Get best of the week

التهديد الخفي - تحليل الضعف من خلال الرسم البياني للأخبار

عندما تواجه نقطة ضعف جديدة ، ما هو الفكر الأول؟ بالطبع ، استجب في أسرع وقت ممكن. ومع ذلك ، فإن السرعة ليست سوى أحد شروط الكفاح الفعال ضد تهديدات أمن المعلومات. عندما يتعلق الأمر بأمن الشركات ، من المهم بنفس القدر أن تحدد بدقة ما يجب أن تستجيب له أولاً. يمكن أن يتسبب التهديد الذي لا يُقدر حقه في الخسارة أو فقدان الشهرة. ولكن إذا كان عدد الثغرات يتزايد باستمرار ، فكيف يمكن تقييم أهميتها بسرعة وعدم تفويت التفاصيل المهمة؟


ديناميات الضعف من قبل مجموعة CVSS (المصدر - vulners.com)

لتصنيف الثغرات حسب معايير مختلفة ، يتم استخدام مقياس نقاط CVSS (نظام تسجيل نقاط الضعف الشائعة) بشكل تقليدي ، حيث يصنف الثغرات حسب معايير مختلفة ، من تعقيد الاستغلال إلى الضرر الذي حدث والمعلمات الأخرى.

يبدو ، لماذا نخرج بشيء آخر - ولكن نقاط CVSS لديها نقطة ضعف واحدة - فهي تعتمد على تقديرات الخبراء التي لا تدعمها الإحصائيات الحقيقية.. سيكون من الأكثر فاعلية تقديم حالات الخبراء التي تم اختيارها بالفعل وفقًا لمعايير كمية معينة واتخاذ قرارات بناءً على بيانات تم التحقق منها - ولكن من أين تحصل على هذه البيانات وماذا تفعل بعد ذلك؟ يبدو أنها مهمة غير عادية ومثيرة للاهتمام لمركز البيانات - وكان هذا التحدي هو الذي ألهمني وفريق Vulners لمفهوم جديد لتقييم وتصنيف الثغرات بناءً على رسم بياني للمعلومات ذات الصلة.

لماذا الرسوم البيانية؟ في حالة الشبكات الاجتماعية ووسائل الإعلام ، تم استخدام أساليب الرسم البياني لفترة طويلة وناجحة لأغراض مختلفة: من تحليل توزيع المحتوى في تدفق الأخبار إلى الملاحظات حول تأثير كبار المؤلفين على آراء القراء وتجميع الشبكات الاجتماعية حسب الاهتمامات. يمكن تمثيل أي ثغرة على شكل رسم بياني يحتوي على بيانات - أخبار عن التغييرات في البرامج أو الأجهزة والآثار التي تسببها.

حول البيانات


لم يكن عليّ جمع أخبار عن كل تحديث يدويًا ، فقد تم العثور على جميع النصوص الضرورية في قاعدة بيانات الثغرات المفتوحة لـ vulners.com. بصريا ، البيانات هي على النحو التالي:



كل ثغرة ، بالإضافة إلى اسمها وتاريخ النشر والوصف ، لديها عائلة (NVD ، وماسحة ضوئية ، واستغلال ، وما إلى ذلك) تم تعيينها بالفعل لها (تصنيف CVD (يتم استخدام CVSS فيما يلي) الإصدار 2) ، بالإضافة إلى روابط للأخبار ذات الصلة.

إذا قدمت هذه الروابط بشكل تخطيطي في شكل رسم بياني ، فستظهر إحدى الثغرات على النحو التالي: تشير الدائرة البرتقالية إلى المنشور المصدر أو الأصل ، وتشير الدوائر السوداء إلى الأخبار التي يمكنك النقر عليها أثناء وجودك في الصفحة الرئيسية ، وتمثل الدوائر الرمادية الأخبار ذات الصلة ، التي يتم الوصول إليها من خلال يمكنك فقط الاطلاع على جميع المنشورات التي أشارت إليها الدوائر السوداء. كل لون من الدوائر هو مستوى جديد من الرسم البياني للمعلومات ذات الصلة ، من الصفر - الثغرة الأصلية ، إلى الأول والثاني وما إلى ذلك.



