Vulnerabilità delle applicazioni: CVSS Exploitability Metrics

Exploitability Metrics

Queste metriche, che fanno parte della classificazione CVSS, descrivono le caratteristiche della componente vulnerabile. Pertanto, ciascuna delle metriche elencate in questa sezione devono essere valutate rispetto alla componente vulnerabile, e rispecchiano le proprietà della vulnerabilità che permettono ad un attacco di avere successo.

Vettore di attacco (AV)

Questa metrica riflette il contesto con cui vulnerabilità sfruttamento è possibile. Questo valore metrica (e di conseguenza il punteggio di base) sarà più grande è la più remota (logicamente e fisicamente) un aggressore può essere al fine di sfruttare la componente vulnerabile. Il presupposto è che il numero di potenziali aggressori per una vulnerabilità che potrebbe essere sfruttata da tutto il Internet è maggiore del numero di potenziali aggressori che potrebbe sfruttare una vulnerabilità che richiede l’accesso fisico a un dispositivo, e garantisce quindi un punteggio superiore.

Complessità dell’attacco (AC)

Questa metrica descrive le condizioni che esulano dal controllo dell’attaccante che devono esistere al fine di sfruttare la vulnerabilità. Come descritto di seguito, tali condizioni possono richiedere la raccolta di ulteriori informazioni sul bersaglio, la presenza di determinate impostazioni di configurazione di sistema, o eccezioni computazionali. È importante sottolineare che la valutazione di questa metrica esclude eventualmente la necessità di interazione con l’utente al fine di sfruttare la vulnerabilità (tali condizioni vengono acquisite in Interaction metrica Utente). Questo valore metrica è più grande per gli attacchi meno complesse. L’elenco dei possibili valori è presentato nella Tabella 2.

Privilegi necessari (PR)

Questa metrica descrive il livello di privilegi un utente malintenzionato deve possedere prima di sfruttare la vulnerabilità. Questa metrica se più grande se non hanno bisogno di privilegi.

Interazione utente (UI)

Questa metrica cattura il requisito per un utente, oltre al malintenzionato, a partecipare compromesso successo del componente vulnerabile. Questa metrica determina se la vulnerabilità può essere sfruttata esclusivamente alla volontà dell’attaccante, o se un utente separato (o un processo avviato dall’utente) deve partecipare in qualche modo. Questo valore metrica è maggiore quando non è richiesto alcun intervento da parte dell’utente.

Vulnerabilità delle applicazioni: introduzione a CVSS

Il Common Vulnerability Scoring System (CVSS) è framework aperto per comunicare le caratteristiche e l’impatto di vulnerabilità di sicurezza. Il suo modello quantitativo assicura una misurazione precisa e ripetibile, mentre gli utenti possono vedere le metriche che sono stati utilizzati per generare i punteggi di vulnerabilità.
CVSS ben si adatta ad essere adottato come sistema di misura standard per le industrie, organizzazioni e governi che hanno bisogno di punteggi precisi e coerenti sull’impatto di una vulnerabilità.

CVSS può essere utilizzato per pianificare le attività di correzione di vulnerabilità e nel calcolo della gravità della vulnerabilità scoperte sui propri sistemi.

CVSS è composto di tre gruppi di metriche: Base, Temporale e Ambientale, ciascuna composta da un insieme di parametri.

Il gruppo di metriche di base rappresenta le caratteristiche intrinseche di una vulnerabilità che sono costanti nel tempo. Si suddivide in due sottogruppi: metriche di sfruttabilità e le metriche di impatto.

Il gruppo di metriche temporali descrive le caratteristiche di una vulnerabilità che possono cambiare nel tempo, ma non in base all’ambiente dell’utente. Ad esempio, la presenza di un kit facilmente utilizzabile aumenterebbe il punteggio CVSS, mentre la creazione di una patch ufficiale lo abbasserebbe.

Il gruppo di metriche ambientali rappresenta le caratteristiche di una vulnerabilità che sono rilevanti per l’ambiente di un particolare utente. Queste metriche consentono all’analista di valutare la presenza di elementi nel proprio ambiente operativo, che possono modificare le conseguenze della vulnerabilità.

