Nouveau standard CCSS (Common Configuration Scoring System)

Dans notre bulletin de sécurité du mois de mars 2007, nous vous avions dressé un récapitulatif des différentes initiatives existant autour du nommage des vulnérabilités : normes CVE, CME et CVSS tout d’abord (déjà adoptées par le Cert-IST), mais aussi OVAL, CPE et CWE.

Parallèlement à la gestion des vulnérabilités, d’autres travaux s’intéressent à la configuration des équipements et l’impact de cette dernière sur le niveau de sécurité d’un système. Le NIST (déjà à l’origine de nombre de ces travaux) vient en particulier de publier un rapport décrivant des mesures standards pour les problèmes de configuration de sécurité (security configuration issue). Ce rapport, à l’état de "draft", est intitulé "Common Configuration Scoring System" (CCSS).

En effet, les systèmes d’exploitation et les applications ont différentes options de configuration venant impacter leur niveau de sécurité (security configuration settings). CCSS vise donc à établir un ensemble de mesures pour les problèmes de configuration de sécurité et à leur attribuer une note (score). Ces notes CCSS, dont le calcul provient du standard CVSS (Common Vulnerability Scoring System), ont pour objectif d’estimer la gravité d’un problème de configuration.

 

Exemples

Afin d’illustrer l’utilisation de CCSS, nous allons prendre deux exemples tirés du draft du NIST, issus du standard CCE (Common Configuration Enumeration).

Pour rappel, le calcul de la note CVSS fait intervenir les acronymes suivants :

• AV : Access Vector
• AC : Access Complexity
• Au : Authentication
• C : Confidentiality Impact
• I : Integrity Impact
• A : Availability Impact

CCE-4675-5 : Cette option de sécurité concerne l’activation de l’audit au niveau du noyau sous les systèmes Solaris 10. Voici les valeurs obtenues pour cette option :

• Certains événements journalisés au niveau de l’audit du noyau peuvent être déclenchés à distance : AV:N
• Le niveau de complexité est faible car aucune action n’est nécessaire : AC :L
• Aucune authentification n’est nécessaire pour provoquer la faiblesse : Au :N
• L’échec de journalisation d’un événement au niveau du noyau a un impact partiel sur l’intégrité et aucun impact sur la confidentialité ou la disponibilité : C:N/I:P/A:N

La note CCSS de base obtenue est 5.0 - (AV:N/AC:L/Au:N/C:N/I:P/A:N).
 

CCE-3047-8 : Cette option de sécurité concerne la gestion des applications sous Windows XP. Ce service peut être activé ou désactivé. Si ce service est désactivé, mais devrait être activé, il empêche les utilisateurs locaux d’installer et d’utiliser de nouvelles applications, ce qui a un impact partiel sur la disponibilité. Si ce service est activé, mais devrait être désactivé, il permet à un utilisateur malveillant d’installer ou supprimer des programmes, ce qui a un impact partiel sur l’intégrité. Dans les deux cas, la faiblesse est exploitable en local, le niveau de complexité est faible et aucune authentification n’est nécessaire.

La note CCSS de base obtenue est 2.1 - (AV:L/AC:L/Au:N/C:N/I:N/A:P pour le premier cas, AV:L/AC:L/Au:N/C:N/I:P/A:N pour le second).

A l’heure actuelle, CCSS n’adresse que les problèmes de configuration de sécurité de base, c’est-à-dire non liés à l’évolution dans le temps et à l’environnement. L’intégration future de ces deux aspects devrait permettre à CCSS d’être utilisé par les organisations pour mettre en place des processus d’évaluation des risques et administrer la sécurité de la configuration de leurs systèmes.
 

Le Cert-IST continue de suivre attentivement l’évolution de ces initiatives afin d'évaluer l'intérêt de les intégrer à ses processus de traitement.

 Pour plus d’information

• Draft du NIST 7502 :
  http://csrc.nist.gov/publications/drafts/nistir-7502/Draft-NISTIR-7502.pdf
• Article du bulletin de sécurité du Cert-IST de mars 2007, intitulé "Standards pour la gestion des vulnérabilités" :
  http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/Veilletechnologique/standards_gestion_vulnerabilites/