Пояснительная записка (1209237), страница 3
Текст из файла (страница 3)
База данных уязвимостей IBM X-Force (по данным на 04.2017) содержит 82550 записей об уязвимостях. Записи имеются как о программном, так и техническом обеспечении большого числа производителей. Организован удобный поиск по различным ключевым словам, таким как производитель, наименование программного и технического обеспечения, типам и видам уязвимостей и другим.
В запись уязвимости в базе X-Force входят следующие основные поля:
-
общее описание уязвимости и способа ее эксплуатации;
-
ближайшие последствия от реализации уязвимости;
-
базовая оценка по системе CVSS – сложность и параметры реализации и влияние на параметры информации (конфиденциальность, целостность, доступность);
-
существующие способы исправления;
-
ссылки на источники и другие базы данных уязвимостей.
В среднем, на каждую уязвимость база данных IBM X-Force предоставляет 6 ссылок на источники информации об уязвимости.
База данных уязвимостей CVE (по данным на 04.2017) имеет 85402 записи о подтвержденных уязвимостях. Эта база ведется с 1999 года и содержит записи о множестве производителей и моделей программного и технического обеспечения. Эта база данных ведется усилиями общественности, что дает ей полноту и объективность, но и приводит к некоторой несогласованности.
Основные поля записи об уязвимости в базе данных CVE составляют:
-
общее описание уязвимости;
-
ссылки на другие базы данных и источники информации об уязвимостях;
-
внутренняя информация базы данных об уязвимости, которая предназначена для подтверждения существования уязвимости.
В среднем, на каждую уязвимость база данных уязвимостей CVE предоставляет 5,6 ссылок на источники информации об уязвимости.
Важно заметить, что уязвимости в базе данных CVE не привязаны к программному и техническому обеспечению, а также не производится их оценка с позиции сложности реализации и степени производимого эксплуатацией ущерба. Но при этом база данных CVE представляет собой достаточно полный список уязвимостей.
База данных уязвимостей США NVD (по данным на 04.2017) имеет 89610 записей об уязвимостях. Эта база поддерживается Национальным Институтом Стандартов и Технологий США с 1988 года.
В запись об уязвимости в базе данных NVD входят следующие основные поля:
-
общее описание уязвимости;
-
оценка уязвимости по системе CVSS – сложность и область реализации и влияние на параметры защищенности информации;
-
ссылки на сторонние источники информации об уязвимости;
-
тип уязвимости;
-
наименование и версия уязвимого программного или технического обеспечения по системе CPE.
В среднем на уязвимость база данных NVD предоставляет 5,3 ссылок на источники информации об уязвимости.
Таблица 3.1 представляет основные данные о рассматриваемых базах данных уязвимостей.
Таблица 3.1 – Сравнение баз данных уязвимостей
| БДУ ФСТЭК | IBM X-Force | CVE | NVD | |
| Количество записей | 16332 | 82550 | 85402 | 89610 |
| Среднее количество ссылок | 4,5 | 6 | 5,6 | 5,3 |
| Общее описание уязвимости | + | + | + | + |
| Наименование ПО или ТО | + | + | + | |
| Оценка уязвимости | + | + | + | |
| Рекомендации по устранению | + | + |
По результатам сравнения видно, что Банк данных ФСТЭК сильно уступает другим базам по количеству записей об уязвимостях. Это связано с малым сроком жизни базы (с 2014 года) и сконцентрированностью на основных производителях программного обеспечения на рынке. Также Банк данных пока не учитывает уязвимости микропроцессорного программного обеспечения технических средств. Остальные базы показывают близкое количество записей (лидер – NVD).
Структура записи наиболее полная у баз данных уязвимостей ФСТЭК и X-Force. Наименьшее количество информации представляется в записях CVE, предполагается, что всю недостающую информацию можно найти по ссылкам.
Таким образом, к использованию рекомендуются все указанные базы уязвимостей по различным причинам:
-
банк данных угроз ФСТЭК – как национальная база данных угроз России;
-
база данных уязвимостей X-Force – из-за наиболее полной структуры записей и наибольшего количества ссылок на информацию;
-
база данных CVE – как общественно-поддерживаемая полная и проверяемая база;
-
база данных США NVD – из-за наибольшего количества записей и используемого удобного словаря программных и технических продуктов.