Configurare i parametri di allarme degli Endpoint

Alcune organizzazioni scelgono di non schedulare periodicamente una scansione Full Scan su tutte le macchine, ma di effettuarla all’occorrenza, ad esempio quando molti virus vengono individuati.

In questo caso il sistema mostrerà gli Endpoint nello stato critico, inducendo confusione in chi deve monitorare la protezione.

E’ possibile modificare questa configurazione, selezionando il gruppo ed entrando nelle proprietà

Di default un endpoint su cui non viene effettuata una full scan da oltre 7 giorni diviene warning, oltre 14 giorni diventa critical.

Togliendo il flag su questa voce non verrà più mostrato l’Endpoint in stato critical, altrettando andrà fatto per lo status warning.

E’ possibile anche tenere attivo il controllo, modificando il numero di giorni, occorre premere il tasto destro del mouse e premere “Modify”

Eccezioni in Kaspersky modulo Application Privileges Control

Application Privilege Control è un componente fondamentale di Kaspersky Security Endpoint for Business, in grado di bloccare le minacce ancora sconosciute anche se talvolta corre il rischio di bloccare qualche applicazione non malevola.

In questi casi l’amministratore deve modificare la policy ed inserire nel gruppo trusted l’applicazione bloccata.

Il primo passo consiste nel entrare nella policy e modificare “Application Privilege Control”

In Application rules premere il pulsante “Settings…” più in alto.

Premere il pulsante “Add”

Inserire in Application il nome dell’applicazione e premere Refresh, la schermata si popolerà dei dati sulle applicazioni raccolti sugli endpoint. Se viene inserito il nome l’applicazione incompleto, utilizzare * per fare una ricerca sulla maschera.

Trovate le applicazioni verificare quelli che non appartengono al gruppo trusted (premendo sulla colonna group vengono ordinati in base al gruppo), selezionarli ed in basso selezionare il gruppo in cui verranno spostati: Trusted.

Ora vedremo nel gruppo Trusted il nome degli eseguibili che abbiamo spostato. Confermiamo con il pulsante OK ed attendiamo che policy venga applicata per fare nuovamente dei test.

Protezione per Microsoft SharePoint

Molte aziende ed anche enti pubblici stanno sviluppando progetti con Microsoft SharePoint per creare dei portali di condivisione e scambio di documenti.

Questi portali permettono di caricare e scaricare dei documenti che vengono memorizzati all’interno di un database Microsoft SQL Server anzichè in comuni file.

Questi documenti spesso sono accessibili e/o caricati da utenti anche esterni che si trovano al di fuori del perimetro aziendale e che potrebbero non essere protetti secondo le policy aziendali o comunque con prodotti dello stesso livello qualitativo, ed in questa maniera SharePoint potrebbe diventare una falla nella sicurezza aziendale.

Un software antivirus comune non è in grado di analizzare i documenti memorizzati in SharePoint, proprio perché i documenti non sono dei file, ma sono dei record all’interno di un database.

E’ necessario un software progettato in modo specifico, come Kaspersky Security for Microsoft SharePoint, in grado di analizzare i documenti memorizzati sfruttando alcune tecnologie messe a disposizione da Microsoft come Virus Scan API (VSAPI)

Kaspersky Security for SharePoint Server permette di effettuare:

la scansione dei documenti memorizzati durante i download del file o quando effettuato il caricamento.
la scansione su richiesta di tutti i documenti memorizzati.
il controllo sul contenuto del documento con la possibilità di bloccarlo.

La struttura tecnica Argonavis ha conseguito la certificazione sul prodotto Kaspersky Security for Microsoft SharePoint ed è in grado di aiutarvi nella scelta del prodotto, nella sua installazione e configurazione.

Richiedi Informazioni

Exploitability Metrics

Vettore di attacco (AV)

Complessità dell’attacco (AC)

Privilegi necessari (PR)

Interazione utente (UI)

Categorie