System oceny ważności w biuletynach zabezpieczeń Centrum MSRC
|
Zadaniem centrum MSRC jest pomaganie naszym klientom przy bezpiecznym posługiwaniu się systemami i sieciami. Główna część tej misji wiąże się z oceną raportów klientów dotyczących podejrzeń występowania luk w produktach firmy Microsoft i, gdy jest to konieczne, wyprodukowanie i rozesłanie poprawek i biuletynów zabezpieczeń w odpowiedzi na rzetelne raporty.
Centrum MSRC publikuje biuletyny dotyczące każdej luki, która naszym zdaniem mogłaby spowodować narażenie komputerów wielu użytkowników, niezależnie od tego, jak mało jest to prawdopodobne. Jednak konserwatywne podejście do identyfikowania luk wymagających działania z naszej strony powoduje, że wielu klientów nie jest w stanie stwierdzić, które luki stanowią wyjątkowo duże zagrożenie.
Z doświadczeń wynika, że ataki docierające do systemów klienckich rzadko kiedy są wynikiem wykorzystania przez osobę atakującą nieznanych wcześniej luk. Raczej, tak jak w wypadku robaków Code Red oraz Nimda, ataki z reguły wykorzystywały luki, dla których poprawki były od dawna dostępne, ale nie zostały zastosowane.
Nie wszystkie luki w jednakowym stopniu rzutują na wszystkich użytkowników. W tym dokumencie zaprezentowano system oceny ważności w biuletynach zabezpieczeń. Ten system, poprawiony w listopadzie 2002, bazuje na informacjach zwrotnych od klientów i ma pomagać klientom decydować, które poprawki należy zastosować, aby uniknąć ataku w szczególnych okolicznościach, i jak szybko należy podjąć działanie. Klienci zachęcili nas do umieszczania tych informacji w biuletynach zabezpieczeń, aby mogli uzyskać pomoc przy określaniu zagrożenia.
System oceny ważności
System oceny ważności przypisuje każdej luce pojedynczą ocenę. Oto definicje ocen:
| Ocena | Definicja |
Krytyczna | Luka, której wykorzystanie może doprowadzić do rozprzestrzenienia robaka internetowego bez udziału użytkownika |
Ważna | Luka, której wykorzystanie może doprowadzić do naruszenia poufności, integralności lub dostępności danych użytkownika lub do naruszenia integralności bądź dostępności zasobów przetwarzania |
Umiarkowana | Możliwość wykorzystania jest w znacznym stopniu ograniczona przez czynniki takie jak domyślna konfiguracja, inspekcja lub trudność wykorzystania |
Niska | Luka, której wykorzystanie jest niezwykle trudne lub której znaczenie jest minimalne. |
Będziemy wskazywać, tam, gdzie jest to uzasadnione, wypadki, w których ważność luki zależy od środowiska systemu i jego używania. Ocena będzie oparta na konserwatywnym założeniu, że luka jest znana i że kod lub skrypty wykorzystujące tę lukę są powszechnie dostępne.
Korzystanie z systemu
Od tego momentu będziemy przypisywać ocenę ważności do każdego nowo wydawanego biuletynu zabezpieczeń. Poprawki usuwające kilka luk będziemy oznaczać na podstawie najpoważniejszej eliminowanej przez nie luki. Oprócz tego skojarzone biuletyny będą zawsze podawać oceny każdego opisanego problemu.
Uważamy, że klient korzystający z zagrożonego produktu niemal zawsze powinien zastosować poprawki usuwające luki ocenione jako krytyczne lub ważne. Poprawki ocenione jako krytyczne należy zastosować najszybciej jak to możliwe. Klienci powinni przeczytać biuletyn zabezpieczeń związany z każdą luką ocenioną średnio lub nisko, aby stwierdzić, czy istnieje prawdopodobieństwo, że luka rzutuje na jakąś konkretną konfigurację. Uważamy, że istnieje niewielkie prawdopodobieństwo, że poprawki ocenione jako niskie będą miały znaczenie dla większości klientów.
Wprawdzie system oceny ważności ma na celu zapewnienie w szerokim zakresie obiektywnej oceny każdego problemu, jednak zdecydowanie zalecamy klientów do oceniania własnych środowisk i podejmowania decyzji odnośnie do tego, które poprawki są niezbędne, aby chronić systemy.
Często zadawane pytania dotyczące modyfikacji systemu oceny ważności z listopada 2002 są podane tutaj (j.ang.).
