Вы находитесь на странице: 1из 9

•Что такое CVSS?

Общая система оценки уязвимостей (Common Vulnerability Scoring System, CVSS) –


это открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях.

Стандарт CVSS был разработан группой экспертов по безопасности National


Infrastructure Advisory Council. В эту группу вошли эксперты из различных организаций,
таких как CERT/CC, Cisco, DHS/MITRE, eBay, IBM Internet Security Systems, Microsoft, Qualys,
Symantec.

В 2005 году состоялась первая публикация стандарта. Основные принципы расчета


метрики уязвимостей, изначально заложенные в стандарт, сохранились и по сей день.

Использование метрик CVSS для оценки уязвимостей закреплено в стандартах PCI


DSS и СТО БР ИББС.

• Метрики CVSS? Характеристики? Применение? Оценка?


В стандарт входят три группы метрик:

 Базовые метрики описывают характеристики уязвимости, не меняющиеся с


течением времени и не зависящие от среды исполнения. Этими метриками
описывается сложность эксплуатации уязвимости и потенциальный ущерб для
конфиденциальности, целостности и доступности информации.

Базовые CVSS-метрики составляются для того, чтобы определить и отобразить


основные характеристики уязвимости. Эта попытка объективно охарактеризовать
уязвимость дает пользователям ясное и интуитивно понятное представление об
уязвимости.

 Временные метрики вносят в общую оценку поправку на полноту имеющейся


информации об уязвимости, зрелость эксплуатирующего кода (при его наличии) и
доступность исправлений.
 При помощи контекстных метрик эксперты по безопасности могут внести в
результирующую оценку поправки с учетом характеристик информационной
среды.
Временные и контекстные метрики опциональны и применяются для более точной
оценки опасности, которую представляет данная уязвимость для более или менее
конкретной инфраструктуры.

Значение метрики принято публиковать в виде пары из вектора (конкретные значения


отдельных показателей) и числового значения (оценки), рассчитанного на основе всех
показателей при помощи формулы, определенной в стандарте.
• Что такое CVE? Назначение? Идентификаторы CVE?
Common Vulnerabilities and Exposures (CVE) - это список стандартных
идентификаторов (IDs) для общеизвестных уязвимостей информационной безопасности.
Основная задача создания CVE - объединение различных баз данных уязвимостей и
унификация их описания.

Идентификаторы CVE (также известные как "CVE IDs," "CVE entries," "CVE names,"
"CVE numbers," и "CVEs") - это уникальные общепринятые идентификаторы для
известных уязвимостей информационной безопасности.

Каждый ID CVE включает в себя:

 Идентификационный номер (например, "CVE-1999-0067", "CVE-2014-10001",


"CVE-2014-100001").
 Краткое описание уязвимости;
 Соответствующие ссылки (например, отчеты об уязвимостях и
рекомендации).

Процесс создания CVE ID начинается с обнаружения потенциальной уязвимости.


Затем CVE Numbering Authority (CNA) присваивает информации CVE ID и публикует в
списке CVE на веб-сайте Primary CNA.

• Калькулятор CVSS? Примеры

Программа оценки степени


опасности уязвимостей
компонентов
информационно-
вычислительных систем
«Калькулятор CVSS»
реализует оценку степени
опасности уязвимостей по
широко известной и
применяемой методике
CVSS.
В калькуляторе CVSS версии 3 используются некоторые другие метрики:

Базовые

Временные
Контекстные

• Примеры уязвимостей, описание


Уязвимость – это тот или иной недостаток в приложении, системе, устройстве или
сервисе, которая ведет к нарушению конфиденциальности, целостности и доступности.

CVE-2014-0160 — Уязвимость существует в реализации TLS и DTLS для OpenSSL из-за


некорректной обработки пакетов расширения Heartbeat. Эксплуатация данной
уязвимости позволяет злоумышленникам, действующим удаленно, получить доступ к
конфиденциальной информации из памяти процесса при помощи специально
сформированных пакетов, которые вызывают чтение за пределами буфера.

