ОЦЕНКА И ИЗМЕРЕНИЕ УЯЗВИМОСТЕЙ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

Зайко Татьяна Анатольевна

аспирант, ЗНТУ, г. Запорожье, Украина

Е-mail: tzyakun@mail.ru

Бельмега Артем Валериевич

Студент, ЗАК, г. Запорожье, Украина

Е-mail: nhort10@mail.ru

Актуальной задачейдля современных IT—компанийявляется определение уязвимостей и рисков безопасности информационных технологий, а также проблема эффективной оценки или приоритезации уязвимостей. Сегодня, несмотря на впечатляющий рост отрасли информа­ционной безопасности в целом, количество инцидентов безопасности продолжает расти. Одной из причин является кризис общесистемных разработок, которые нацелены на решение актуальных задач [1, 2].

В настоящее времяIT—персоналвынужден выявлять и обраба­тывать уязвимости различных программных и аппаратных платформ. Существует необходимость расставить приоритеты для этих уязви­мостей, чтобы в первую очередь исправлять те из них, которые представляют наибольшую опасность.

В компьютернойбезопасности термин «уязвимость» исполь­зуется для определения недостатков в системе, используя которые, можно нарушить его целостность и вызвать неправильную работу системы. Уязвимость может быть результатом ошибок программи­рования, недостатков, допущенных при проектировании системы, ненадежности паролей, вирусов и злонамеренного программного обеспечения, скриптовых и SQL—инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплоиты. Вообще, уязвимость позволяет атакую­щему «обмануть» приложение —заставить егосделать то, на что у него нет прав. Это достигается путем внедрения каким—либо образомв программу данных или кода в такие места, где программа воспримет их как свои. Некоторые уязвимости появляются из-занедостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемые код произвольные команды. Другие уязвимости появляются из-заболее сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).

Проблемауязвимостей и их обнаружения исследуется очень давно, и за время существования уязвимостей делались различные попытки классифицировать их по различным критериям [1, 3]. В настоящее время используетсяследующая классификация уязвимостей компьютерных систем (КС), что отражает этапы его жизненного цикла, которые изображены в таблице 1.

Таблица 1

Классификация уязвимостей компьютерных систем

Самые опасные—уязвимостипроектирования, которые обна­руживаются и устраняются с большим трудом. В этом случае, уязви­мость свойственна проекту или алгоритму и, следовательно, даже совершенная его реализация (что в принципе невозможно) не избавит от заложенной в нем уязвимости. Смысл уязвимостей второй катего­рии (уязвимость реализации), заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении, корректного с точки зрения безопасности проекта или алгоритма. Яркий пример такой уязвимости —"переполнение буфера" ("buffer overflow") во многих реализациях программ, например, sendmail или Internet Explorer. Выявляются и устраняются такого рода уязвимости относительно легко —путем обновления исполняемого кода или изменения исходного текста уязвимого программного обеспечения (ПО) [4, 5].

Последняя причинавозникновения уязвимостей —ошибкиконфигурации программного или аппаратного обеспечения. Наряду с уязвимыми реализациями они распространенной категорией уязви­мостей. Источником возникновения уязвимостей третьего класса являются ошибки конфигурирования аппаратного и программного обеспечения. Такие уязвимости наиболее распространены и легче обнаруживаются. К ним относятся: наличие слабых паролей, наличие незаблокированных встроенных учетных записей пользователей неправильным образом установленные права доступа пользователей к информационным ресурсам, наличие в информационных системах неиспользуемых, но потенциально опасных сетевых служб и програм­мных компонентов. Выявить и исправить такие уязвимости проще.

Но, так какуязвимостей, которые подлежат исправлению много, и они оцениваются по разным шкалам, то свести эти данные воедино для общего анализа не представляется возможным. Для решения этой задачи существуют системы оценки уязвимостей, которые были созданы коммерческими и некоммерческими организациями: схема классификации уязвимостей NIPC, шкала анализа уязвимостей SANS, система оценки критичности уязвимостей Microsoft, система оценки уязвимостей по стандарту PCI DSS, системы US—CERT, CVSS и nCircle [5—8, 12]. Каждая организация приводила и обосновывала свою классификацию. Однако ни одна классификация не может быть категоричной.Каждая из этих систем имеет свои преимущества и отличаются они друг от друга по параметру, который измеряется.

