Тема 2.5. Методика оценки уязвимости (защищенности) информации. Определение Уязвимость - слабое место в системе, которое может быть использовано злоумышленниками для нарушения ее безопасности и целостности. Угроза - это потенциальные опасности, которые могут возникнуть в информационной системе (ИС), если нарушитель использует ее уязвимости для атак. Уязвимости различаются в зависимости от источника возникновения, степени риска, распространенности, места в жизненном цикле системы, соотношения с подсистемами защиты АС. 2 Виды уязвимостей Уязвимости с риском — подразумевают, что злоумышленник может значительно воздействовать на систему в результате использования такой уязвимости. Уязвимости без риска — когда эксплуатация уязвимости не может нанести значимого вреда. Уязвимости могут быть эксплуатируемыми и неэксплуатируемыми, то есть такими, для которых еще не существует эксплойт. Однако и уязвимость, для которой есть эксплойт, может быть уязвимостью без риска. Все зависит от конкретной ситуации. 3 Классификация и оценка уязвимостей Для оценки уязвимостей можно использовать: • Банк данных угроз безопасности информации ФСТЭК (БДУ ФСТЭК) • Общая система оценки уязвимостей (CVSS) • Классификация уязвимостей CVE • Программа ScanOVAL для автоматизированных проверок наличия уязвимостей ПО 4 Банк данных угроз безопасности информации БДУ (банк данных угроз безопасности информации) — это банк данных, который в 2015 году сформировала ФСТЭК России совместно с заинтересованными органами власти и организациями. БДУ включает в себя базу данных уязвимостей программного обеспечения и описание угроз, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. На данный момент было выявлено: Угрозы: 222 Уязвимости: 61072 Последнее обновление банка: 30.09.2024г. 5 Раздел - Уязвимости 6 Общая система оценки уязвимостей (CVSS) CVSS состоит из трех основных метрик: • Группа базовых метрик представляет основные существенные характеристики уязвимости, которые не изменяются со временем и не зависят от среды. • Группа временных метрик представляет такие характеристики уязвимости, которые могут измениться со временем, но не зависят от среды. • Группа контекстных метрик представляет такие характеристики уязвимости, которые зависят от среды. 7 Название базовой метрики Вектор атаки (AV) Сложность атаки (AC) Взаимодействие с пользователем (пользовательский интерфейс) Требуемые привилегии (PR) Область действия (S) Конфиденциальность (C) Целостность (I) Доступность (A) Описание выражает «удаленность» атаки и способ эксплуатации уязвимости. говорит о сложности выполнения атаки и о том, какие факторы необходимы для ее успеха (нарядус взаимодействием с пользователем, сложность атаки ранее была частью метрики сложности доступа). определяет, требует ли атака активного участия человека или ее можно автоматизировать. документирует уровень аутентификации пользователя, необходимый для успешной атаки (это заменяет прежнюю метрику аутентификации). определяет, может ли злоумышленник повлиять на компонент за пределам и его области/полномочия безопасности. определяет, могут ли неавторизованные лица получить доступ к данным и в какой степени. измеряет влияние на достоверность данных. относится к влиянию на доступность данных или услуг для авторизованных пользователей. 8 Выбор базовых метрик 9 Выбор временных метрик 10 Выбор контекстных метрик 11 Классификация уязвимостей CVE Common Vulnerabilities and Exposures (CVE) представляет собой нечто вроде словаря известных угроз. Каждой присваивается идентификатор, где также указаны год, в который поступило сообщение об этой уязвимости, и номер, присвоенный экспертами из CNA (CVE Numbering Authorities). Это отдельная организация, состоящая из более чем 200 экспертных групп, объединяющих исследователей, специалистов по обнаружению уязвимостей, разработчиков. Наиболее авторитетная из них — та же Mitre. 12 Описание найденной угрозы с сайта CVE 13 Программа ScanOVAL Программа ScanOVAL предназначена для оперативного автоматизированного обнаружения уязвимостей программного обеспечения на рабочих станциях и серверах, функционирующих под управлением ОС семейства Microsoft Windows, а также ОС Linux. Программа ScanOVAL обеспечивает выполнение следующих основных функций: - загрузка XML-файлов с OVAL-описаниями уязвимостей, выполненными в соответствии со стандартом «The OVAL Language Specification» версии не ниже 5.10.1; - обнаружение на основании обработки данных, представленных в XMLфайлах, уязвимостей программного обеспечения, установленного на локальной ПЭВМ, работающей под управлением операционной системы семейства Microsoft Windows (Linux). 14 Интерфейс ScanOVAL для Windows 15 Интерфейс ScanOVAL для Linux 16 Спасибо за внимание 17
