CC BY
359
А.В. Мельников, В.Е. Чирков
доктор технических наук, доцент
АЛГОРИТМ ОЦЕНКИ ОТНОСИТЕЛЬНОГО УРОВНЯ ОПАСНОСТИ СОВМЕСТНОЙ ЭКСПЛУАТАЦИИ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ CVSS
ALGORITHM FOR ASSESSING THE RELATIVE LEVEL OF DANGER OF JOINT OPERATION OF INFORMATION SECURITY VULNERABILITIES BASED ON CVSS
В работе рассматривается проблема совокупной оценки опасности при последовательной эксплуатации уязвимостей информационной безопасности. Разработан алгоритм на основе методики CVSS, позволяющий получить оценку относительного уровня опасности угрозы информационной безопасности с учетом вариантов эксплуатации уязвимостей.
The paper deals with the problem of cumulative hazard assessment in the sequential operation of information security vulnerabilities. An algorithm has been developed based on the CVSS methodology, which makes it possible to obtain an estimate of the relative level of information security threat, taking into account exploitation options for vulnerabilities.
Введение. В современном мире невозможно представить себе сферы деятельности человека без использования информационно-технологических ресурсов. Посредством развития информационных технологий множество отраслей человеческой деятельности переходит в формат электронных ресурсов. Ввиду такого быстрого и повсеместного внедрения возникает ряд вопросов, связанных с системой обеспечения информационной безопасности объектов информатизации. Любой объект информатизации подвержен некоторым угрозам, которые, в свою очередь, могут быть последствием эксплуатации имеющихся уязвимостей, определяющихся особенностями конкретного объекта.
Для формирования эффективной стратегии их устранения необходимо максимально точно оценивать уровень опасности угроз и уязвимостей. В наше время существует множество методик оценки уровня опасности уязвимостей и одной из самых распространенных и общепринятых является система оценки CVSS (Common Vulnerability Scoring System) [1]. Данная методика была разработана рядом экспертов по безопасности, в число которых входили сотрудники компаний CERT/CC, Cisco, DHS/MITRE, eBay, IBM Internet Security Systems, Microsoft, Qualys, Symantec. Указанный стандарт предлагает достаточно простой и понятный инструмент для расчета числовой характеристики уровня опасности интересующей пользователя уязвимости по десятибалльной шкале. Данная методика может быть использована для риск-анализа защищаемых систем [2], а также в целях создания систем обнаружения вредоносной активности.
Оценка уровня опасности уязвимостей. Основу данной методики составляют метрики, по которым производится оценка уровня опасности и рассчитывается ее числовой показатель [3].
Базовые метрики описывают характеристики уязвимости, не меняющиеся с течением времени и не зависящие от среды исполнения. Этими метриками описывается сложность эксплуатации уязвимости и потенциальный ущерб для конфиденциальности, целостности и доступности информации.
Временные метрики вносят в общую оценку поправку на полноту имеющейся информации об уязвимости, зрелость эксплуатирующего кода (при его наличии) и доступность исправлений.
При помощи контекстных метрик эксперты по безопасности могут внести в результирующую оценку поправки с учетом характеристик информационной среды.
Однако данная методика обладает рядом недостатков, а именно:
- показатели CVSS трактуются неоднозначно на разных ресурсах, в базах уязвимостей, предоставляющих оценки CVSS 2.0, поэтому возможно найти идентичные уязвимости, для которых указаны различные сложности эксплуатации уязвимости;
- отсутствие качественной шкалы оценки и, как следствие, разная трактовка числовой оценки разными пользователями;
- невозможность точной количественной оценки уровня опасности уязвимостей при их совместной эксплуатации;
- оценка уязвимостей независимо друг от друга не учитывает изменение стартовых условий формируемой угрозы, что в конечном итоге влияет на размер нанесенного ущерба.
Ввиду отсутствия возможности оценить уровень опасности при совместной и последовательной эксплуатации уязвимостей возникают вопросы адекватности оценки ущерба при реализации угроз безопасности информации, обуславливаемых наличием конкретных уязвимостей.