СистемаCERT/CC использует значение оценок от 0 до 180 и учитывает такие факторы, как например: неотъемлемый риск в Интернет—структуре и какой тип предпосылок требуется для эксплуа­тации уязвимости. Координационный центр CERT (CERT/CC), пожа­луй, наиболее широко известная группа. В рамках программы CERT, рассматриваются риски на уровне программного обеспечения и системного обеспечения. Хотя она была создана как команда реагирования на инциденты, CERT/CC, через определенный промежу­ток времени —реорганизовалось, и, кроме того, еще сосредоточилась на выявлении и устранении существующих и потенциальных угроз, сообщая системных администраторов и других технических специалистов, об этих угрозах. Чтобы уменьшить риски безопасности, связанные с программным обеспечением уязвимостей, CERT/CC стре­мятся к решению как количества уязвимостей в программном обеспе­чении, которая разрабатывается и количества уязвимостей в програм­мном обеспечении, которые уже развернуты. CERT/CC выступает за комплексный подход, включающий в себя рекомендации, что делает конфигурацию или изменения архитектуры и применения обходных путей средствами снижения рисков. В некоторых случаях эти стратегии обеспечения более долгосрочного снижения уязвимости не просто исправить и обновить. CERT/CC является главным координационным центром при решении проблем безопасности в Интернете [7].

Система анализа уязвимостей SANS —учитывает в какой конфигурации найдено уязвимости —есть система стандартной или нет, и есть система клиентом или сервером [12].

Система оценки уязвимостей от Microsoft пытается отразить сложность эксплуатации и общее воздействие от эксплуатации уязвимости [9].

Общая система оценки уязвимостей —Common Vulnerabilities Scoring System (CVSS) —это открытая схема, которая позволяет обмениваться информацией об IT—уязвимости. CVSS разрабатывается Forum of Incident Response and Security Teams. Это свободный и открытый стандарт. Ни одна из организаций не обладает CVSS. Система оценки CVSS состоит из трех метрик: базовая метрика, временная метрика, контекстная метрика. Каждая метрика представляет собой число (оценку) в интервале от 0 до 10 вектор —короткое текстовое описание со значениями, которые используются для вывода оценки. Базовая метрика отражает основные характеристики уязвимости. Временная метрика соответствует следующим характеристикам уязвимостей, которые меняются со временем, а контекстная метрика —характеристикам, которые являются уникальными для среды поль­зователя. Общая система подсчета очков уязвимостей (CVSS) обеспе­чивает открытую архитектуру для передачи особенностей и последствий IТ—уязвимостей. CVSS состоит из 3 групп: базового, временного и внешней среды. Каждая группа вырабатывает числовой оценки в диапазоне от 0 до 10, а вектор, сжатый в текстовое представление, отражающее значение, используемые для получения баллов. Базовая группа представляет внутренние качества уязвимости. Временные группы отражают характеристики уязвимостей, которые меняются со временем. Внешняя группа представляет характеристики уязвимости, которые являются уникальными в среде любого пользователя. Этот объективный подход к описанию уязвимости предоставляет пользователям простое и интуитивно понятное представление об уязвимости. Это позволяет им принимать более обоснованныерешения при попытке смягчить риски, связанные с уязвимостями.

Таким образом, CVSS хорошо подходит в качестве стандартной системы измерения для предприятий, организаций и правительств, которые требуют точной и последовательной оценки влияния вразли­вости. CVSS представляет собой универсальный открытый и стандар­тизированный метод рейтинга ИТ—уязвимостей.

Понятно, что уязвимости необходимо выявлять, чем и зани­маются системы анализа защищенности (security assessment systems), также известные как сканеры безопасности (security scanners) или системы поиска уязвимостей. Они проводят всесторонние исследова­ния заданных систем с целью выявления уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, получен­ные от средств анализа защищенности, представляют «мгновенный снимок» состояния защиты системы в данный момент времени.

В настоящее время можно выделить три базовые группы методов оценки уязвимостей:

• использование нескольких категорий уязвимостей или качественное ранжирование;
• количественное ранжирование;
• применение комплексных показателей оценки уязвимостей;

Сложившаяся в настоящее время ситуация означает, что в подавляющем большинстве случаев, управление информационной безопасностью представляет собой процесс, основанный на оценке рисков, существующих при принятой политике безопасности и с учетом имеющихся средств защиты [1]. При этом часть рисков, связанных с недостаточной надежностью самих элементов информа­ционной системы, просто не учитывается из-за отсутствия достовер­ных сведений. В результате компании несут расходы, необходимые для снижения известных рисков, а неизвестные риски так и остаются за рамками внимания. Применительно к формуле оценки рисков можно, говорить об отсутствии достаточных сведений об уязвимости.