CVE-2015-4202 — Реализация Cable Modem Termination Systems (CMTS) в


маршрутизаторах Cisco uBR10000 не дает возможность ограничить доступ к сервису IP
Detail Record (IPDR), что позволяет удаленному атакующему получить доступ к
конфиденциальной информации путем отсылки специально сформированных IPDR-
пакетов.
CVE-2015-2373 — Уязвимость в сервисе Remote Desktop Protocol (RDP) операционной
системы Windows позволяет удаленному атакующему выполнить произвольный код на
системе путем отправки специально сформированных RDP-пакетов.

CVE-2014-0568 — Уязвимость в обработчике системного вызова NtSetInformationFile в


Adobe Reader и Adobe Acrobat на операционной системе Windows позволяет
атакующему обойти ограничения «песочницы» и выполнить произвольный код в
привилегированном контексте.

CVE-2015-3048 — Уязвимость в Adobe Reader и Adobe Acrobat на операционных системах


Windows и MacOS X позволяет атакующему вызвать переполнение буфера и выполнить
произвольный код на системе.

CVE-2015-1752 — Microsoft Internet Explorer некорректно обрабатывает объекты в


памяти, что позволяет атакующему выполнить произвольный код на системе при
переходе пользователя по ссылке, содержащей вредоносный код.

• Методика оценки уязвимостей?


Лежащая в основе CVSS методика позволяет оценить информацию о
существующих уязвимостях в информационных системах на основании различных
критериев. Использование доступного математического аппарата дает возможность
адаптировать методику под конкретные нужды.

Когда базовые метрики определены, с помощью базовой формулы вычисляется


оценка от 0 до 10 и создается вектор, как показано на рисунке.

Вектор олицетворяет собой открытую архитектуру системы. Вектор – это текстовая


строка, которая содержит значения, связанные с каждой метрикой. Вектор используется
для того, чтобы точно отобразить, как была получена оценка. Поэтому необходимо,
чтобы вектор всегда публиковался вместе с оценкой.

При необходимости оценку базовой метрики можно уточнить, используя оценки


временной и контекстной метрик. Это удобно для того, чтобы отобразить
дополнительный контекст уязвимости и более точно определить риск, который
возникает от наличия уязвимости в конкретной среде. Но, тем не менее, это не
обязательно. В зависимости от целей, вполне может хватить базовой метрики и вектора.

Если требуется временная метрика, то временная формула сочетает временные


метрики с базовыми, чтобы получить временную оценку в диапазоне от 0 до 10. Также в
случае необходимости вычислить контекстную оценку, контекстная формула сочетает
контекстные метрики с временной оценкой, чтобы получить контекстную оценку в
диапазоне от 0 до 10.

Обычно базовая и временная метрики определяются аналитиками бюллетеней


уязвимостей, производителями продуктов в области информационной безопасности или
производителями приложений, потому что именно они имеют более полную
информацию о характеристиках уязвимостей, чем пользователи. Тем не менее,
контекстная метрика определяется пользователями, потому что именно они имеют
возможность увидеть последствия уязвимости в их среде.

• Что такое NVD? CVRF? Назначение ресурсов?


National Vulnerability Database (NVD) – это национальная база данных уязвимостей
США, хранилище данных уязвимостей, основанное на стандартах протокола
автоматизации содержимого безопасности (Security Content Automation Protocol —
SCAP). База NVD объединила в себе описание уязвимостей, названия программного
обеспечения с этими уязвимостями и оценки опасности уязвимостей.

Основная задача NVD - предоставление доступа к информации об уязвимостях для


автоматизации процессов управления уязвимостями, а также оценки и контроля
защищенности объектов информатизации.

Отличительной особенностью базы NVD является использование «Общего


перечисления платформ» (Common Platform Enumeration — CPE), являющегося одним из
лучших словарей продуктов среди известных аналогов за счет большого числа записей и
унифицированного формата имен программно-аппаратного обеспечения. Однако даже у
данного формата представления записей продуктов есть недостатки, а именно: 1)
неоднозначность значений разных полей формата; 2) недостаточное использование
записей данного словаря базой NVD.

CVRF (Common Vulnerability Reporting Framework), «Фрэймворк учета общих


уязвимостей» – это общая и согласованная структура для обмена не только
информацией об уязвимостях, но и любой документацией по безопасности.

