CC BY
1
УДК 004.056
КОНТЕКСТНАЯ ОЦЕНКА УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В ИНФОРМАЦИОННОЙ СИСТЕМЕ
С.А. Лихтер*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
*E-mail: cemenls@yandex.ru
Рассматриваются процессы уточнения контекстной оценки уязвимостей в информационной системе. Для автоматизации процессов оценки предлагается программная реализация.
Ключевые слова: информационная безопасность, уязвимость, актив.
CONTEXTUAL ASSESSMENT OF SOFTWARE VULNERABILITIES IN THE INFORMATION SYSTEM
S.A. Likhter*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
*E-mail: cemenls@yandex.ru
The processes of clarifying the contextual assessment of vulnerabilities in the information system are considered. A software implementation is proposed to automate the assessment processes.
Keywords: information security, vulnerability, asset.
Для превентивной борьбы с атаками следует проводить регулярное выявление, анализ и оперативное устранение уязвимостей в информационной системе. В целях обеспечения непрерывности и систематизации в рамках применения процессного подхода к управлению уязвимостями вводится модель жизненного цикла управления уязвимостями, состоящая из следующих этапов: обнаружение, проверка, оценка, отчет, исправление и проверка. [1]
В работе рассматривается этап оценки уязвимостей, который предлагается реализовывать как два параллельных процесса:
1) первый процесс описывает оценку уязвимостей по разработанному алгоритму (рис. 1) и добавляет их в базу данных. Алгоритм, задействованный в процессе оценки уязвимостей более подробно описан в статьях [2] и [3].
2) второй процесс предназначен для корректирования рейтинга уязвимостей на основе данных об атаках на информационную систему и включает в себя использование таких характеристик как - обнаружение атаки, прогнозирование атаки, обнаружение активных узлов. Реализация данного процесса подробно изложена в статье [4].
Актуальныае проблемы! авиации и космонавтики - 2021. Том 2
^ НАЧАЛО J
1 t
Определение и оценка активов организации
i г
Сканирование системы на наличие уязвимостей
i 1
Оценка наущенных уязвимостеи по алгоритму
i 1
Применение дополнительных параметров
i t
^ КОНЕЦ J
Рис. 1. Схема процесса оценки уязвимости
Для снижения нагрузки на инфраструктуру информационной системы при сканировании, предлагается вести и использовать базу данных об активах с информацией по установленному на них программного обеспечения - CMDB (англ. Configuration management database). Это позволит снизить количество сканирований информационной системы на предмет выявления уязвимостей, так как при появлении информации о новых уязвимостях, их наличие в системе можно установить при обращении к базе данных CMDB проверяя версии системного и прикладного программного обеспечения.
В работе [2] предлагается оценивать структурные элементы информационной системы исходя из важности информации, которая на них вводится, обрабатывается, передается или хранится (для оценки используется ГОСТ Р ИСО/МЭК 27005-2010 [5]). В дополнение к данному подходу предлагается ввести в оценку данные для учета физического расположения структурных элементов в информационной системе (далее активов). Для этого введем три уровня важности:
1) высокий - актив, используется на границе информационной системы;
2) средний - актив представляет, собой внутреннее оборудование организации имеющее подключение к внешней сети;
3) низкий - это то оборудование, которое не имеет доступа к внешней сети.
Такую оценку активов можно считать дополнительной к уже применяющейся оценке уязвимостей. Уязвимости на важных активах должны пропорционально изменять свою оценку в соответствии с рейтингом CVSS выше, чем на средних активах, на низких оценка уязвимостей не изменяется.
Описанные процессы оценки уязвимостей были автоматизированы с помощью программной реализации. В результате работы разработанное программное обеспечение формирирует приоритетный список из обнаруженных уязвимостей, что позволяет специалисту сократить время, необходимое для формирования плана устранения уязвимостей и перейти к их непосредственному устранению.
Библиографические ссылки
1. Vulnerability Management Life Cycle [Электронный ресурс] // URL: https://www.cdc.gov/cancer/npcr/tools/security/vmlc.htm (Дата обращения: 06.04.2021).
2. С.А. Лихтер, В.Г. Жуков. Приоритизация и оперативное устранение уязвимостей в информационной системе // Материалы XXIII Международной научно-практической
конференции «Решетневские чтения», посвященной памяти генерального конструктора ракетно-космических систем академика М. Ф. Решетнева (11-15 нояб. 2019, г. Красноярск): в 2 ч. / под общ. ред. Ю. Ю. Логинова; Красноярск, 2019, ч.2, с. 436-437.
3. С.А. Лихтер. Оценка уровня опасности уязвимостей информационной системы [Электронный ресурс] URL: https://apak.sibsau.ru/page/materials (Дата обращения: 06.04.2021).
4. С.А. Лихтер. Уточнение рейтинга опасности уязвимостей по результатам их эксплуатации // Материалы XXIV Международной научно-практической конференции «Решетневские чтения», посвященной памяти генерального конструктора ракетно-космических систем академика М. Ф. Решетнева (10-13 нояб. 2020, г. Красноярск): в 2 ч. / под общ. ред. Ю. Ю. Логинова; Красноярск, 2020, ч.2, с. 528-529.
5. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности [Электронный ресурс] // URL: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (дата обращения: 06.04.2021).
© Лихтер С. А., В. Г. Жуков 2021