При этом, использование нескольких баз данных уязвимостей одновременно крайне рекомендуется, так как возможно отсутствие конкретного случая в какой-то одной из баз.
Использование баз данных уязвимостей представляет собой ручной поиск уязвимостей в базах для каждого программного и технического продукта, используемого в информационной системе. Подобный список состава системы составляется при реализации других мер обеспечения информационной безопасности, в частности АНЗ.4.
Для каждого пункта этого списка следует найти все уязвимости в выбранных базах данных. Почти каждая из них содержит поле «Наименование продукта», кроме CVE. Но это наименование дублируется в описании, поэтому поиск возможен по любой базе данных уязвимостей.
Каждая найденная таким образом уязвимость должна быть занесена в список найденных уязвимостей. В качестве формата записи следует использовать паспорт уязвимости согласно ГОСТ Р 56545-2015. Паспорт имеет следующие поля, указанные в таблице 3.2.
Таблица 3.2 – Паспорт уязвимости
| Элемент описания | Описание элемента |
| Наименование уязвимости | Текстовая информация об уязвимости, на основании которой возможно установить причину и (или) последствия уязвимости |
| Идентификатор уязвимости | Алфавитно-цифровой код, включающий код базы данных уязвимостей, год выявления и порядковый номер в текущем году. |
Продолжение таблицы 3.2
| Элемент описания | Описание элемента |
| Идентификаторы других систем описания | Идентификаторы уязвимости в общедоступных базах данных уязвимостей. Возможно выполнение в виде гиперссылок. |
| Краткое описание уязвимости | Текстовая информация об уязвимости и возможностях ее использования |
| Класс уязвимости | Класс уязвимости в соответствии с ГОСТ Р 56546-2015 |
| Наименование продукта и его версия | Информация о программном или техническом обеспечении и его уязвимая версия |
| Служба (порт) | Комбинированная информация о службе (системной или сетевой), о сетевом порте, который используется для функционирования продукта, и сетевой проток передачи данных |
| Язык программирования | Язык (языки) программирования, который был использован в при разработке уязвимого продукта |
| Тип недостатка | Тип недостатка информационной системы согласно ГОСТ Р 56546-2015 |
| Идентификатор типа недостатка | Алфавитно-цифровой код типа недостатка, который берется из общедоступных источников (в частности CWE) |
| Место возникновения уязвимости | Компоненты системы, которые содержат уязвимость согласно ГОСТ Р 56546-2015 |
| Наименование операционной системы и тип платформы | Информация об операционной системе и типе аппаратной платформы |
| Дата выявления уязвимости | Информация о дате обнаружения уязвимости в виде ДД/ММ/ГГГГ |
Окончание таблицы 3.2
| Элемент описания | Описание элемента |
| Способ (правило) обнаружения уязвимости | Формализованное правило обнаружения уязвимости, позволяет при помощи специальной процедуры провести проверку наличия уязвимости (например на языке OVAL). Возможно неформализованное описание для внутреннего пользования. |
| Критерии опасности уязвимости | Информация о критериях, используемых при оценке опасности уязвимости, и их значениях. (например используя систему CVSS) |
| Степень опасности уязвимости | Текстовая информация, которая принимает одно из четырех значений: «критическая», «высокая», «средняя» или «низкая» |
| Возможные меры по устранению | Предложения и рекомендации по устранению обнаруженной уязвимости или исключению возможности использования уязвимости нарушителем |
| Прочая информация | Текстовая информация, дополняющая общую информацию об уязвимости |
Таким образом, будет составлен список найденных в системе уязвимостей с предложениями по их устранению. Рекомендации из этого списка затем необходимо преобразовать в набор мероприятий по устранению уязвимостей путем простого переноса. Порядок, время выполнения и ответственные лица назначаются в плане выполнения мероприятий по устранению уязвимостей. Этот план будет дополняться в процессе реализации других способов поиска уязвимостей.
