CC BY
5
УДК 004.056
ПРИМЕНЕНИЕ CCSS ДЛЯ ОЦЕНКИ КОНФИГУРАЦИИ БЕЗОПАСНОСТИ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
С. В. Селигеев Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий»,31
*E-mail: seligeevsergei@gmail.com
Рассматривается возможность применения системы оценки CCSS, для оценки параметров конфигурации программного обеспечения.
Ключевые слова: система оценки, векторы, параметры конфигурации
USING CCSS TO EVALUATE SOFTWARE SECURITY CONFIGURATION
S. V. Seligeev Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation *E-mail: seligeevsergei @gmail.com
The possibility of using the CCSS scoring system to evaluate software configuration parameters is being considered
Keywords: scoring system, vectors, configuration parameters
В ходе жизненного цикла информационной системы может возникнуть необходимость в изменении параметров конфигурации программного обеспечения и появляется вопрос о том, будет ли является изменённая конфигурация безопасной. В таких случаях можно воспользоваться CCSS в связке с сканером уязвимостей CIS-CAT.
CCSS исходя из названия Common Configuration Scoring System предназначен для оценки параметров конфигурации безопасности программного обеспечения. Для работы с данной системой оценки существует перечень параметров программного обеспечения, которые так или иначе влияют на безопасность. Этот перечень называется CCE или Common Configuration Enumeration. В нем собраны параметры конфигурации с присвоенными уникальными идентификаторами и обоснования применения значений параметров, повышающих безопасность системы.
Используя CIS-CAT можно получить отчет о прохождении тестирования конфигурации программного обеспечения по определённому профилю защиты. В данном отчете будут указаны параметры конфигурации, которые прошли или не прошли проверку, а также рекомендованные значения параметров с обоснованием их применения. Так же параметры, тестируемые сканером, ссылаются на CCE.
На данный момент CCE является простым перечнем и не привязан к оценкам параметров конфигурации. Исходя из этого организации необходимо иметь регламент по оценке параметров конфигурации, так как оценки, полученные в ходе вычислений, являются простыми цифрами и без привязки к чему-либо не представляют интерес.
Актуальные проблемы авиации и космонавтики - 2021. Том 2
Базовый вектор CVSS и CCSS являются идентичными, а интерес в рамках данной статьи представляет их отличие: временной вектор и вектор окружения. На рисунке 1 представлены группы показателей, по которым происходит расчет метрик.
Базовые метрики
Временные метрики
Вектор доступа
т
Аутентификация (AU)
Сложность доступа (АС)
Ко нфи д е нци ал ь ность
(С)
Целостность (I)
Доступность (А)
Базовые возможности использования
Базовое влияние
Базовые возможности использования
Общий уровень эксплойтов (GEL)
Общии уровень реабилитации _iGRLj_
Базовое влияние
Временные возможности использования
Базовый
Г7~
Временной счет
Базовые возможности использования
Показатели пользовательского окруже ния
Общий уровень I эксплойтов (GEL) !
Локальный ^ уровень эксплойта
Распространённость локальной уязвимости (LVP) „
Воспринимаемое целевое значение _<ЕШ_
Местный уровень реабилитации (LRL)
Возможности использования (среда)
Конфи д е н ци ал ь ность
СС)
Целостность (I)
Доступность (А)
Требования ко нфи д е нциал ь ности
Требования целостности
Требования доступности
Возможность побочного ущерба (С DPI
Влияние
С-ет по-:агате._еп' пользовательского
Рис. 1. Группы показателей для расчета метрик CCSS
Одним из важных отличий является применение показателей из других векторов: в временном из базового; в векторе окружения из временного и базового. Помимо этого, добавлены новые показатели, которые можно рассмотреть на рисунке. Для наглядности на рисунке 2 приведен расчет метрик параметра конфигурации CCE-2776-3 Windows XP "Автоматический вход в систему должен быть правильно настроен".
CVSS
impact Excitability
Temporal
Tenwal
Environmental
Environmental Modified impact
Overall
■
CCSS
Рис. 2. Расчёт параметра конфигурации по CVSS и CCSS
Из данного рисунка видно, что в сравнении с CVSS CCSS показывает более подробные показатели для временной метрики и метрики окружения, что может значительно повлиять на общую оценку параметры конфигурации.
В заключение хочется сказать, что CCSS действительно позволяет получать более объективные оценки параметров конфигурации. Однако присутствует необходимость в формировании регламента по оценке параметров конфигурации, а также стоит отметить что получение оценок временного вектора и вектора окружения является сложным процессом из-за абстрактности показателей данных векторов.
Библиографические ссылки
1. NIST Interagency Report 7502. [Электронный ресурс]. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7502.pdf (дата обращения: 16.4.2021).
2. Introducing CIS-CAT Lite. [Электронный ресурс]. URL: https://www.cisecurity.org/blog/introducing-cis-cat-lite/ (дата обращения: 16.4.2021).
3. Common Configuration Enumeration (CCE). [Электронный ресурс]. URL: https://nvd.nist.gov/config/cce (дата обращения: 16.4.2021).
© Селигеев С. В., 2021