В связи с изложенным целью работы является разработка алгоритма оценки относительного уровня опасности совместной эксплуатации уязвимостей информационной безопасности на основе CVSS 2.0.
Алгоритм оценки относительного совокупного уровня опасности совместной эксплуатации уязвимостей информационной безопасности.
Для выполнения поставленной цели был разработан алгоритм на основе метрик CVSS 2.0, включающий в себя пять этапов. Основу алгоритма составляют формулы расчёта базовой (B), временной (T) и контекстной ( ф ) оценки уровня опасности уязвимостей
[3] с нормировкой конечного результата и перехода к относительной шкале оценивания, принятой в теории экспертных систем.
На первом этапе пользователь проводит анализ объекта информатизации на наличие уязвимостей либо формирует запрос администратору безопасности некоторой информационной системы с указанием формы предоставления данных об уязвимостях. Формируется множество У = {У1,У2---У„}, где У1,У2---У„ — уровень опасности каждой из уязвимостей.
На втором этапе определяются параметры уязвимости, [3] которые обозначим следующим образом: I — влияние на свойства информации, /(I) — значение функции от влияния на свойства информации, Е — параметр эксплуатации уязвимости, е1 — способ получения доступа, е2 — сложность получения доступа, е3 — аутентификация (множественная, единственная или не требуется), Х1,Х1,Х3 — влияние уязвимости на конфиденциальность, целостность и доступность соответственно с целью присвоения базовой оценки уровня опасности B. Рассчитывается базовая оценка уровня опасности анализируемой уязвимости по формуле (1):
Б = (((0.6*1) + (0.4*Е)-15) ■ /(I)). (1)
На третьем этапе определяются параметры уязвимости с целью присвоения временной оценки T, ^ — возможность использования, — уровень исправления доступа,
^ — степень достоверности источника. Производится расчёт временной оценки по формуле (2):
Т = (Б ■ г1 ■ г2 ■ г3). (2)
На четвертом этапе определяются параметры уязвимости с целью корректировки базовой и временной оценки с последующим присвоением контекстной оценки уровня опасности уязвимости ф, Б' — скорректированная базовая оценка, — вероятность косвенного ущерба, ^ — плотность целей, С,С2,С3 — требования к конфиденциальности, целостности и доступности соответственно. Производится расчёт контекстной оценки по формуле (3):
ф = ((В' + (Ю-В')*21)К22) . (3)
На пятом этапе происходит расчет общего относительного уровня опасности, формируется множество Х = {х0, Хп ... Хп}, где Х0=0, а Хп..., Хп — рассчитанный относительный уровень опасности уязвимостей. Значение множества Хп является общим относительным уровнем опасности выявленных на объекте информатизации уязвимо-стей. Расчёт происходит согласно формуле (4):
Х=(1-Хи1 )*(У/10)+Хи1, где ¡=1,...,„. (4)
Разработанный алгоритм представлен на рис. 1.
Рис. 1. Алгоритм оценки относительного совокупного уровня опасности
эксплуатации уязвимостей
Численный пример. Верификация данного алгоритма была произведена на ряде примеров, один из которых представлен ниже. Для примера была выбрана угроза УИБ.006 [5] «Угроза внедрения кода или данных», рассмотренная в двух вариантах эксплуатации уязвимостей, представленных в таблице.
На основе общей схемы формирования канала несанкционированного доступа к информации [7] последовательная эксплуатация уязвимостей представлена на рис. 2. Далее было сформировано множество У, для первого варианта последовательной эксплуатации двух уязвимостей (ББИ:2018-01405, ББи:2017-01173) в качестве выражения оценки общего относительного уровня опасности совместной эксплуатации уязвимостей введем параметр и , где п — вариант эксплуатации уязвимостей:
" У1={7,2;9,0}.
