Het Security Bulletin Severity Rating System van het Microsoft Security Response Center
MSRC (Microsoft Security Response Center) heeft tot taak onze klanten te helpen hun systemen en netwerken op een veilige manier te gebruiken. Tot de belangrijkste bezigheden van het MSRC behoort het evalueren van meldingen van klanten met betrekking tot vermoedelijke kwetsbare plekken of 'vulnerabilities' in producten van Microsoft. Verder zorgt het MSRC ervoor dat er zo nodig patches en Security Bulletins worden opgesteld en verspreid wanneer blijkt dat de meldingen gegrond zijn.
Het MSRC vaardigt een bulletin uit voor elke vulnerability in een product die naar het oordeel van Microsoft kan leiden tot schade aan de systemen van meerdere gebruikers, ongeacht hoe onwaarschijnlijk of beperkt deze schade ook moge zijn. Het is echter mogelijk dat deze voorzichtige aanpak ertoe heeft geleid dat het voor vele klanten moeilijker is geworden om die vulnerabilities te melden die een significant risico opleveren.
In de praktijk blijkt dat aanvallen op systemen van klanten zelden het gevolg zijn van tot dusver onbekende vulnerabilities die worden uitgebuit door de aanvallers. Net als het geval was bij de wormvirussen Code Red en Nimda richten aanvallers hun aandacht meestal op vulnerabilities waarvoor al geruime tijd patches beschikbaar zijn. Het probleem is alleen dat deze patches maar al te vaak niet worden toegepast.
Niet alle vulnerabilities treffen alle gebruikers even zwaar. In dit document presenteren we ons Security Bulletin Severity Rating System. Met behulp van dit systeem voor de kwalificatie van de ernst van Security Bulletins, dat we in november 2002 hebben aangepast naar aanleiding van feedback van klanten, kunnen onze klanten bepalen welke patches ze moeten toepassen om te voorkomen dat ze in bepaalde omstandigheden risico lopen en hoe snel ze actie moeten ondernemen. Klanten hebben er bij ons op aangedrongen deze informatie in onze bulletins op te nemen, zodat ze beter in staat zijn te bepalen of ze gevaar lopen.
Het Severity Rating System
In het Severity Rating System wordt aan elke vulnerability één kwalificatie of 'rating' toegekend. We onderscheiden de volgende kwalificaties:
| Kwalificatie | Definitie |
Kritiek | Bij misbruik van deze vulnerability is het mogelijk een internetworm te verspreiden zonder tussenkomst van de gebruiker. Security rating van Engelstalige bulletins: 'critical' |
Belangrijk | Misbruik van deze vulnerability kan leiden tot verstoring van de vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens van gebruikers of de integriteit of beschikbaarheid van computerresources. Security rating van Engelstalige bulletins: 'important' |
Matig | Misbruik van deze vulnerability wordt sterk beperkt door factoren als de standaardconfiguratie, controlefuncties of de moeilijkheidsgraad. Security rating van Engelstalige bulletins: 'moderate' |
Laag | Misbruik van deze vulnerability is extreem moeilijk of heeft weinig tot geen effect. Security rating van Engelstalige bulletins: 'low' |
Waar nodig zullen we aangeven wanneer de ernst van een vulnerability afhankelijk is van de systeemomgeving of het gebruik. Gebruik van dit kwalificatiesysteem veronderstelt dat de vulnerability bekend is en dat de programmacode of scripts waarmee deze vulnerability kan worden misbruikt, gemakkelijk verkrijgbaar zijn.
Het gebruik van het systeem
Vanaf nu zullen alle nieuwe Security Bulletins volgens dit kwalificatiesysteem worden beoordeeld. Patches voor meerdere vulnerabilities worden aangeduid op basis van de ernstigste nieuwe vulnerability waarvoor de patch in kwestie is bedoeld. Daarnaast worden in het bijbehorende bulletin altijd kwalificaties opgenomen voor elk probleem dat wordt beschreven.
We zijn van mening dat klanten die een product gebruiken dat wordt vermeld in een Security Bulletin, altijd de patches moeten toepassen die betrekking hebben op vulnerabilities met de kwalificatie Critical of Important. Patches met de kwalificatie Critical moeten zo snel mogelijk worden toegepast. Klanten wordt aangeraden het Security Bulletin over een vulnerability met de kwalificatie Moderate of Low te lezen om te bepalen of deze ook geldt voor hun specifieke configuratie. We zijn van oordeel dat patches met de kwalificatie Low voor de meeste klanten niet interessant zijn.
Hoewel dit kwalificatiesysteem tot doel heeft de ernst van elk probleem objectief te beoordelen, adviseren we klanten met klem hun eigen omgeving kritisch te bekijken en te bepalen welke patches vereist zijn ter bescherming van hun systemen.
