Close
Deze pagina in jouw taal bekijken?
Alle talen
Kies je taal
Producten

Uitgelicht

Jira Software

Projecten en issues volgen

Confluence

Contentsamenwerking

Jira Service Management

Razendsnel ITSM

Trello

Visueel projectmanagement

Alle producten bekijken

Marketplace

Koppel duizenden apps en integraties voor al je Atlassian-producten

Close dropdown
Oplossingen

Uitgelicht

Werkbeheer

Projecten beheren en de doelen van alle teams op elkaar afstemmen om resultaten te behalen

IT-servicemanagement

Zorg dat Dev-, IT Ops- en bedrijfsteams razendsnel geweldige service kunnen leveren

Agile & DevOps

Geef leiding aan een flexibele softwareorganisatie van wereldklasse, van ontdekking tot levering en bedrijfsvoering

Per teamomvang

Enterprise

Kleine onderneming

Startup

Non-profit

Per teamfunctie

Softwareontwikkeling

IT

Finance

Marketing

HR

Per sector

Retail

Telecommunicatie

Professionele diensten

Overheid

Close dropdown
Resources

Leren

Atlassian University

Atlassian playbook

Productdocumentatie

Voor ontwikkelaars

Ondersteuning

Atlassian Community

Atlassian-ondersteuning

Atlassian Migration Program

Bedrijfsservices

Partnersupport

Aanschaf en licenties

Verbinden

Over ons

Vacatures

Work Life Blog

Evenementen

Close dropdown
Search
Nu proberen
Toggle menu
Close search

Ernstniveaus voor beveiligingsproblemen

Bronnen van kwetsbaarheid

  • Tickets voor de beveiligingsscanner, zoals die worden ingediend door Nexpose, Cloud Conformity, Snyk
  • Bug Bounty-bevindingen gevonden door beveiligingsonderzoekers via Bugcrowd
  • Beveiligingsproblemen die door het beveiligingsteam zijn gemeld als onderdeel van beoordelingen
  • Beveiligingsproblemen gemeld door Atlassians

Framework en beoordeling van ernst

Atlassian gebruikt het Common Vulnerability Scoring System (CVSS) als een methode om het veiligheidsrisico te beoordelen en prioriteiten te stellen voor elke ontdekte kwetsbaarheid. CVSS is een statistiek voor kwetsbaarheden in de branche. Meer informatie over CVSS vind je op FIRST.org.

Ernstniveaus

Beveiligingsadviezen van Atlassian bevatten een ernstniveau. Dit ernstniveau is gebaseerd op onze zelfberekende CVSS-score voor elke specifieke kwetsbaarheid.

  • Kritiek
  • Hoog
  • Gemiddeld
  • Laag

Voor CVSS v3 gebruikt Atlassian het volgende ernstbeoordelingssysteem:

CVSS V3-SCOREBEREIK
ERNST IN ADVIES

9,0 - 10,0

 Kritiek

7,0 - 8,9

 Hoog

4,0 - 6,9

 Gemiddeld

0,1 - 3,9

 Laag

In sommige gevallen kan Atlassian aanvullende factoren gebruiken die geen verband houden met de CVSS-score om de ernst van een kwetsbaarheid te bepalen. Deze aanpak wordt ondersteund door de CVSS v3.1 specificatie:

Tip van pro's:

Consumenten kunnen CVSS-informatie gebruiken als input voor een proces voor het beheren van organisatorische kwetsbaarheden dat ook rekening houdt met factoren die geen deel uitmaken van CVSS. Zo kunnen ze de bedreigingen voor hun technologie-infrastructuur rangschikken en weloverwogen herstelbeslissingen nemen. Dergelijke factoren kunnen zijn: aantal klanten op een productlijn, geldelijke verliezen als gevolg van een inbreuk, bedreigingen van leven of eigendommen, of publieke opinie over kwetsbaarheden waarover veel wordt gepubliceerd. Deze vallen buiten de reikwijdte van CVSS.

Wanneer Atlassian deze aanpak hanteert, zullen we beschrijven welke aanvullende factoren in overweging zijn genomen en waarom en wanneer we de kwetsbaarheid publiekelijk bekendmaken.

