זום חושפת את VISS – גישה מהפכנית לניתוח והערכת חולשות סייבר

במטרה לעצב מחדש את הערכת פגיעות (Vulnerability) גופים וארגונים להתקפות סייבר, כמו גם הליכי קבלת החלטות בתגובה לאירועים, מכריזה זום על פרויקט הקוד הפתוח החדשני Vulnerability Impact Scoring System – VISS.

פרויקט זה, שפותח במהלך השנה האחרונה, נועד לשפר את אמצעי האבטחה בארגונים, כדי ליצור נוף דיגיטלי בטוח יותר – באמצעות הגישה פורצת הדרך שפיתחה החברה להערכת פגיעות המערכות הארגוניות מפני התקפות סייבר. VISS מספקת ממשק ידידותי למשתמש, מבוסס אינטרנט, ומפעילה תוך כדי אלגוריתמים מתקדמים, המסייעים לאבחון מיידי של ההשפעה (הנזק) הצפויה של אירוע האבטחה.

VISS – פרספקטיבה של הגנה

בעוד שמערכות הערכה מסורתיות כמו Common Vulnerability Scoring System – CVSS – מתמקדות בנקודת המבט של התוקף ובתרחישים הגרועים ביותר, VISS מסתכלת על הסוגייה מפרספקטיבה אחרת. הפתרון החדש של זום למעשה משלים את CVSS עם מערכת הערכה ייחודית, המשפרת את יכולות התגובה לאירועים. על ידי מדידה אובייקטיבית של ההשפעה של נקודות התורפה מנקודת מבט של ההגנה, VISS יכולה לבסס את הערכותיה על בעיות מוכחות ולא על איומים תיאורטיים.

מאז מרץ 2023, זום משתמשת במערכת ההערכה החדשנית הזו כדי להעריך את תשלומי התגמולים במסגרת תוכנית ה-Bug bounty שלה. תוכנית זו מציעה חלל מאובטח לחוקרי אבטחה ומשתמשי מוצר כדי לחשוף פרצות אבטחה של זום, ללא חשש ממהלך משפטי. היוזמה הזו מלווה לעתים קרובות בתשלום למוצאים פרצות, והביאה לשינוי בולט באופי הדו"חות שהוגשו – מה שסימן התפתחות משמעותית משיטות קודמות.

בזום מאמינים שהמגמה המובחנת הזו – ממצאים בעלי השפעה גבוהה יותר וניצול רב שלבי מורכב יותר – משקפת את העובדה שחוקרים מקדישים זמן נוסף להתעמקות בניואנסים של פגיעויות פוטנציאליות.

למה זה חשוב?

במקום למקד משאבים מוגבלים יקרי ערך בנקודות תורפה שיש להן פחות סיכוי להוביל להשפעה אמיתית, VISS יכולה לעזור לכל ארגון להגן באופן יזום על הסביבה שלו ולתעדף את נקודות התורפה שסביר להניח שישפיעו עליו. עם חברות רבות שצמצמו את מספר העובדים במהלך השנה האחרונה, סדר העדיפויות הזה חיוני כדי לעזור לכל ארגון להבין היכן למקד את הזמן והמאמץ, על מנת לקבל מניעה מקסימלית של איומי סייבר.

האנטומיה של VISS

VISS מנתחת נקודות תורפה בהתבסס על 13 היבטי השפעה, המחולקים לפי פלטפורמה, תשתית וקבוצות נתונים. הציון המספרי המתקבל – הנע בין 0 ל-100 – משקף את חומרת ההשפעה בסביבה ספציפית. באמצעות המדד Compensating Controls, ציוני VISS ניתנים להתאמה ומספקים גמישות כדי להתאים ציונים בהתאם לפרופיל הסיכון והסבילות האישי באמצעות פורטל ניהול חזק.

כדי לראות את הפרטים הספציפיים ולנסות את היישום החדש, עיינו במפרט ה-VISS המלא.

VISS בפעולה: מקרה בוחן עם HackerOne

זום מימנה השנה את אירוע ההאקינג HackerOne H1-4420, שנערך בלונדון, ובמהלך אירוע זה, הגשת דו"חות הפגיעות של ההאקרים עברו תהליך הערכת באגים מתקדם באמצעות CVSS ו-VISS. שיטה זו הדגימה את האפקטיביות של VISS, הקלה על הקצאת משאבים משופרת והביאה להתמקדות מוגברת בטיפול בפגיעויות בדרגות חומרה גבוהות.

מיקוד לפגיעות בדרגת חומרה גבוהה יותר

לאחר המעבר ל-VISS, הגשת דו"חות הפגיעות עברה מדרגות חומרה נמוכה ובינונית לדרגות חומרה גבוהה וקריטית. התברר שחוקרים משקיעים יותר זמן ואנרגיה כדי לפתח את הפרויקטים שלהם מעבר לעניין תיאורטי, ויותר לקראת השפעה מוכחת. במשך התקופה שבין מרץ 2023 ל-1 בדצמבר 2023, זום ראתה עלייה של 28% בדיווחים שסווגו כ-"רמה קריטית" וגידול של 12% בדיווחים שסווגו כ-"חמורים". יש לציין שחלה ירידה משמעותית, של 57%, בדיווחים שסווגו כ-"רמה בינונית", בהשוואה לשמונת החודשים שלפני יישום VISS במרץ 2023.

מעצימים צוותי אבטחה ברחבי העולם

המשימה של VISS משתרעת מעבר לזום, במטרה לעזור לשפר את התגובה לאירועים ואת האבטחה ברחבי העולם. על ידי מתן מדד מקיף ואובייקטיבי של השפעת הפגיעות לתעשייה, VISS תורמת למאמץ המתמשך ליצירת אינטרנט מאובטח לכולם.

זום מזמינה את העוסקים בתחומי הסייבר לחקור את VISS, לתרום לפיתוחה ולהצטרף לזום במהפכה בהערכת השפעת הפגיעות לטובת בניית עתיד דיגיטלי בטוח יותר.

ניתן למצוא את מאגר הקוד הפתוח כאן. קוד המקור כפוף לרישיון GPL 3.0.