2015-08-12
601
На сегодняшний день наиболее широкое практическое использование нашли следующие способы классификации и количественной оценки актуальности уязвимостей: схема классификации уязвимостей NIPC, шкала анализа уязвимостей SANS, система оценки критичности уязвимостей Microsoft, система оценки уязвимостей по стандарту PCI DSS, системы US—CERT, CVSS и nCircle [30,34-37,39]. Они различаются учитываемыми при классификации уязвимостей параметрами и шкалами оценки уязвимостей.
В качестве примера рассмотрим Общую Систему Оценки Уязвимости (CommonVulnerability Scoring System, CVSS). Данная система предназначенная для классификации уязвимостей по шкале критичности от 0 до 10:
· 0,0 – 3,9 — низкая степень;
· 4,0 – 6,9 — средняя степень;
· 7,0 – 9,9 — высокая степень;
· 10 — критическая степень.
Оценка (отнесение к уровню критичности) уязвимости производится на основе набора показателей (вектор доступа, сложность доступа, аутентификация, влияние на конфиденциальность, влияние на целостность, влияние на доступность).
Вектор доступа (Access Vector) определяет, как уязвимость может быть обнаружена и использована.
|
|
|
· Local – злоумышленнику необходим физический доступ к компьютеру;
· Adjacent Network – злоумышленнику необходим доступ к локальной сети;
· Network – уязвимость может быть использована из сети Интернет.
Сложность доступа (Access Complexity) определяет, насколько сложно провести атаку на систему через уязвимость после получения доступа к ней.
· High – злоумышленнику необходимо иметь высокую квалификацию, использовать нестандартные пути реализации атаки и обладать значительной информацией о системе. Конфигурация ПО является достаточно экзотической;
· Medium – злоумышленник должен иметь ограниченные права в системе. Конфигурация ПО отличается от конфигурации по умолчанию;
· Low – конфигурация по умолчанию. Круг тех, кто может являться злоумышленником, не ограничен.
Аутентификация (Authentification) определяет, сколько уровней аутентификации и авторизации должен пройти злоумышленник, прежде чем он получит возможность использовать уязвимость в системе.
· Multiple – множественная аутентификация и авторизация;
· Single – однократная авторизация;
· None – отсутствие аутентификации и авторизации.
Влияние на конфиденциальность (Confidentiality Impact) определяет влияние успешной атаки с использованием уязвимости на конфиденциальность системы и данных.
· None – отсутствие влияния;
· Partial – злоумышленник получает доступ к ограниченному набору данных;
· Complete – злоумышленник получает полный доступ ко всем данным.
Влияние на целостность (Integrity Impact) определяет влияние успешной атаки с использованием уязвимости на целостность данных и системы.
|
|
|
· None – отсутствие влияния;
· Partial – частичная потеря целостности (возможна модификация части конфигурации системы, часть данных может быть подменена и пр.);
· Complete – возможна подмена любых данных, модификация конфигурации и процессов всей системы.
Влияние на доступность (Availability Impact) определяет влияние успешной атаки с использованием уязвимости на доступность системы.
· None – отсутствие влияния;
· Partial – частичная недоступность (падение производительности системы или ее частей, непродолжительные перерывы в доступности данных);
· Complete – полная недоступность системы, отказ в обслуживании.
Из представленного примера видим, что классификация уязвимостей - отнесение их к уровню критичности, основана на использовании экспертных оценок. Кроме того, можем сделать вывод и о том, что статистика по выявляемым уязвимостям непрерывно ведется, известна, доступна, их стохастические параметры (об этом далее) могут быть определены, что позволяет проводить в их отношении соответствующий вероятностный анализ.
Таким образом, оценка актуальности уязвимости, определяемая мерой критичности уязвимости, формируемая известными подходами к оцениванию, исходя из сложности ее выявления, использования и целей эксплуатации злоумышленником, позволяет делать выводы о необходимости и экстренности принятия каких-либо мер в отношении выявленной уязвимости (в том числе, каких-либо организационных мер), но при этом никоим образом не затрагивает стохастических свойств обнаружения и устранения уязвимостей, что не позволяет осуществлять каких-либо прогнозов в отношении последующего выявлениях каких-либо типов уязвимостей (позволяющих осуществлять атаки соответствующих типов) в процессе функционирования системы.