Рис. 2. Последовательная эксплуатация двух уязвимостей
Уязвимости, обуславливающие наличие угрозы УБИ. 006
Код уязвимости Описание уязвимости Уровень опасности
Первый вариант возможной эксплуатации двух уязвимостей
BDU:2017-01173 Уязвимость драйвера режима ядра операционной системы Windows связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему локально, внедрить произвольный код в режим ядра Высокий уровень опасности (базовая оценка составляет У = 7,2 )
BDU:2018-01405 Уязвимость текстового редактора Microsoft Word связана с ошибками обработки объектов в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с привилегиями пользователя при помощи специально сформированного файла Высокий уровень опасности (базовая оценка составляет У2 = 9,0 )
Второй вариант возможной эксплуатации трех уязвимостей
BDU:2017-02555 Уязвимость компонента Application Control средства антивирусной защиты Kaspersky Embedded Systems Security вызвана некорректной работой механизмов защиты в условиях чрезмерной загрузки сервиса. Эксплуатация уязвимости позволяет нарушителю повысить уровень своих привилегий и запустить приложение, не указанное в белом списке Средний уровень опасности (базовая оценка составляет У1 = 6,2 )
BDU:2018-01629 Уязвимость утилиты управления функционалом периферийных устройств Logitech Options связана с отсутствием ограничений попыток аутентификации в WebSocket server. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды с помощью специально сформированной веб-страницы Критический уровень опасности (базовая оценка составляет У2 = 7,6 )
BDU:2018-00565 Уязвимость оболочки Windows shell операционной системы Windows связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально сформированного файла, который должен быть открыт пользователем Высокий уровень опасности (базовая оценка составляет У3 = 7,6 )
После чего согласно формулам (5, 6) производился расчет совокупного относительного уровня опасности последовательной эксплуатации уязвимостей:
х= (1-0У(7,2/10)+0, (5)
х2={1-0,72)*0,90+0,72. (6)
В результате было сформировано множество X1:
X ={0,0.72,0.972}
Аналогичные операции были проведены в случае последовательной эксплуатацией трех уязвимостей (ББИ:2017-02555, ББИ:2018-01629, ББИ:2018-00565), схема представлена на рис. 3, сформировано множество X2 , итоговые результаты представлены на рис. 4:
Х2={0,0.62,0.9088,0.978112}
Рис. 3. Последовательная эксплуатация трех уязвимостей
Рис. 4. Совокупный уровень опасностей уязвимостей при различных вариантах
их эксплуатации
Заключение. Таким образом, применение разработанного алгоритма показывает, что в первом варианте при последовательной эксплуатации двух уязвимостей общий относительный уровень опасности составляет 0,972, в то время как для второго варианта данный показатель принимает значение 0,978. Разработанная методика позволяет получить количественную оценку уровня опасности уязвимостей, не опираясь на показатели нанесенного ущерба [7], при этом предполагается установление прямых взаимосвязей
между рассматриваемыми объектами, в частности «уязвимость — угроза» [4] и «уязвимость — уязвимость», являющихся предметом более детального рассмотрения и дальнейшего исследования в целом. На основе полученных результатов представляется возможным сделать вывод об актуальности данной методики, поскольку она позволяет оценить совокупный уровень опасности нескольких уязвимостей, что, в свою очередь, способствует формированию управленческих решений, необходимых для более качественного подхода к вопросу анализа и устранения уязвимостей.
ЛИТЕРАТУРА
1. National Institute of Standards and Technology. The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems [Электронный ресурс]. — URL: http://www. http://nvd.nist.gov/_(дата обращения: 03.01.2019).
2. Оценка применимости методики CVSS для риск-анализа защищаемых систем / А. С. Пахомова, Д. Н. Рахманин, Л. В. Паринова, Ю. К. Язов // Информация и безопасность. — 2017. — Т. 20, № 1. — С. 129—132.
3. Электронный сайт «SecurityLab»: перевод стандарта «Полное руководство по общему стандарту оценки уязвимостей версии 2, часть первая. Группы метрик» от 29 июня 2008 г. [Электронный ресурс]. — URL: http://www.se-curitylab.ru/ analytics/355336.php. (дата обращения: 07.01.2019).