بالطبع ، عند عرض عنصر إخباري واحد ، نعرف فقط المستوى صفر والمستوى الأول ، وبالتالي ، للحصول على جميع البيانات ، استخدمنا طريقة اجتياز الرسم البياني بعمق ، مما سمح لنا بكشف تشابك الأخبار من البداية إلى أحدث العقد المتصلة (يشار إليها فيما يلي باسم عقدة الرسم البياني). في هذه المرحلة ، ظهرت مشاكل التحسين - استغرق تجميع الرسم البياني على مدى فترة طويلة وقتًا طويلاً وكان يجب استحضاره مع كل من البرنامج النصي وهيكل البيانات. بالمناسبة ، قررت أن أحزم البيانات النهائية في الباركيه لمزيد من العمل معهم باستخدام شرارة SQL ، الأمر الذي سهل التحليل الأولي بشكل كبير.

كيف تبدو بيانات الرسم البياني؟ سيساعدنا التخيل على فهم طبيعتها بشكل أفضل. يُظهر الشكل 4 رسمًا بيانيًا لضعف الثغرات Heartbleed المعروف ولكن غير الخطير (فقط 5 من أصل 10 نقاط على مقياس cvss).



بالنظر إلى هذه "الباقة" الرائعة من الأخبار والمآثر ذات الصلة ، حيث النقطة الحمراء هي نقطة الضعف الأصلية ، نتفهم أن Heartbleed قد تم التقليل من قيمته بشكل كبير.

باستخدام هذا المثال ، يمكننا أن نستنتج أن النظامية والمدة ومعلمات الضعف الأخرى يتم تقديرها جيدًا إلى حد ما باستخدام مقاييس الرسم البياني. فيما يلي مثالان على مقاييس البحث التي كانت بمثابة أساس لتصنيف بديل:

  • عدد العقد في الرسم البياني - مسؤول عن "اتساع" الثغرة ، وكم أثر تركها في أنظمة مختلفة ،
  • عدد المخططات الفرعية (مجموعات كبيرة من الأخبار) - مسؤول عن دقة المشكلة أو وجود مناطق مشكلة كبيرة داخل الضعف ،
  • عدد الثغرات والتصحيحات ذات الصلة - يتحدث عن انفجار الأخبار وعدد المرات التي يجب "معالجتها" ،
  • عدد الأنواع والعائلات الفريدة من الأخبار في الرسم البياني يتعلق بالمنهجية ، أي عدد النظم الفرعية المتأثرة بتأثير الضعف ،
  • المدة من المنشور الأول إلى أول استغلال ، والوقت من المنشور الأول إلى آخر الأخبار ذات الصلة - حول الطبيعة الزمنية للضعف ، سواء كانت تمتد مع "ذيل" كبير من العواقب أو تتطور وتتلاشى بسرعة.

بالطبع ، هذه ليست جميع المقاييس ؛ تحت غطاء البحث ، هناك الآن حوالي 30 مؤشرًا تكمل المجموعة الأساسية لمعايير CVSS ، بما في ذلك متوسط ​​الزيادة بين مستويات الرسم البياني لضعف الأخبار ، ونسبة الاستغلال في المستوى الأول من الرسم البياني ، وأكثر من ذلك بكثير.

افتح المنطقة الرمادية


والآن القليل من علوم البيانات والإحصاءات - بعد كل شيء ، يجب تأكيد الفرضيات على البيانات ، أليس كذلك؟

للتجربة بمقياس بديل ومقاييس جديدة ، تم اختيار الأخبار المنشورة في يناير 2019. هذه 2403 رسالة إخبارية ونحو 150 ألف سطر في عمود الأخبار. تم تقسيم جميع نقاط ضعف المصدر إلى ثلاث مجموعات وفقًا لدرجة CVSS:

  • عالية - من 8 نقاط شاملة.
  • متوسط ​​- من 6 شامل إلى 8 نقاط.
  • منخفض - أقل من 6 نقاط.

أولاً ، دعنا نرى كيف ترتبط نتيجة CVSS بعدد الأخبار ذات الصلة في الرسم البياني وعدد أنواع الأخبار وعدد الثغرات:







في الصورة المثالية ، كان يجب أن نرى فصلًا واضحًا للمقاييس في ثلاث مجموعات ، ولكن هذا لم يحدث ، مما يشير إلى احتمال وجود منطقة رمادية ، أي نقاط CVSS لا تحدد - هذا هو هدفنا.

كانت الخطوة المنطقية التالية هي تجميع نقاط الضعف في مجموعات متجانسة وبناء مقياس جديد.

