Wie wird das Schwachstellen-Scoring (Schweregrad) von Palo Alto-Netzwerken bestimmt?
18273
Created On 02/11/22 17:55 PM - Last Modified 01/31/23 01:45 AM
Question
Wie kategorisiert PaloAlto Networks den Schweregrad der Bedrohung?
Environment
- Palo Alto Firewalls und Panorama .
- PAN-OS 8.1 und höher.
- Bedrohungssignatur.
Answer
- Der Schweregrad der Signatur wird in der Regel durch die Kombination von Überlegungen einschließlich der CVSS Punktzahl und anderer Faktoren bestimmt. CVSS Die Punktzahl spielt eine große Rolle.
- Palo Alto-Netzwerke führen ihre eigene Analyse der Schwachstellen durch.
- Die Analyse basiert darauf, wie einfach es ist, die Sicherheitsanfälligkeit auszunutzen, die Auswirkungen auf die Sicherheitsanfälligkeit, die Verbreitung des anfälligen Produkts, die Auswirkungen der Sicherheitsanfälligkeit und mehr.
- CRITICAL Strenge:
- Wenn die Sicherheitsanfälligkeit Standardinstallationen von sehr weit verbreiteter Software betrifft und die Exploits dazu führen können, dass root kompromittiert wird. Die CVE Punktzahl ist sehr hoch.
- Der Exploit-Code( Informationen darüber, wie man den Systemcode ausnutzt, Methoden, Proof of Concept (POC)) ist weit verbreitet und einfach auszunutzen.
- Der Angreifer benötigt keine speziellen Authentifizierungsdaten, kein Wissen über einzelne Opfer und keinen Social Engineer.
- Hohe Schweregrad:
- A Verwundbarkeit, die alle Merkmale aufweist CRITICAL , aber schwer auszunutzen ist,
- Führt nicht zu Root-Zugriff oder erhöhten Privilegien, Opferpool ist begrenzt, erfordert Social Engineering.
- HIGH Schwachstellen, bei denen der schadensbegrenzende Faktor aus einem Mangel an technischen Exploit-Details resultiert, werden zu Schwachstellen CRITICAL , wenn diese Details später zur Verfügung gestellt werden.
- Daher wird der paranoide Administrator solche HIGH Schwachstellen als CRITICALbehandeln wollen, wenn davon ausgegangen wird, dass Angreifer immer über die notwendigen Exploit-Informationen verfügen.
- Mittlerer Schweregrad:
- Wenn die Ausbeutung einen sehr eingeschränkten Zugriff auf das System des Opfers bietet, kann dies leicht gemildert werden,
- Verlangen Sie, dass sich ein Angreifer im selben lokalen Netzwerk wie ein Opfer befindet, Social Engineering einzelner Opfer und wirken Sie sich nur auf nicht standardmäßige Konfigurationen oder obskure Anwendungen aus.
- LOW Schweregrad:
- Schwachstellen allein haben nur sehr geringe Auswirkungen auf die Infrastruktur eines Unternehmens.
- Diese Arten von Schwachstellen erfordern in der Regel lokalen oder physischen Systemzugriff oder können häufig zu clientseitigen Datenschutz- oder Denial-of-Service-Problemen und Informationslecks in der Organisationsstruktur, Systemkonfiguration und -versionen oder Netzwerktopologie führen.
- Eine andere Art von niedriger Signatur kann auf Datenverkehr hinweisen, der für einen Angriff auf einen Server erforderlich ist, z. B. Microsoft RPC Endpoint Mapper.
- Um Microsoft-Schwachstellen RPC erfolgreich anzugreifen, muss ein Angriff zuerst einen RPC Endpunkt abfragen.
- INFORMATIONAL Schweregrad:
- Bei Schwachstellen handelt es sich möglicherweise nicht um Schwachstellen, sondern um verdächtige Ereignisse, von denen berichtet wird, dass Sicherheitsexperten darauf aufmerksam gemacht werden, dass möglicherweise tiefere Probleme vorliegen könnten.
Additional Information
Die CVSS Wertung finden Prisma cloud Sie hier.
Beispiel:
CVSS BASE SCORE | PRISMA CLOUD SEVERITY |
---|---|
0.0 - 3.9 | Niedrigen |
4.0 - 6.9 | Medium |
7.0 - 8.9 | Hohe |
9.0 -10.0 | Kritische |