Chanzo: www.hackerone.com – Mwandishi: Josh Jacobson. Skena za moja kwa moja na zana ni kelele; Hawajui biashara yako na hawawezi kuondoa muktadha wa kuelewa kweli uhalali na athari. Ukadiriaji wa ukali ni nadhani zilizo na umechangiwa, na kiasi kimechangiwa. Suala hili la upotofu linawaacha viongozi wa usalama na zana ambazo kusudi la pekee linaonekana kuwa likikusumbua kila wakati. Shida inayosababishwa na tasnia ya uchovu wa tahadhari sio bila athari. Mara nyingi, tunaona uhusiano uliokosea kati ya watengenezaji na timu za usalama. Matokeo ya skana ya kelele na ripoti za pentest zilizochujwa bila kujali zimekuwa “mvulana ambaye alilia mbwa mwitu,” na wahandisi wamejifunza kupuuza tiketi kwa sababu sio sahihi. Utamaduni wa usalama uliovunjika unaweka mfano hatari kwa uwezo wa shirika kujibu haraka tishio wakati kushinikiza kunapokuja. Timu za AppSec zinachukua mzigo wa kuchuja arifu Firehose ili kuchanganyikiwa kufadhaika. Wakati inafanya kazi, ni matumizi yasiyofaa ya uhandisi wa usalama wa nadra na talanta ya AppSec. Njia bora inahitajika. Katika chapisho hili, tutajadili jinsi unavyoweza kutumia nguvu ya watapeli ili kupata thamani zaidi na hatua kutoka kwa data yako ya hatari. Ugunduzi: Picha ya uunganisho wa matokeo ya Hacker inayozalishwa na Dall-e 3 Wacha tukabiliane nayo: Backlog ya kurekebisha ni kubwa kuliko uwezo wa kurekebisha. Vyombo vya kiotomatiki, kama upimaji wa usalama wa matumizi ya tuli (SAST) na upimaji wa usalama wa programu (DAST), ongeza arifu mpya kwenye rundo kila siku, mara nyingi hupuuza uhalali. Mahali pazuri pa kuanza na kupata mtego kwenye nyuma ni kuendesha mazoezi ya uunganisho. Matokeo ya Hacker kutoka kwa Programu yako ya Kufichua Udhaifu (VDP) au Programu ya Fadhila ya Mdudu (BBP) inakuja na sifa ya data yenye nguvu: Udhaifu huo uligunduliwa kwa nje na mtu aliye nje ya shirika lako. Hacker! Ugumu unaotambuliwa na mtu kutoka nje hushikilia maji mengi kuliko madai yasiyosimamiwa ya zana ya skanning moja kwa moja. Kiwango hiki cha ziada cha ugunduzi hukuwezesha kupanga upya nyuma na kile kinachoweza kugunduliwa na kuweza kutumia. Weka mazoezi ya uunganisho rahisi mwanzoni. Correlate kati ya sifa zinazopatikana kwa urahisi kama aina ya mali na udhaifu wa kawaida (CWE). Kuchanganya ushahidi wa uunganisho na mfumo wa kawaida wa bao la udhaifu (CVSS) hufanya nafasi nzuri ya kuanza kugeuza nyuma kuwa barabara iliyopewa kipaumbele. Unapofanya barabara kuu kwa wakati, unaweza kuzingatia maelewano zaidi kama vile miisho, njia, vigezo, upakiaji, nk Athari za biashara: wacha wapeanaji wakuambie wazungushe nyuma, unahitaji kuwa na uelewa wazi wa biashara Athari za kila hatari ili uweze kutanguliza wale walio na uwezo wa kusababisha athari mbaya. Ukadiriaji wa ukali wa CVSS wa udhaifu peke yake hautoi umuhimu wa mtu binafsi kwa biashara yako. Mazingira yako ya kipekee ya biashara, kama mfano wa tishio, ahadi za faragha za data, na kanuni, zinaweza kurekebisha athari za kupatikana fulani. Njia bora ya kuongeza mwelekeo uliokosekana wa athari za biashara ni kuwaruhusu watekaji wakuambie. Ingiza udhaifu unaojulikana kutoka kwa zana za SAST au DAST kwenye programu yako na uwaombe watapeli kujaribu