بالنسبة للتكرار الأول ، تم اختيار مصنّف متري بسيط ووسائل k وتم الحصول على مصفوفة جديدة من التقديرات: تم العثور على النقاط الأولية (متوسطة ، منخفضة ، عالية) على المحور Y ، على طول X ، حيث 2 هي الأكبر في مقاييس الثغرات الجديدة ، 1 هي الثغرات الجديدة ، 0 هي الأصغر.



منطقة تتميز بعلامة بيضاوية (فئة الضعف 2 مع تصنيف أولي منخفض ومتوسط) - نقاط ضعف محتملة يمكن تقديرها بشكل محتمل. يبدو الفصل في فصول جديدة أكثر وضوحًا ، وهو ما كنا نهدف إليه:







ومع ذلك ، فإن مجرد الثقة في النماذج فكرة سيئة ، خاصة عندما يتعلق الأمر بالتجمع غير الخاضع للرقابة ، حيث لا تكون الإجابة الصحيحة معروفة من حيث المبدأ ، ويمكنك الاعتماد فقط على مقاييس الفصل للفئات التي تم الحصول عليها .

وهذا هو المكان الذي نحتاج فيه إلى معرفة متخصصة - لأنه من أجل اختبار جيد وتفسير للنتائج ، فإن معرفة مجال الموضوع ضرورية. لذلك ، من المستحسن التحقق من النموذج بشكل نقطي ، على سبيل المثال ، عن طريق سحب بضع نقاط ضعف لتحليل مفصل.

فيما يلي بعض العينات الساطعة من المنطقة الرمادية التي حصلت على نقاط CVSS منخفضة ، ولكن درجة الرسم البياني العالية - مما يعني احتمال أن تكون هناك أولوية مختلفة للعمل معهم. إليك ما تبدو عليه في التمثيل البياني:

CVE-2019-0555 (درجة CVSS 4.4 ، درجة الرسم البياني 2 عالية)





SMB_NT_MS19_JAN_DOTNET.NASL (درجة CVSS 5.0 ، درجة الرسم البياني 2 عالية)





CVE-2019-1653 (درجة CVSS 5.0 ، فئة الرسم البياني 2 - عالية)





RHSA-2019: 0130 (نتيجة CVSS 5.0 ، فئة الرسم البياني 2 - عالية)





يبدو أن المفهوم قد تم تأكيده من خلال الإحصائيات والتحقق من النقاط ، لذلك في المستقبل القريب نريد الانتهاء من أتمتة مجموعة مقاييس الرسم البياني وأتمتتها - وربما - المصنف نفسه. بالطبع ، لا يزال هناك الكثير من العمل الذي يتعين القيام به - من جمع عدد كبير من الرسوم البيانية الجديدة لأشهر غير مشمولة في الدراسة ، ولكن هذا يضيف فقط الحماس ، كما يفعل جوهر المهمة. بصفتي عالم بيانات ، يمكنني القول أن العمل في هذه الدراسة كان تجربة ملهمة بشكل لا يصدق ، سواء من حيث الموضوع أو التعقيد - حتى العمل الهندسي التحضيري باستخدام بيانات سيئة التنظيم كان مثيرًا للاهتمام للغاية.

أخيرا


كيفية اتخاذ خطوة من تقييمات الخبراء إلى الأعداد الحقيقية وتقييم ما لا يقدر بثمن؟

بعد الدراسة ، أصبح من الواضح أنه ، أولاً وقبل كل شيء ، هناك حاجة إلى نهج نقدي ليس فقط لأي مقياس أو بيانات ، ولكن للعملية ككل ، لأن العالم ديناميكي للغاية ويتغير بشكل أسرع من المنهجيات والتوثيق. يتم تقييمها دائمًا بطريقة واحدة - لماذا لا تحاول تغيير زاوية الرؤية؟ كما يوضح المثال ، يمكن تأكيد أكثر الفرضيات غير المعتادة.

يتم لعب دور مهم من خلال توفر البيانات لأخصائيي البيانات - فهو يسمح لك بالتحقق بسرعة من أكثر الفرضيات جرأة وفهم جوهر مجال الموضوع الخاص بك في جميع مظاهره. لذلك ، إذا كنت لا تجمع أو تحذف البيانات "غير الضرورية" حتى الآن ، فكر في الأمر ، ربما هناك الكثير من الاكتشافات الكامنة هناك. تشير هذه الحالة إلى أن البيانات المدفوعة وأمن المعلومات يكملان بعضهما البعض بشكل مثالي.

More articles:


All Articles