УДК 004.051
Методика приоритезации уязвимостей информационных систем и их сопоставления с угрозами безопасности информации с использованием базы данных угроз ФСТЭК России
Шевченко Анна Игоревна – студент кафедры Защиты информации МИРЭА – Российского технологического университета.
Аннотация: Статья описывает методику приоритезации уязвимостей информационных систем и их сопоставления с угрозами безопасности информации с использованием базы данных угроз ФСТЭК России. Целью методики является предоставление возможности автоматизации процессов приоритезации уязвимостей их сопоставления их с угрозами, что может позволить организациям снизить трудозатраты и повысить эффективность обеспечения защиты информации.
Ключевые слова: уязвимость, угроза, CVSS, защита информации, банк данных угроз безопасности информации ФСТЭК.
Стремительное развитие информационных технологий порождает также рост числа уязвимостей, которых с каждым годом становится все больше и больше. Согласно статистике [1] в 2021 было опубликовано около 20 тыс. уязвимостей, в прошлом году – на 5 тыс. больше, а за первый квартал текущего года уже было опубликовано 7 тыс. уязвимостей. При этом, согласно заключению [2] компании FIRST, организации могут устранять от 5 до 20 % уязвимостей в месяц. На практике на закрытие брешей в системах влияют сразу несколько факторов: наличие исправлений, технологические окна, в которые можно установить обновления безопасности, а также доступность технических и человеческих ресурсов для установки патчей. В связи с этим возникает проблема приоритезации обнаруженных уязвимостей для устранения наиболее критичных из них.
Опрос [3], проведенный компанией Positive Technologies в 2022 году, показал, что большинство компаний для приоритезации уязвимостей опираются на оценку CVSS [4]. CVSS (Common Vulnerability Scoring System) – это открытый стандарт для определения степени опасности уязвимостей. В настоящее время актуальной версией стандарта является CVSSv3.1, выпущенная в 2019 году.
Числовая оценка степени серьезности уязвимости по CVSS может принимать значение от 0 до 10. На основании этой оценки делается вывод об уровне критичности уязвимости. Вычисление оценки проводится по специальным формулам на основании трех групп метрик: базовые метрики, временные метрики и метрики окружения, каждая из которых состоит из своего набора метрик.
Базовые метрики включают в себя общие метрики, которые не зависят от времени или конкретного окружения. Они делятся на:
- метрики эксплуатации, описывающие, насколько уязвимость проста в эксплуатации;
- метрики воздействия, описывающие последствия от эксплуатации уязвимости.
Временные метрики описывают внешние факторы, которые могут измениться с течением времени. Например, появление в открытом доступе эксплойта или, наоборот, патча.
Метрики окружения отражают характеристики уязвимости в зависимости от среды, в которой она используется. Они не влияют на базовую оценку уязвимости, так как являются необязательными. Применяются, как правило, в случае, когда необходимо уточнить оценку уязвимости исходя из инфраструктуры и других параметров конкретной организации.
Стандарт CVSS также применяется в методике [5] оценки уровня критичности уязвимостей программных, программно-аппаратных средств, разработанной ФСТЭК России.
Согласно данной методике, расчет уровня критичности уязвимости осуществляется по следующей формуле:
V = ICVSS × Iinfr, (1)
где ICVSS – оценка уровня критичности уязвимости по стандарту CVSS;
Iinfr – показатель, характеризующий влияние уязвимости на функционирование информационной системы.
Недостатком данной методики является необходимость ручного расчета значения ICVSS, что может занять довольно много времени при большом количестве обнаруженных уязвимостей. Предлагается изменить эту формулу таким образом, чтобы появилась возможность автоматизации процесса оценки и приоритезации уязвимостей.
Согласно Методике ФСТЭК, показатель ICVSS определяется путем расчета базовых, временных и контекстных метрик. Если базовые метрики содержатся в описании уязвимости, то временные и контекстные метрики нужно рассчитывать самостоятельно.
Временная метрика определяется такими показателями, как доступность средств эксплуатации, доступность средств устранения и степень доверия к информации об уязвимости. В Банке данных угроз [6] (далее – БДУ) ФСТЭК для каждой уязвимости содержатся сведения, по которым можно определить значение этих показателей. В таблице 1 продемонстрировано сопоставление показателей временной метрики по системе CVSS и показателей из БДУ.
Таблица 1. Сопоставление метрик CVSS и БДУ.
|
Показатель |
Название метрики по CVSS |
Значение метрики по CVSS |
Название метрики по БДУ |
Значение метрики по БДУ |
Числовое значение метрики по CVSS |
|
Iexpl |
Exploit Code Maturity |
Functional |
Наличие эксплоита |
Существует в открытом доступе |
0,97 |
|
Unproven |
Существует |
0,91 |
|||
|
Not Defined |
Данные уточняются |
1 |
|||
|
Ifix |
Remediation Level |
Official Fix |
Информация об устранении |
Уязвимость устранена |
0,95 |
|
Unavailable |
Информация об устранении отсутствует |
1 |
|||
|
Irep |
Report Confidence |
Confirmed |
Статус уязвимости |
Подтверждена производителем |
1 |
|
Reasonable |
Подтверждена в ходе исследований |
0,96 |
|||
|
Unknown |
Потенциальная уязвимость |
0,92 |
Итоговая формула расчета уровня критичности уязвимости выглядит следующим образом:
V = ICVSS × Iexpl × Ifix × Irep × Iinfr, (2)
где ICVSS – базовая оценка CVSS;
Iexpl – наличие эксплоита;
Ifix – информация об устранении;
Irep – статус уязвимости;
Iinfr – показатель, характеризующий влияние уязвимости на функционирование информационной системы, рассчитывающийся в соответствии с Методикой ФСТЭК.
