• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Введение ч.1 «Руководство по общему стандарту оценки уязвимостей» CVSS v2

    Оглавление

    аудит информационной безопасностиВ текущий момент IT менеджмент вынужден выявлять и проводит оценку уязвимостей в различных программных и аппаратных платформах. Им необходимо каким-либо образом ранжировать их по риску и выбирать из них те, которые необходимо закрывать в первую очередь. Однако уязвимостей много, на всех платформах подсчет ведётся по своим правилам. Каким же образом IT менеджеры должны превратить этот массив неорганизованной информации в план по устранению IT уязвимостей. Общая система учета уязвимостей (ОСУУ) это открытая платформа, которая помогает в решении этой проблемы.

    Ее преимущества:

    • - Стандартизированная шкала уязвимостей. Когда организация вводит общую шкалу уязвимостей применительно ко всем программным и аппаратным платформам, она может разработать единую политику управления закрытием уязвимостей. Это политика может быть похожа на соглашение об уровне предоставления услуги (SLA) которая устанавливает, насколько быстро конкретная уязвимость должна быть определена и устранена.
    • - Открытая платформа. Пользователя могут быть в недоумении, что уязвимости будет присвоено какое-либо значение. Что означает каждое конкретное значение? Как это значение будет отличаться у похожих уязвимостей? Используя ОСУУ каждый может видеть индивидуальные характеристики, используемые при получении общего значения.
    • - Ранжирование по риску. Когда рассчитана инфраструктурная составляющая, уязвимость обретает связь с конкретным случаем. Таким образом, рассчитанный  показатель уязвимости представляет фактический риск для конкретной компании. Это дает пользователям основу для сравнения уязвимостей.

    1.1 Что такое CVSS?

    ОСУУ состоит из трех групп показателей: базовой, временной и инфраструктурной.

    Базовая группа показателей

    Отражает основные неотъемлемые свойства уязвимости, которые остаются неизменными с течением времени и не зависят от конкретной инфраструктуры. В нее входят:

    • - Вектор доступа
    • - Сложность
    • - Необходимость аутентификации
    • - Урон конфиденциальности
    • - Урон целостности
    • - Урон доступности

    Группа временных показателей

    Отражает характеристики уязвимости, которые меняются со временем, но не зависят от конкретной инфраструктуры. В нее входят:

    • - Возможность эксплуатации
    • - Сложность закрытия
    • - Уверенность при докладе

    Группа инфраструктурных показателей

    Отражает характеристики уязвимости, которые проявляют себя на конкретной инфраструктуре. В нее входят:

    • - Сопряженный ущерб
    • - Требования конфиденциальности
    • - Требование целостности
    • - Требования доступности
    • - Распределение целей

    Целью базовой группы показателей ОСУУ является определение основных характеристик уязвимости. Объективный подход к характеристике уязвимостей предоставляет пользователям четкий и интуитивно понятный образ уязвимости. Пользователь может рассчитать временные и инфраструктурные показатели для более точной оценки риска в каждом конкретном случае. Это позволяет им  принимать более взвешенные решения для снижения риска, создаваемого уязвимостями.

    1.2 Другие системы учета уязвимостей

    Существует несколько других систем учета уязвимостей (СУУ), которые разработаны как коммерческими, так и не коммерческими организациями. У них у каждой есть свои преимущества, но они различаются по объекту измерения. Например, значение показателя уязвимости в рамках CERT/CC находиться в пределах от 0 до 180, и учитывает такие факторы, как насколько риску подвержена инфраструктура, связанная с интернетом, или какой набор условий необходим для эксплуатации уязвимостей. Шкала анализа уязвимостей SANS учитывает, найдена ли уязвимость в стандартных настройках, найдена ли в конфигурации клиента или сервера. Частная СУУ Microsoft пытается отразить в своей оценке сложность эксплуатации и общее негативное влияние уязвимости. Несмотря на то, что их можно признать полезными, эти СУУ представляют универсальный подход, подразумевая, что влияние конкретной уязвимости одинаково для каждого отдельного человека или организации.

    Также, чтобы описать, что такое ОСУУ, можно сказать, чем она точно не является:

    • - Системой рейтинга угроз, подобных тем, что используются Министерством внутренних дел или SansInternetStormCentre. Эти службы осуществляют предупреждение об угрозах критически важным информационным системам США и мира соответственно.
    • - Базой данных уязвимостей, такой как Национальная база данных уязвимостей (NDV), опенсурсной базой данных уязвимостей (OSVDB), Bugtraq. Эти базы данных содержат большой массив данных об известных уязвимостях их деталях.
    • - Системой определения уязвимостей, такой как стандарт отрасли CVE или база дынных  слабых мест IT-систем CWE. Эти системы классифицируют все уязвимости по источнику возникновения, например ошибка в коде, в настройке или в самой архитектуре.