Возможно, что некоторые уязвимости не имеют способов устранения. Такие уязвимости сложно устранимы и требуют введения дополнительных мер защиты информации. Эти меры будут определены в процессе выполнения работ по созданию (корректированию) системы защиты информации, реализуемой в информационной системе. В этом процессе используются полученные данные об актуальных угрозах безопасности информации, которые, в свою очередь, определяются существующими уязвимостями информационной системы. Соответственно, необходимо составить список не устраненных уязвимостей с указанием параметров, по которым в дальнейшем будут определяться актуальные угрозы.
Каждая угроза безопасности информации из банка данных угроз ФСТЭК содержит в своем описании обстоятельства, при которых возможно реализация угрозы. Это и является связью с уязвимостью, эксплуатация которой делает возможным реализацию угрозы информационной безопасности. Таким образом, все не устраненные уязвимости следует свести в список, классифицированный таким образом, что наличие записи об уязвимости в этом списке помогало определить возможность реализации угрозы.
Такую классификацию предоставляет ГОСТ Р 56546-2015 «Классификация уязвимостей информационных систем». Данный документ предлагает следующие основные параметры уязвимости:
-
область происхождения уязвимости:
-
уязвимость кода – уязвимость, появившаяся в процессе разработки программного обеспечения;
-
уязвимость конфигурации – уязвимость, появившаяся в процессе задания конфигурации программного обеспечения и технических средств информационной системы;
-
уязвимость архитектуры – уязвимость, появившаяся в процессе проектирования информационной системы;
-
организационная уязвимость – уязвимость, появившаяся в связи с недостатками организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации, требований организационно-распорядительных документов по защите информации и (или) несвоевременным выполнением соответствующих действий должностным лицом;
-
многофакторная уязвимость – уязвимость, появившаяся в результате наличия нескольких недостатков различных типов.
-
тип недостатка информационной системы, создаваемый уязвимостью:
-
неправильная настройка параметров ПО;
-
неполнота проверки вводимых данных;
-
возможность прослеживания пути доступа к каталогам;
-
возможность внедрения ссылки на сторонний ресурс, содержащий вредоносный код;
-
возможность внедрения команд операционной системы;
-
межсайтовый скриптинг;
-
внедрение интерпретируемых операторов языка программирования или разметки;
-
внедрение произвольного кода;
-
переполнение буфера памяти;
-
неконтролируемая строка аргументов функции языка программирования;
-
ошибки вычислений (неверный диапазон, неверная обработка числа со знаком, потеря части числа в процессе усечения, неверная индикация порядка битов);
-
раскрытие информации ограниченного доступа (например, генерация сообщения об ошибке программного обеспечения);
-
управление полномочиями;
-
управление разрешениями, привилегиями и доступом;
-
аутентификация;
-
криптографические преобразования;
-
подмена межсайтовых запросов;
-
«Состояние гонки» (функционирование системы зависит от порядка выполнения части кода);
-
управление ресурсами (недостаточность мер освобождения участков памяти перед повторным использованием);
место возникновения уязвимости:
-
в общесистемном программном обеспечении. Это операционные системы, системы управления базами данных и иных типов общесистемного программного обеспечения;
-
в прикладном программном обеспечении. Это офисные пакеты программ и иное прикладное программное обеспечение;
-
в специальном программном обеспечении. Это программное обеспечение, разработанное специально для задач данной конкретной информационной системы;
-
в технических средствах. Это программное обеспечение технических средств: микропрограммы в ПЗУ, микропрограммы в логических интегральных схемах, базовая система ввода-вывода, контроллеров и интерфейсов управления и иные;
-
в портативных технических средствах. Это операционные системы мобильных устройств, приложения на мобильных устройствах с доступом к Интернет-сервисам, интерфейсы беспроводного доступа и иные;
-
в сетевом оборудовании. Это маршрутизаторы, коммутаторы, концентраторы, соты и иные типы сетевого оборудования. Это протоколы и сетевые сервисы, средства и протоколы управления сетевым оборудованием, механизмы разграничения доступа к управлению сетевым оборудованием;
-
в средствах защиты информации. Это средства управления доступом, идентификации и аутентификации, контроля целостности, доверенной загрузки, антивирусной защиты, системы обнаружения вторжений, межсетевого экранирования, ограничения программной среды, стирания и контроля удаления информации, средства защиты каналов передачи информации и иные средства защиты.
Таким образом, каждая не устраненная уязвимость заносится в список в следующем формате, указанном в таблице 3.3.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