Для решения этой проблемы, в первую очередь необходимо устранить пробел, связанный с недостатком сведений об актуальных уязвимости информационных систем.

Необходимость стандартизации в этой области назрела уже давно, но существенные шаги в этом направлении были сделаны только в последние годы.

Метод информирования об уязвимостях является одним из пунктов спора в обществе компьютерной безопасности [1, 2]. В конце прошлого века основной поддерживаемой производителями политикой, была политика неразглашения (non—disclosure), или как ее часто называли —«безопасность через замалчивание» (security through obscurity). В противоположность этой ситуации широкое распростра­нение получило движение полного разглашения (full—disclosure), согласно которому, полная информация об уязвимости должна быть опубликована в общем доступе, что повышает активность производи­телей в области безопасности и призвано помочь пользователям сис­тем самостоятельно устранить уязвимость, если необходимое обнов­ление не доступно. Побочным эффектом full—disclosure является появ­ление баз данных уязвимостей различных продуктов, которые могут быть использованы с различными целями, например для недопущения подобных ошибок в дальнейшем.

Некоторые специалисты отстаивают полное раскрытие информации об уязвимостях, как только они обнаружены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать только после задержки или не публиковать вовсе. Такие задержки позволят тем, кто был осведомлен, исправить ошибку посредством разработки и применения патчей, но также могут и увеличивать риск для тех, кто не имеет представления о деталях. Как показывает практика, в мире вполне эффективно работает политика полного или частичного разглашения, стимулируя производителей к оперативному устранению уязвимостей и повышая информированность специалистов в области безопасности [1—4]. В случае возникновения конфликтов можно воспользоваться отработанным механизмом взаимодействия с координаторами. Однако и в России и в мире и в Украине эти вопросы остаются открытыми.

Список литературы:

1. Андреев Э. М., Миронов А.В. Социальные проблемы интеллектуальной уязвимости и информационной безопасности //Социально¬—гуманитарные знания. — 2000. — № 4. — С. 169—180.
2. Брандман Э. М. Глобализация и информационная безопасность общества / Э. М. Брандман // Философия и общество.— 2006. — № 1. — С. 31—41.
3. Брандман Э. М. Цивилизационные императивы и приоритеты информационной безопасности общества / Э. М. Брандман // Философия и общество. — 2006. — № 3. — С. 60—77.—Предпринимательство, с. 131—144.
4. Доктрина информационной безопасности //Средства массовой информации постсоветской России: Учеб. пособие /Я. Н. Засурский, Е. Л. Вартанова, И. И. Засурский. — М., 2002. — С. 262—301.
5. Разработка средств безопасности и эксплойтов — Питер, 2007г. Авторы: Джеймс К. Фостер и Л. Винсент.
6. Application Security Inc. Vulnerability Disclosure Policy, [электронный ресурс] — Режим доступа. — URL: http://www.appsecinc.com/aboutus/vulndisclosepolicy/ (дата обращения: 20.04.2012)
7. CERT/CC Vulnerability Disclosure Policy, [электронный ресурс] — Режим доступа. — URL: http://www.cert.org/kb/vul_disclosure.html (дата обращения: 24.04.2012)
8. FIRST, [электронный ресурс] — Режим доступа. — URL: http://www.first.org/ (дата обращения: 20.04.2012)
9. Microsoft Security Response Center Security Bulletin Severity Rating System, [электронный ресурс] — Режим доступа. — URL: http://www.microsoft.com/technet/security/ bulletin/rating.mspx (дата обращения: 23.04.2012)
10. National Vulnerability Database, [электронный ресурс] — Режим доступа. — URL: http://nvd.nist.gov/ (дата обращения: 20.04.2012)
11. Organization for Internet Safety. “Guidelines for Security Vulnerability Reporting and Response, Version 2.0.” [электронный ресурс] — Режим доступа. — URL: http://www.oisafety.com/guidelines /secresp.html (дата обращения: 23.04.2012)
12. SANS Critical Vulnerability Analysis Archive, [электронный ресурс] — Режим доступа. — URL: http://www.sans.org/newsletters/cva/ (дата обращения: 23.04.2012)
13. @stake Security Vulnerability Reporting Policy, [электронный ресурс] — Режим доступа. — URL: http://www.atstake.com/research/policy/ (дата обращения: 28.04.2012)