CC BY
1
Актуальныае проблемы! авиации и космонавтики - 2022. Том 2
УДК 004.056
О СОЗДАНИИ НАЦИОНАЛЬНОЙ СИСТЕМЫ ПРИОРИТЕЗАЦИИ УЯЗВИМОСТЕЙ
ИНФОРМАЦИОННЫХ СИСТЕМ
С. В. Селигеев, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий»,31
*E-mail: seligeevsergei@gmail.com
Рассматривается необходимость создания национальной системы приоритезации уязвимостей для выстраивания процессов выявления, анализа и оперативного устранения уязвимостей информационных систем.
Ключевые слова: информационная безопасность, уязвимости информационных систем, оценка и приоретизация уязвимостей.
ON THE CREATION OF A NATIONAL SYSTEM OF PRIORITIZATION OF INFORMATION SYSTEM VULNERABILITIES
S. V. Seligeev, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation *E-mail: seligeevsergei @gmail.com
The necessity of creating a national vulnerability prioritization system for building processes for identifying, analyzing and promptly eliminating vulnerabilities of information systems is considered.
Keywords: information security, vulnerabilities of information systems, assessment and prioritization of vulnerabilities
Актуальность рассматриваемой проблемы заключается в том, что на данный момент времени оценка и приоритезация уязвимостей происходит с использованием стандарта CVSS, а, именно, его базового вектора. В этом случае специалисту необходимо рассматривать обширный перечень уязвимостей, которые являются критичными по базовому вектору CVSS, и, соответственно, проводить их приоритезацию, опираясь в основном на собственный опыт. Помимо этого, существует проблема того, что в контексте определенного бизнес-процесса, некритичные уязвимости по базовому вектору CVSS могут привести к реализации угроз, которые могут быть реализованы только в этом контексте. Данная работа рассматривает возможный вариант повышения эффективности оценки и приоритезации уязвимостей с использованием статистических данных о их эксплуатации.
Также актуальность проблемы демонстрирует заинтересованность специалистов в системах Vulnerability Management, что видно из опроса, проведенного во время прямого эфира Anti-Malware на тему «Построение системы управления уязвимостями: актуальные вопросы» [1]. Диаграмма с результатами ответа на вопрос «Каково ваше мнение относительно систем Vulnerability Management?» приведена на рисунке 1. Помимо этого, на актуальность проблемы указывает то, что на данный момент на рынке существуют
(Секция «Информационная безопасность»
кампании, которые продают управление уязвимостями как сервис, в качестве примера такой кампании можно привести кампанию «Акрибия» [2].
■ Я заинтересовался ими и готов тестировать
■ ")то интересно, но они чзбытачны ДЛА мае
■ Наверное интересно, но участники не смогли объяснить преимуществ
■ Ничего не понял, о чем вы сегодня говорили
Рис. 1. Результаты опроса
В качестве примера существующего подхода к расставлению приоритетов уязвимостей можно рассмотреть подход Positive Technologies [3], в котором выделяется 5 шагов:
- приоритезация активов кампании;
- оценка последствий использования уязвимостей;
- ранжирование уязвимостей по наличию публичного эксплойта;
- определение доступности системы и привилегий злоумышленника, который может потенциально использовать уязвимость;
- оценка уязвимости по базовому вектору CVSS.
Данный подход мог бы быть более эффективным в случае, если у специалистов была не только информация о наличии публичных эксплойтов, но и статистика по их применению.
Идея создания национальной системы приоритезации уязвимостей заключается в том, чтобы использовать источники статистистики об эксплуатации уязвимости внутри страны. Так, например, НКЦКИ может, помимо сбора информации об инцидентах, обрабатывать данные о применяемых эксплойтах, приводить их к формализованному виду, и рассылать данные об актуальных на данный момент времени эксплойтах. В этом случае специалисты по информационной безопасности смогут закрывать именно те уязвимости, которы представляют угрозу в конкретный момент времени, а так же позволит закрывать те узявимости, которые по базовому вектору CVSS имеют низкую оценку, но при этом их эксплуатация в контексте бизнес-процесса приводит к значительным потерям.
Помимо простого сбора и рассылки статистики о применении эксплойтов можно ражнировать эти данные по регионам в которых происходили инциденты, а так же по сферам дейтельности организаций. Такой подход позволит иметь наиболее характерную картину атакующих для каждого бизнес-процесса в отдельности.
На данный момент времени существует эффективное решение по приоритезации уязвимостей, это модель EPSS (Exploit Prediction Scoring System) [4]: данная модель это попытка объединить описательную информацию об уязвимостях (CVE) с доказательствами их фактической эксплуатации. Однако, не смотря на эффективность модели, ее нельзя применить на территории Российской Федерации, так как модель использует источники о статистике эксплуатации эксплойтов (AlienVault и Fortinet), которые содержат статистику характерную для других стран. Данные источники не подходят под контекст организаций, работающих на территории Российской Федерации. Однако вариант приземления данной модели для работы на территории Российской Федерации кажется наиболее эффективным и быстрым решением для создания национальной системы приоритезации уязвимостей.
Актуальные проблемы авиации и космонавтики - 2022. Том 2
Создание подобной системы положительно бы сказалось на всех отраслях, так как позволило бы организовать механизмы эффективной приоретизации и оперативного устранения критических уязвимостей по результатам апостириорного анализа в условиях ограниченности ресурсов.
Библиографические ссылки
1. Построение системы управления уязвимостями: актуальные вопросы. [Электронный ресурс]. URL: https://anti--malware-ru.turbopages.org/anti-malware.ru/s/analytics/Technology_Analysis/Vulnerability'-Management-Hot-Issues (дата обращения: 31.3.2022).
2. Как мы управление уязвимостями построили. [Электронный ресурс]. URL: https://habr.com/ru/company/acribia/blog/460048/ (дата обращения: 31.3.2022).
3. Менеджмент уязвимостей: инструкция по применению. [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerability-management-instructions-for-use/ (дата обращения: 31.3.2022).
4. The EPSS Model. [Электронный ресурс]. URL: https://www.first.org/epss/model (дата обращения: 31.3.2022).
© Селигеев С. В., Жуков В. Г., 2022
