cố trên toàn cầu. Bằng cách cung cấp cho ngành một thước đo toàn diện và khách quan về tác động của lỗ hổng, VISS góp phần vào quá trình không ngừng hướng tới một mạng internet an toàn cho mọi người.
Chúng tôi mời bạn khám phá VISS, đóng góp cho quá trình phát triển của hệ thống này và cùng chúng tôi đổi mới việc chấm điểm tác động lỗ hổng. Hãy cùng xây dựng một tương lai kỹ thuật số an toàn hơn. Xem kho lưu trữ mã nguồn mở tại https://github.com/zoom/viss.

Mã nguồn tuân theo quy định của giấy phép GPL 3.0.