Располагая информацией об имеющихся уязвимостях, можно определить актуальные для нее угрозы, которые также содержатся в БДУ ФСТЭК. Однако на текущий момент сделать это можно только вручную, так как реестр уязвимостей никак не связан с реестром угроз, что также является довольно трудоемкой задачей при большом количестве уязвимостей.
Для снижения трудозатрат и экономии времени при определении угроз был разработан алгоритм, позволяющий автоматизировать процесс поиска угроз по имеющимся уязвимостям. Алгоритм состоит из трех основных этапов.
На первом этапе происходит получение текстовых описаний угроз и уязвимостей из БДУ. Для каждой угрозы берется ее название и описание, а для каждой уязвимости – название, описание и тип ошибки.
На втором этапе осуществляется обработка текста. Для каждой угрозы и уязвимости данные, полученные на первом этапе, объединяются в одну строку. Затем полученная строка приводится к нижнему регистру, с помощью регулярных выражений схожие по смыслу слова и словосочетания заменяются синонимом (например, в части описаний встречается словосочетание «автоматическое заполнение», а в других описаниях используется синонимичное «автозаполнение», в результате «автоматическое заполнение» будет везде заменено на «автозаполнение»). Далее строка разбивается на отдельные слова и словосочетания, которые затем приводятся к начальной форме. Из полученного списка слов и словосочетаний удаляются все слова, которые не являются ключевыми. На выходе мы получаем для каждой угрозы и уязвимости список ключевых слов из ее описания.
На третьем этапе происходит поиск совпадений по ключевым словам. Для заданной уязвимости ищутся угрозы, множества ключевых слов которых пересекаются со множеством ключевых слов уязвимости.
В таблице 2 приведены примеры уязвимостей и определенных для них с помощью описанного алгоритма угроз.
Таблица 2. Результаты определения угроз.
|
Уязвимость |
Угроза |
Общие ключевые слова |
|
BDU:2014-00004. Уязвимость браузера Firefox, позволяющая злоумышленнику выполнить межсайтовый скриптинг |
УБИ.41: Угроза межсайтового скриптинга |
['межсайтовый', 'скриптинг'] |
|
УБИ.42: Угроза межсайтовой подделки запроса |
['межсайтовый', 'скриптинг'] |
|
|
BDU:2017-00739. Уязвимость браузера Microsoft Edge, позволяющая нарушителю получить конфиденциальную информацию из памяти процесса, вызвать отказ в обслуживании |
УБИ.22: Угроза избыточного выделения оперативной памяти |
['память'] |
|
УБИ.106: Угроза отказа в обслуживании системой хранения данных суперкомпьютера |
['отказ в обслуживании'] |
|
|
УБИ.140: Угроза приведения системы в состояние «отказ в обслуживании» |
['отказ в обслуживании'] |
|
|
УБИ.146: Угроза прямого обращения к памяти вычислительного поля суперкомпьютера |
['память'] |
|
|
УБИ.164: Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре |
['отказ в обслуживании'] |
|
|
УБИ.209: Угроза несанкционированного доступа к защищаемой памяти ядра процессора |
['память'] |
Результаты, представленные в таблице, были получены за несколько секунд, в то время как вручную поиск угроз занял бы десятки минут.
Таким образом, в статье была описана методика приоритезации уязвимостей информационных систем и их сопоставления с угрозами безопасности информации с использованием БДУ ФСТЭК, предоставляющая возможность автоматизации данного процесса для снижения трудозатрат и повышения эффективности обеспечения защиты информации.
Список литературы
- Published CVE Records [Электронный ресурс] URL: https://www.cve.org/About/Metrics (дата обращения 11.05.2023).
- The EPSS Model, Motivation [Электронный ресурс] URL: https://www.first.org/epss/model (дата обращения 11.05.2023).
- Статья «Как изменилась работа с уязвимостями в 2022 году» [Электронный ресурс] URL: https://www.ptsecurity.com/ru-ru/research/analytics/kak-izmenilas-rabota-s-uyazvimostyami-v-2022-godu/ (дата обращения 11.05.2023).
- CVSS [Электронный ресурс] URL: https://www.first.org/cvss/ (дата обращения 11.05.2023).
- Методический документ. Утвержден ФСТЭК России 28 октября 2022 г. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств [Электронный ресурс] URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 (дата обращения 11.05.2023).
- Банк данных угроз безопасности информации ФСТЭК России [Электронный ресурс] URL: https://bdu.fstec.ru (дата обращения 11.05.2023).
Template by Webgau.de