Hieronder staan enkele voorbeelden van kwetsbaarheden die in een bepaald ernstniveau kunnen resulteren. Houd er rekening mee dat deze beoordeling geen rekening houdt met details van je installatie en alleen als richtlijn moet worden gebruikt.

Ernstniveau: Kritiek

Kwetsbaarheden die in het kritieke bereik scoren hebben gewoonlijk de meeste van de volgende kenmerken:

  • Uitbuiting van de kwetsbaarheid leidt waarschijnlijk tot een compromis op rootniveau van servers of infrastructuurapparaten;
  • Uitbuiting is meestal eenvoudig, in die zin dat de aanvaller geen speciale authenticatiegegevens of kennis over individuele slachtoffers nodig heeft en een doelgebruiker niet hoeft te overtuigen (zoals via social engineering) om speciale functies uit te voeren.

Voor kritieke kwetsbaarheden wordt geadviseerd om zo snel mogelijk een patch of upgrade uit te voeren, tenzij je andere beperkende maatregelen hebt getroffen. Een verzachtende factor kan bijvoorbeeld zijn als je installatie niet toegankelijk is via internet.

Ernstniveau: Hoog

Kwetsbaarheden die in het hoge bereik scoren, voldoen meestal aan sommige van de volgende kenmerken:

  • De kwetsbaarheid kan moeilijk worden uitgebuit;
  • Uitbuiting kan leiden tot verhoogde machtigingen;
  • Uitbuiting kan leiden tot aanzienlijk(e) gegevensverlies of downtime.

Ernstniveau: Gemiddeld

Kwetsbaarheden die in het middenbereik scoren, voldoen meestal aan sommige van de volgende kenmerken:

  • Kwetsbaarheden die vereisen dat de aanvaller individuele slachtoffers manipuleert via social engineering-tactieken;
  • Denial of service-kwetsbaarheden die moeilijk in te stellen zijn;
  • Zwakke plekken waarbij een aanvaller zich op hetzelfde lokale netwerk moet bevinden als het slachtoffer;
  • Kwetsbaarheden waarvan uitbuiting slechts zeer beperkte toegang biedt;
  • Kwetsbaarheden waarvoor gebruikersrechten nodig zijn voor succesvolle uitbuiting.

Ernstniveau: Laag

Kwetsbaarheden in het lage bereik hebben doorgaans weinig impact op de bedrijfsvoering van een organisatie. Uitbuiting van dergelijke kwetsbaarheden vereist meestal lokale of fysieke systeemtoegang. Kwetsbaarheden in code van derden die niet bereikbaar zijn vanuit Atlassian-code kunnen ook een lager ernstniveau krijgen.

Tijdlijn voor herstel

Atlassian bepaalt service level objectives voor het oplossen van beveiligingsproblemen op basis van het ernstniveau van de beveiliging en het getroffen product. We hebben termijnen vastgesteld voor het oplossen van beveiligingsproblemen volgens ons beveiligingsbugfixbeleid.

De kortere termijnen voor probleemoplossing gelden voor:

  • Alle cloudgebaseerde Atlassian-producten
  • Jira Align (zowel de cloud- als zelfbeheerde versies)
  • Alle andere software of systemen die beheerd worden door Atlassian of draaien op een Atlassian-infrastructuur

De langere termijnen voor probleemoplossing gelden voor:

  • Alle zelfbeheerde Atlassian-producten
    • Dit zijn producten die door klanten worden geïnstalleerd op door klanten beheerde systemen
    • Dit omvat de Server-, Data Center-, desktop- en mobiele applicaties van Atlassian

CVSS-termijn voor probleemoplossing

Ernstniveaus
Versnelde tijdskaders voor probleemoplossing
Verlengde tijdskaders voor probleemoplossing

Kritiek

 Binnen 2 weken na verificatie Binnen 90 dagen na verificatie

Hoog

 Binnen 4 weken na verificatie Binnen 90 dagen na verificatie

Gemiddeld

 Binnen 6 weken na verificatie Binnen 90 dagen na verificatie

Laag

 Binnen 25 weken na verificatie Binnen 180 dagen na verificatie