na kuzitumia. Ikiwa watafanikiwa, wanalipwa fadhila. Hii inasuluhisha suala la upotofu na zana za kiotomatiki: Hackare huchochewa kifedha ili kuongeza kila wakati kwa athari kubwa zaidi ya biashara. Hackare hutumia ubunifu wao kutafuta njia za riwaya za kuonyesha athari za biashara zenye maana. Wakati na wakati tena, tumeona watapeli wakichukua kitu kinachoonekana kuwa sawa na kuibadilisha kuwa “ukurasa wa timu sasa!” Kiwango cha mdudu. Kupitia zoezi hili, unajifunza haraka ni udhaifu gani unaoweza kutumia kutoka nje na athari zao za kweli za biashara. Pamoja na habari hiyo mpya, unaweza kuweka kipaumbele kwa ujasiri rasilimali zako za kurekebisha kuelekea mende zinazoweza kutumia zaidi, zenye athari kubwa. Pia inatoa amani ya akili kwamba kunyima arifu zingine haziacha shirika lako likiwa wazi. Uwezo wa picha ya unyonyaji inayotokana na Dall-e 3 hata ikiwa unajua kuna hatari ambayo ni halali na inatumika kutoka nje, bado kuna swali lililobaki: kuna uwezekano gani kwamba hatari hii itanyonywa? Suala hili linaenea sana wakati wa kuweka kipaumbele udhaifu wa kawaida na mfiduo (CVE). Cves nyingi huwa hazitumiki porini, achilia mbali silaha kwa kiwango kikubwa. Kuelewa uwezekano wa unyonyaji wa ndani ni zana yenye nguvu katika mchakato wa kurekebisha. Hacktivity ya Hackerone inatoa sifa mbili za data zinazosaidia ambazo zinawakilisha uwezekano wa hatari fulani ya unyonyaji wa CVE. Ya kwanza ni kwamba ndani ya Ugunduzi wa CVE, unaweza kuangalia Cves zinazoelekeza na uangalie ni mara ngapi wanaripotiwa kwenye jukwaa la Hackerone. Ya pili ni kuchanganya hii na rating ya Mfumo wa Kuweka alama ya Utabiri (EPSS) ya CVE. EPSS, inayoongoza mfano wa utabiri, hutoa kipimo cha moja kwa moja cha unyonyaji kwa kila CVE. Alama ya EPSS inakadiria uwezekano wa kuangalia majaribio ya unyonyaji wa porini dhidi ya udhaifu huo katika siku 30 zijazo. Zote mbili huleta pamoja chanzo kingine bora cha muktadha wa sababu katika juhudi zako za kipaumbele cha udhaifu. Kupanga hatua zifuatazo uzuri wa njia hizi tatu ni kwamba sio lazima uanze na zote tatu wakati huo huo. Unaweza kuzifunga kwa wakati unapoonyesha maendeleo. Unaweza kuanza na uunganisho rahisi wa matokeo ya Hacker na uone ni umbali gani. Mara tu ukimaliza mileage, gonga mtandao wako wa watapeli na ujenge athari za biashara kwenye mfano wako wa kipaumbele. Mwishowe, ongeza na uwezekano wa unyonyaji kama pembejeo ya hali ya juu. Mara tu ukifanya mkakati mzuri wa kipaumbele na hatari, hivi karibuni utaanza kupata wakati nyuma. Hii inafungua fursa za kuwekeza rasilimali katika hatua za usalama zinazofanya kazi. Hizi ni mipango muhimu ambayo inazuia ujenzi wa nyuma wa siku zijazo na kupunguza hatari ya usalama kabisa. Katika blogi ya baadaye, tutachunguza njia za kuwa ngumu zaidi katika kazi yako ya kurekebisha. Ikiwa una nia ya kuendesha mazoezi ya uunganisho au unahitaji msaada wa kujenga athari za biashara katika mfano wako wa kipaumbele kupitia huduma za ushauri wa usalama, wasiliana na wataalam wetu leo au ufikie Meneja wa Mafanikio ya Wateja wa Hackerone. URL ya chapisho la asili: https://www.hackerone.com/blog/vulnerability-prioritization-severity-does-not-mean-priority
Leave a Reply