    1.3 Как работает ОСУУ?

    Когда присвоены значения базовым показателям, рассчитывается базовый показатель от 0 до 10, и создается вектор. Этот процесс проиллюстрирован на рисунке №1. Вектор помогает лучше понять природу уязвимости. Это текстовая строка, которая содержит все показатели, и она служит для того, чтобы можно было понять, как было рассчитано каждое конкретное значение. Следовательно, вектор должен быть всегда размещен вместе с результирующим показателем.

    стандарт оценки уязвимостей
    Рисунок №1. Расчет показателя ОСУУ

    При необходимости, базовый показатель может быть изменен в  соответствии с рассчитанными показателями временной и инфраструктурной групп. Это полезно для характеристики риска, представляемой уязвимостью для конкретной инфраструктуры пользователя. Но это не всегда требуется, однако в некоторых случаях, они могут вносить серьезный вклад в изменение базового показателя.

    Если необходим учет временной группы, то ее результирующий показатель складывается с базовой так, чтобы получить значение от 0 до 10. Точно также, если необходимо учесть инфраструктурную составляющую, то результирующий показатель инфраструктурной группы складывается с общей картиной и приводиться к значению от 0 до 10.

    1.4 Кто определяет показатели?

    Обычно, базовые и временные показатели определяются аналитиками компаний, ведущих учет уязвимостей, производителями средств информационной защиты, разработчиками ПО, потому что у них обычно есть более полная и точная информация о характеристиках уязвимостей. Инфраструктурные показатели обычно определяются пользователями, потому что они лучше могут оценить возможный вред от конкретной уязвимости в своем конкретном случает.

    1.5 Кто владеет CVSS?

    CVSS находиться под контролем Форума групп чрезвычайного реагирования в информационной сфере (FIRST). Однако, это полностью открытый и свободный стандарт. Ни одна организация не владеет CVSS и членство в FIRST не нужно для использования в своей деятельности CVSS. Единственным требованием к компаниям, применяющим в своей деятельности CVSS, является следование его положениям в полном объеме и предоставление не только результирующего значения, но и вектора, по которому можно понять принцип расчета.

    1.6 Кто использует CVSS?

    Много организаций используют CVSS, и все находят ему применение по разному. К ним относятся:

    • - Компании, ведущие учет уязвимостей. Коммерческие и некоммерческие организации размещают в своих бесплатных бюллетенях базовые и временные показатели. В таких бюллетенях много информации, включая дату обнаружения, уязвимые системы и ссылки на дополнительную информацию.
    • - Производители ПО. Производители ПО предоставляют базовые оценки и векторы своим потребителям. Это помогает им корректно отражать степень опасности уязвимостей в их продуктах и помогает клиентам управлять своими IT рисками.
    • - Пользовательские организации. Многие организации частного сектора используют CVSS внутри предприятий  дли принятия информированных решений по управлению безопасностью. Они используют сканеры уязвимостей для их обнаружения, и, сравнивая полученные данные с CVSS, получают уникальную оценку информационных рисков, и устраняют наиболее серьезные уязвимости.
    • - Анализ уязвимостей и управление безопасностью. Компании занимающиеся анализом уязвимостей сканируют сети на предмет наличия уязвимостей в IT системах. Они предоставляют в отчете расчет CVSS для каждой обнаруженной уязвимости. Организации-клиенты используют это данные для более эффективного управления своей IT инфраструктурой, уменьшая перебои в работе техники и защищая свои активы от угроз.
    • - Управление рисками безопасности. Фирмы по управлению рисками безопасности используют CVSS как входные данные для расчета уровня риска организации. Эти фирмы используют сложное ПО, которое, принимая во внимание топологию сети клиента, данные об уязвимостях, и об активах, проводит тщательное и всесторонне исследование ситуации с безопасностью у клиента.
    • - Исследователи. Открытая платформа CVSS дает возможность исследователям проводить статистический анализ уязвимостей и их свойств.

    1.7 Основные определения

    Приведем основные определения:

    • - Уязвимость: баг, изъян, слабое место в приложении, системе, устройстве, или службе, что может привести к нарушению конфиденциальности, целостности или доступности информации.
    • - Угроза: вероятность или частота проявления вредоносного события.
    • - Риск: относительный вред, который эксплуатированная уязвимость, нанесенный системе клиента.