Основан на стандарте Incident Object Description Exchange Format (IODEF),


предложенном IETF.
Структура документа CVRF:

CVRF был создан для того, чтобы заполнить основной пробел в стандартизации
уязвимостей: отсутствие стандартной структуры для создания отчетов об уязвимостях.
CVRF заменяет многие ранее использовавшиеся нестандартные форматы отчетов, тем
самым ускоряя обмен и обработку информации.

• Российский аналог CVE? ГОСТы классификации уязвимостей?

Приведите примеры.
На территории Российской Федерации одной из основных организаций, отвечающих за
обеспечение информационной безопасности в ключевых системах информационной
инфраструктуры, включая компьютерные сети органов государственной власти и
компьютерные сети критичных объектов инфраструктуры и предприятий, является
Федеральная служба по техническому и экспортному контролю – ФСТЭК России.

Для обеспечения деятельности по сертификации средств защиты информации и


обнаружения уязвимостей программного обеспечения, ФСТЭК России с 2014 года
поддерживает собственный реестр известных угроз информационной безопасности и
уязвимостей программного обеспечения – Банк данных угроз безопасности
информации (БДУ ФСТЭК России).

Данный реестр уязвимостей в первую очередь ориентирован на сбор и хранение


информации об угрозах и уязвимостях ПО, используемого в государственных
организациях Российской Федерации, включая информационные системы и системы
управления критичными производственными процессами. Пополняется реестр ФСТЭК
России путем мониторинга общедоступных источников информации – информационных
бюллетеней российских и иностранных компаний, производящих ПО, а также реестров и
информационных бюллетеней исследовательских организаций и компаний,
предоставляющих услуги в области информационной безопасности.

ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем.


Классификация уязвимостей информационных систем.
В настоящем стандарте принята классификация уязвимостей ИС исходя из области
происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления)
уязвимостей ИС.

Примеры уязвимостей:

BDU:2020-01515 — Уязвимость операционных систем openSUSE Leap, Mac OS X, iOS,


tvOS, watchOS, браузера Safari, мультимедийного проигрывателя iTunes и сервиса iCloud
вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости
может позволить нарушителю, действующему удалённо, выполнить произвольный код с
помощью специально созданного веб-сайта.

BDU:2020-01448 — Уязвимость браузера Firefox связана с ошибкой переполнения буфера


памяти. Эксплуатация уязвимости может позволить нарушителю, действующему
удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а
также вызвать отказ в обслуживании.

BDU:2020-01417 — Уязвимость компонента ANGLE веб-браузера Google Chrome связана с


выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости
может позволить нарушителю, действующему удаленно, оказать воздействие на
целостность данных, вызвать отказ в обслуживании или получить несанкционированный
доступ к конфиденциальной информации через специально созданную HTML-страницу.

BDU:2020-01385 — Уязвимость программного обеспечения управления и конфигурации


сети Siemens SINEMA Server связана с некорректным присваиванием привелегий.
Эксплуатация уязвимости может позволить нарушителю, действующему удаленно,
поставить под угрозу конфиденциальность, целостность и доступность уязвимой системы
и базовых компонентов.

BDU:2020-01325 — Уязвимость компонента shiftfs ядра операционной системы Linux


связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может
позволить нарушителю вызвать отказ в обслуживании.

• Связь с CVE? CVSS?


Записи в базе данных БДУ ФСТЭК России предоставляют более подробную информацию
о различных аспектах, связанных с уязвимостью, чем иностранные реестры уязвимостей
CVE List и NVD, предоставляемые американскими некоммерческими и
государственными организациями. Кроме того, пользовательский интерфейс для
выборки из базы БДУ ФСТЭК России отличается большей гибкостью настроек поиска и
фильтрации результатов в сравнении с интерфейсами указанных иностранных баз
данных.
В соответствии с Регламентом включения информации об уязвимостях программного
обеспечения и программно-аппаратных средств в банк данных угроз безопасности
информации ФСТЭК России, в информации об уязвимости указываются базовый вектор и
степень опасности <1> уязвимости в соответствии с CVSS v.3.0;

<1> В соответствии с ГОСТ Р 56545-2015 степень опасности уязвимости может принимать


одно из четырех значений; критический (оценка по CVSS - 10), высокий (оценка по CVSS -
7 - 9,9), средний (оценка по CVSS - 4 - 6,9), низкий (оценка по CVSS - 0 - 3,9).

Оценить