4. Соловьев С. В., Мамута В. В. Применение аппарата нейросетевых технологий для определения актуальных угроз безопасности информации информационных систем // Наукоемкие технологии в космических исследованиях Земли. — 2016. — Т. 8, № 5. — С. 78—82.
5. Официальный сайт Федеральной службы по техническому и экспортному контролю // URL: http://www. fstec.ru (дата обращения: 05.01.2019).
6. First (Forum of Incident Response and Security Yeams) — Common Vulnerability Scoring System [Электронный ресурс]. — URL: https://first.org/cvss_(дата обращения: 15.01.2019).
7. Язов Ю. К. Проектирование защищенных информационно-телекоммуникационных систем : учебное пособие. — Воронеж : Воронежский государственный технический университет, 2014.
REFERENCES
1. National Institute of Standards and Technology. The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems [Elektronnyy resurs]. — URL: http://www. http://nvd.nist.gov/ (data obrashcheniya: 03.01.2019).
2. Otsenka primenimosti metodiki CVSS dlya risk-analiza zashchishchayemykh sistem / A. S. Pakhomova. D. N. Rakhmanin. L. V. Parinova. Yu. K. Yazov // Informatsiya i be-zopasnost. — 2017. — T. 20. № 1. — S. 129—132.
3. Elektronnyy sayt «SecurityLab»: perevod standarta «Polnoye rukovodstvo po ob-shchemu standartu otsenki uyazvimostey versii 2. chast pervaya. Gruppy metrik» ot 29 iyunya 2008 g. [Elektronnyy resurs]. — URL: http://www.se-curitylab.ru/ analytics/355336.php. (data obrashcheniya: 07.01.2019).
4. Solovyev S. V., Mamuta V. V. Primeneniye apparata neyrosetevykh tekhnologiy dlya opredeleniya aktualnykh ugroz bezopasnosti informatsii informatsionnykh sistem // Naukoyemkiye tekhnologii v kosmicheskikh issledovaniyakh Zemli. — 2016. — T. 8. № 5. — S. 78—82.
5. Ofitsialnyy sayt Federalnoy sluzhby po tekhnicheskomu i eksportnomu kontrolyu // URL: http://www. fstec.ru (data obrashcheniya: 05.01.2019).
6. First (Forum of Incident Response and Security Yeams) — Common Vulnerability Scoring System [Elektronnyy resurs]. — URL: https://first.org/cvss (data obrashcheniya: 15.01.2019).
7. Yazov Yu. K. Proyektirovaniye zashchishchennykh informatsionno-telekommu-nikatsionnykh sistem : uchebnoye posobiye. — Voronezh : Voronezhskiy gosudarstvennyy tekhnicheskiy universitet, 2014.
СВЕДЕНИЯ ОБ АВТОРАХ
Мельников Александр Владимирович. Профессор кафедры математики и моделирования систем. Доктор технических наук, доцент.
Воронежский институт МВД России.
E-mail: meln78@mail.ru
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. +7-910-342-74-27.
Чирков Владимир Евгеньевич. Инженер-электроник отдела информационно-технического обеспечения учебного процесса.
Воронежский институт МВД России.
E-mail: vchirkov24@bk.ru
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. +7-910-283-32-20.
Melnikov Alexander Vladimirovich. Professor of the chair of Mathematics and System Modeling. Doctor of Technical Sciences, Associate Professor.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: meln78@mail.ru
Work address: Russia, 394065, Voronezh, Prospect Patriots, 53. Tel. +7-910-342-74-27.
Chirkov Vladimir Evgenyevich. Electronics engineer of department of information technical supply of educational process.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: vchirkov24@bk.ru
Work address: Russia, 394065, Voronezh, Prospect Patriots, 53. Tel. +7-910-283-32-20.
Ключевые слова: информационная безопасность; уязвимости; угрозы; уровень опасности; CVSS.
Key words: information security; vulnerabilities; threats; danger level; CVSS.
УДК 004.056
