ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ПРИМЕНЕНИЯ CIS СТАНДАРТА ДЛЯ АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ MYSQL

Center for Internet Security является некоммерческой организацией, которая играет ведущую роль в стандартизации в области информационной безопасности в США. Организация имеет подразделение CIS Security Benchmarks, которое занимается разработкой стандартов и рекомендаций на основе консенсуса о лучших практиках, который вырабатывается внутри IT-сообщества многочисленными экспертами по ИБ [1]. Также существуют компании, которые разрабатывают автоматизированные средства аудита для данных стандартов.

Между тем, ежегодно появляются все новые и новые уязвимости, в том числе и для MySQL. Оценка эффективности применения CIS стандарта позволит понять, действительно ли эти рекомендации помогают адекватно оценивать степень защищенности информационных ресурсов и препятствовать воздействию злоумышленников на информационные ресурсы.

Каждый CIS стандарт состоит из рекомендаций, которые имеют свою оценку. Статус оценки показывает, влияет ли соблюдение данной рекомендации на контрольную оценку оцениваемой цели. Используются следующие статусы оценки: «Scored» (считается) и «Not scored» (не считается).

Несоблюдение рекомендаций «Scored» приведет к снижению итоговой оценки безопасности. Соблюдение «Scored» рекомендаций приведет к увеличению итоговой оценки. Несоблюдение рекомендаций «Not scored» не приведет к снижению итоговой оценки. Соблюдение рекомендаций «Not scored» не приведет к увеличению итоговой оценки.

Стандарты имеют свою версию и могут обновляться, если сообщество предлагает некоторые правки или если в стандарте были найдены ошибки.

Для исследования был выбран стандарт CIS Benchmark MySQL 5.7, как последний из вышедших для базы данных MySQL. И как стандарт, который существует уже достаточно давно, чтобы имелась объемная база с уязвимостями. Стандарт для MySQL 5.7 вышел через несколько месяцев после релиза базы данных MySQL 5.7. Он содержит 48 считающихся и 15 не считающихся рекомендаций.

В стандарте имеется деление на следующие разделы: конфигурация на уровне операционной системы, установка и планирование, системные права на файлы базы данных, общий, права в MySQL, аудит и журналирование, аутентификация, сеть, репликация.

На сегодняшний день, существует несколько общепринятых систем по классификации уязвимостей, однако лидирующую позицию среди них занимает CVE. Международная база данных уязвимостей (Common Vulnerabilities and Exposures) – это база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием. Полностью CVE можно отыскать в национальной базе уязвимостей США (NVD).

Для исследования была скачана база с 2015 года по 2019, что соответствует времени выпуска и поддержки MySQL 5.7.

Для произведения выборки уязвимостей из довольно внушительной базы было решено написать скрипт автоматизации поиска. Рекомендованным вариантом для сопоставления результатов инвентаризации системы и данных уязвимостей является ориентация на CPE — это способ описания всех возможных продуктов, операционных систем и аппаратных устройств. Он заложен в «основу основ» формализованного хранения информации в информационной безопасности, — в способ подачи информации об уязвимостях CVE. Базой языка является словарь, являющийся по сути справочником, позволяющим узнать соответствие между сокращениями стандартного вида и их дополнительной информацией [2].

Однако, данный способ имеет некоторую проблему с нахождением CVE, так как в CPE, связанный с CVE, могут указать разных вендоров для одного и того же продукта. Например, для MySQL можно найти CPE как « cpe:2.3:a:oracle:mysql», так и «cpe:2.3:a:mysql:mysql». Одним из примеров, почему вендор у продукта в CPE может поменяться, является передача прав на продукт другой компании. Или покупка одной компании другой. Тем не менее, для поиска был выбран вариант, который рекомендуется на сайте NVD, а именно по маске «cpe:2.3:a:oracle:mysql:5.7*:*:*:*:*:*:*:*».

По итогу сбора было найдено 329 CVE. Соотношение за периоды можно увидеть на рисунке 1. Малое количество уязвимостей за 2015 год обусловлено тем, что MySQL 5.7. вышел в конце октября 2015 года.

Рисунок 1. Соотношение CVE за период с 2015 по 2019 года

Сбор эксплойтов осуществлялся с сайта Сплойтус (Sploitus) [3]. Данный сайт является агрегатором, который объединяет в себе множество разных и популярных источников эксплойтов. Однако, результат поиска оказался очень скудным. Эсплойтов в открытом доступе (да и в целом) очень мало. Из найденных — всего 6 штук. Предположительно, это связано с тем, что многие уязвимости сложно проэксплуатировать автоматизировано, так как они бывают крайне специфичными и могут требовать особенной ситуации применения.

Так как на базе данных должны были эксплуатироваться уязвимости, которые могли исказить рабочее состояние MySQL, в целях возможного восстановления базы данных было решено подготовить docker контейнер и настроить базу данных в нем. Также, CIS стандарт содержит в себе одну очень важную рекомендацию, из-за которой применимость всех найденных эксплойтов оказалась бы невозможной. Это рекомендация по обновлению MySQL 5.7 до последней версии патча (5.7.28). Однако, данной рекомендацией для исследования было решено пренебречь в связи с тем, что когда-то интересующие уязвимости являлись уязвимостями нулевого дня.

Таким образом, найденные эксплойты были проверены на MySQL версии 5.7.10, которая все еще является уязвимой к атакам. Найденные эксплойты были связаны с уязвимостями: CVE-2016-6662, CVE-2016-6663, CVE-2016-6664, CVE-2016-0705, CVE-2017-3599, CVE-2018-2846:

По итогам тестирования на настроенной базе, прошел только один эксплойт: CVE-2017-3599.

Рассчет эффективности осуществлялся по формуле:

                                                                              (1)

Получилось значение в 83%.

К сожалению, в связи с очень маленькой выборкой эксплойтов полученный результат сложно назвать объективным. Более того, рекомендация по обновлению MySQL до последней версии патча дает «плавающий» результат для данного рассчета эффективности стандарта. В определенный промежуток времени, когда уязвимость является уязвимостью нулевого дня, значение эффективности может быть меньше 100%, так как воздействие уязвимости устраняется только обновлением. Однако, сразу же после обновления, стандарт получит 100% эффективности, так как уязвимости уже будут исправлены обновлением. По итогу, считаю такой подход к рассмотрению эффективности стандарта некорректным.

Список литературы:

1. MaxPatrol сертифицирован CIS [Электронный ресурс]. — Режим доступа: https://www.securitylab.ru/news/472286.php (дата обращения 24.11.2019);
2. Введение в CPE: Common platform enumeration [Электронный ресурс]. — Режим доступа: https://www.securitylab.ru/analytics/420926.php (дата обращения 26.11.2019);
3. Sploitus: Base of Exploits [Электронный ресурс]. — Режим доступа: https://sploitus.com (дата обращения 10.12.2019).