CC BY
1
УДК 004.056
ОЦЕНКА УРОВНЯ ОПАСНОСТИ УЯЗВНМОСТЕЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ
*
С. А. Лихтер Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: cemenls@yandex.ru
Рассматриваются сложности оценки уязвимостей в целевых информационных системах при формировании плана их устранения. Предложены дополнительные критерии и алгоритм, автоматизирующий процесс оценки уязвимостей.
Ключевые слова: информационная безопасность, уязвимость, CVSS.
VULNERABILITY LEVEL OF DANGER ASSESSMENT IN INFORMATION SYSTEMS
S. A. Likhter* Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
*E-mail: cemenls@yandex.ru
The complexity of vulnerability assessment in information systems with a plan for their elimination is considered. Additional criteria and an algorithm are proposed to automate the vulnerability assessment process.
Keywords: information security, vulnerability, CVSS.
В целях обеспечения информационной безопасности профильными специалистами на местах планируются и осуществляются согласно регламенту мероприятия, направленные на выявление, анализ и оперативное устранение уязвимостей информационных систем [1]. Согласно стандарту: «Уязвимость - это недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации» [2]. Целесообразным представляется сосредоточить доступные ресурсы на устранении критических уязвимостей.
Общепризнанным способом оценки уязвимости является рейтинг CVSS (Common Vulnerability Scoring System) [3], который позволяет выделить основные характеристики уязвимости и дать количественную (числовую) оценку степени ее влияния на информационную безопасность. Однако, во-первых, рейтинг требует рассматривать каждую уязвимость по отдельности, то есть не дает ответа каким образом можно автоматизировать процесс оценки уязвимостей. Во-вторых, рейтинг CVSS обладает ограничением на количество возможных значений, что может создавать затруднения при определении приоритета устранения между двумя уязвимостями, получившими одинаковую или близкую числовую оценку.
Секция «Информационнаябезопасность»
Для решения проблемы автоматизации процесса оценки предлагается алгоритм, представленный на рис. 1.
В схеме используются следующие мнемоники из [3]: RL - remediation level; AV - attack vector; AC - attack complexity; PR - privileges required; UI - user interaction; CR, IR, AR -confidentiality, integrity и availability requirements соответственно; AVM, ACM, PRM, UIM -уточненные базовые показатели AV, AC, PR, UI; AVmax, ACmax, PRmax, Ulmax - базовые показатели эксплуатации, уточненные аналитиком.
В качестве исходных данных алгоритм использует информацию о базовых и временных показателях уязвимостей рейтинга CVSS, полученных из БДУ ФСТЭК России [3], и данные полученные на основе анализа информационной системы. Анализ информационной системы подразумевает определение уточненных базовых показателей рейтинга CVSS для каждого актива целевой информационной системы, вовлеченного в процесс обработки информации. Для определения показателей отражающих важность требований безопасности (CR, IR, AR) используется ГОСТ Р ИСО/МЭК 27005-2010 [4], а уточненные базовые показатели возможности эксплуатации (AVmax, ACmax, PRmax, UImax) оцениваются аналитиком с точки зрения потенциальных возможностей злоумышленника. Вычисление рейтинга уязвимости происходит согласно «Common Vulnerability Scoring System v3.1: Specification Document». [2]
Для решения второй проблемы предлагается использование дополнительных параметров оценки, таких как «Дата публикации уязвимости» и «Распространенность программного продукта».
Дополнительный параметр «Дата публикации уязвимости» отображает вероятность существования на уязвимость эксплойта. По данным исследования, в котором был проведен анализ списка CVE, результаты которого можно найти в отчете компании Kenna Security, 50% эксплойтов публикуется в течение двух недель после обнаружения уязвимости, 13% в течение месяца, и всего 1% в течение года [6]. Тогда можно сказать, о том, что свежие уязвимости, в виду того, что существование эксплойта на них маловероятно, должны получать меньшую оценку по сравнению со старыми уязвимостями.
Параметр «Распространенность программного продукта» оценивает вероятность существования эксплойта на уязвимость с точки зрения распространенности программного продукта с обнаруженной уязвимостью в мире, и в самой информационной системе.
На рис. 2 отображены результаты оценки уязвимостей тестовой информационной системы до применения дополнительных параметров и после.
До использования
дополнительных параметров
УяЭВИМОСГЬ Актив Баллы
BÛll:2018-01624 PCI
BDU:2019-Q1424 PCI
ВШ:2019-01425 PCI
BDU2019-Q1423 PCI
BDU2019-01422 PCI
BDU:2018-Û1483 PC2
BOU2017-02273 PC2
8DU:2018-01013 PC2
BDU;2018-Q1475 PCI 9,6
BQU:2018-01473 PCI 9,6
BDU:2018-01406 PCI 9,6
BDU:2013-01474 PCI 9,6
BQU:2019-002Q8 PCI 9,6
BDU:2019-01040 PC2 9,6
8ÛU:2018-01393 PC2 9,6
BDU2016-Q1522 PCI 9,3
BDU:2015-12091 PCI 9,3
BOU 2018-01407 PCI 8,8
BOU:201S-01408 PCI 8,8
8DU:2018-01339 PCI 8,8
После использования дополнительных параметров
Порядковый номер в очереди на исправление Уязвимость Актив Баллы
1 BDU:2018-01473 PCI 9,077
2 BDU:2018-01666 PCI 9,063
3 BDU:2018-01474 PCI 9,046
4 BDU:2018-01339 PCI 9,036
5 BDU:2019-00021 PCI 8,349
6 BDU:2019-0009S PCI 8,758
7 BDÜ 2019-000Q1 PCI 8,713
S BDU:2019-00208 PCI S, 697
9 BDU:2018-01475 PCI S, 632
10 BDU.2019-00272 PCI 8,547
11 BDU:2018-01406 PCI 8,492
12 BDU;2019-0H22 PCI 8,374
13 BDU:2019-00273 PCI 8,238
14 BDU:2019-00271 PCI 8,195
15 BDU:2018-01408 PCI 8,194
16 BDU:2019-01425 PCI 8,095
17 BDU:2019-00272 PCI 8,058
1S BDÜ 2018-01368 PCI 8,045
19 BDÜ 2018-01533 PCI 7,993
20 BDU:2019-01424 PCI 7,870
Рис. 2. Результаты оценки уязвимостей
Таким образом в результате применения дополнительных параметров был сформирован список уязвимостей, отсортированных в порядке их опасности для информационной безопасности. Этот список может быть рассмотрен в качестве рекомендации при формировании плана устранения уязвимостей.
Библиографические ссылки
1. Vulnerability Management Life Cycle [Электронный ресурс] // URL: https://www.cdc.gov/cancer/npcr/tools/security/vmlc.htm (Дата обращения: 25.03.2020).
2. ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей [Электронный ресурс] // URL: http://docs.cntd.ru/document/ 1200123701 (дата обращения: 25.03.2020).
3. Common Vulnerability Scoring System version 3.1: Specification Document [Электронный ресурс] // URL: https://www.first.org/cvss/specification-document (дата обращения: 26.03.2020).
4. Банк данных угроз безопасности информации: Список уязвимостей [Электронный ресурс] // URL: https://bdu.fstec.ru/vul (дата обращения: 25.03.2020).
5. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности [Электронный ресурс] // URL: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (дата обращения: 25.03.2020).
6. Prioritization to prediction [Электронный ресурс] // URL: https://www.kennasecurity.com/ prioritization-to-prediction-report/images/Prioritization_to_Prediction.pdf (дата обращения: 25.03.2020).
© Лихтер С. А., 2020
