SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор Баз данных угроз

Обзор Баз данных угроз
25.03.2024


Руслан Рахметов, Security Vision

 

В современности на любую тему можно найти инструкцию или справочник, которые помогут разобраться в задаче, найти пути её решения и в целом лучше понимать выбранную тему. Это происходит в повседневной жизни и в рабочих задачах, при этом мир информационной безопасности – не исключение. В текущей статье мы поговорим про универсальные справочники и базы данных об уязвимостях ИБ – о том, как они появились, какие бывают и как навсегда изменили подход к классификации и поиску нужной информации об угрозах.

 

В 90-х начали появляться публичные (доступные для всех, у кого есть выход в интернет) справочники угроз. До этого момента отдельные компании или отрасли могли использовать свои справочники и обращаться к «соседям» за полезными данными, но из-за отсутствия единого подхода даже при наименовании отдельных статей, а также при описании угроз – поиск был слишком трудным и все только усложнял. Самая популярная сегодня база CVE (Common Vulnerabilities and Exposures) была опубликована для всех в 1999 году. Она является публичной и финансируется подразделением US-CERT Национального управления кибербезопасности Министерства безопасности США. Университет Карнеги-Меллона поддерживает этот проект министерства, а поддержкой самой базы занимается компания MITRE. Актуальная база представляет собой словарь идентификаторов уязвимостей в компьютерной безопасности. Сейчас CVE является общепринятым международным стандартом, используемым для однозначной идентификации и обмена информацией о различных уязвимостях в программном обеспечении, аппаратных устройствах и других технологиях, которые компании используют в своих процессах управления инцидентами и уязвимостями, а также при управлении обновлениями операционных систем (ОС) и программного обеспечения (ПО) и при его разработке.

 

Появление базы вызвано сразу несколькими факторами:


С расширением использования компьютеров и сетей

-  В конце 20-го века стало очевидно, что информационные системы подвергаются всё большему риску атак и уязвимостям;

-  В связи с увеличением кибератак и ростом интереса к кибербезопасности организации по всему миру начали активнее использовать базы данных уязвимостей для более эффективного обнаружения и предотвращения атак;

-  Стандартизация стала ключевым элементом в области информационной безопасности.

 

Единый подход позволил облегчить обмен информацией между организациями и индивидуальными пользователями вне зависимости от страны, отрасли и специфики работы.

 

Как устроена база CVE и какую роль в ней играет стандартизация

 

Каждая запись в базе представляет собой уникальный идентификатор в форме «CVE-год-номер», где «год» указывает на год создания идентификатора, а «номер» представляет собой уникальный номер уязвимости.

 

Рисунок1.png

 


После публикации CVE от MITRE Национальный институт стандартов и технологий NIST (National Institute of Standards and Technology) в 2005 году запустил NVD (National Vulnerability Database). Как видно на скриншоте выше, NVD тесно связан с CVE и позволяет:

-  Агрегировать данные от различных источников;

-  Присваивать уникальный номер, удобный для поиска и классификации;

-  Делиться информацией с заинтересованными пользователями по всему миру.


Для простоты можно сравнить эти справочники с алфавитом в русском языке или с алгеброй в математике: CVE, подобно порядковому номеру, позволяет однозначно связать какое-либо описание NVD с конкретным объектом. Это также похоже на описание данных в таблицах Excel, когда любой текст однозначно определён за конкретной колонкой и строкой, что упрощает поиск и анализ.

 

Рисунок2.png

  

 

Ещё позднее, в 2005 году, появился и универсальный метод количественной оценки уязвимости, который помогает специалистам понять приоритет её исправления. Открытый стандарт CVSS (Common Vulnerability Scoring System) предоставляет собой числовую оценку, которая позволяет оценить влияние уязвимости и определить сроки и важность задач ИБ и ИТ.

 

Рисунок3.png

 


Способ оценки уязвимостей совершенствовался со временем и имеет несколько версий:

 

CVSS v1.0

Первая версия предоставляла базовые оценки, фокусируясь на трех аспектах: уровень доступа, воздействие и сложность атаки.

 

CVSS v2.0

В 2007 году в модель оценки угроз внесены изменения, включая новые метрики и возможность расширения.

 

CVSS v3.0

Последняя версия, в которой введены дополнительные метрики:

1)  Базовые метрики: уровень доступа, воздействие и сложность атаки (из первой версии);

2)  Временные метрики: текущие обстоятельства и актуальность угрозы;

3)  Окружающие метрики: учёт индивидуальных особенностей организации и окружения, например, региона компании или отрасли, в которой она работает.


Таким образом, база CVE позволяет однозначно определить угрозу и избежать необходимости сложного поиска дубликатов, метрика CVSS помогает понять важность и критичность работы, а различные аналитики (например, из NVD) получают доступ к описанию особенностей и способов исправления, которые будут доступны всем в мире для того, чтобы лучше разобраться в задаче и вовремя защитить важные данные и активы.

 

Способы классификации уязвимостей и источники информации

 

Все уязвимости из-за большого их количества и разнообразия принято раскладывать «по полочкам» для того, чтобы искать и устранять их было проще. Это похоже на полки в современных морозильниках, где подобраны температуры для хранения различных продуктов: мяса, овощей или сладкого мороженного. Только критериев, по которым можно складывать продукты в ящики, сразу несколько:

 

Тип уязвимости:

Например, уязвимости веб-приложений, операционных систем, сетевые и т.д.

 

Источник уязвимости:

Например, программная ошибка, конфигурационная или дизайнерская ошибка.

 

Степень повторяемости

Если уязвимость была использована в кибератаках или была обнаружена в других системах, она может быть классифицирована как более критичная.

 

Подтвержденность и наличие исправлений:

Уязвимость, для которой доступны подтверждённые эксплойты и патчи (доступные обновления, не позволяющие хакеру ей воспользоваться).

 

Уровень доступа

Например, уязвимость, требующая удалённого доступа, может считаться более критичной, чем уязвимость, требующая физического доступа к устройству, поскольку доступ к защищаемому серверу можно ограничить на уровне СКУД и соответствующего режима охраны, а удалённый доступ нужно ограничивать при создании сетей.

 

Существуют и другие способы классификации, такие как сложность атаки, влияние уязвимости на безопасность или тому, насколько они легко обнаруживаются защитниками.

 

Кто занимается актуализацией баз данных угроз

 

Благодаря открытому подходу, редактором базы могут быть разные пользователи. Сравнить такой подход можно с созданием и редактированием статей Википедии, когда каждый пользователь системы участвует в описании исторических фактов, биографии известных личностей или описании компаний и их деятельности на рынке. В частности, оценку CVSS выполняют:

-  исследователи кибербезопасности и эксперты;

-  администраторы систем и сетей;

-  разработчики программного обеспечения;

-  государственные органы по обеспечению безопасности и другие компании.


Мы уже упоминали NIST со своей базой NVD, но на самом деле это не единственный институт, который занимается задачами ИБ на глобальном и государственном уровнях. Существуют и другие базы, зависящие от целей, специализации и методов сбора информации.

 

MITRE ATT&CK, ориентированная на описание процедур, техник и тактик, используемых злоумышленниками, а не конкретных уязвимостей. Эта база помогает понимать методы атак и разрабатывать стратегии обнаружения и предотвращения.

 

Exploit Database, которая сфокусирована на эксплойтах и коде, демонстрирующем уязвимости. Содержит детальные описания и коды эксплойтов и предоставляет информацию, которая может быть использована для тестирования и обучения.

 

Vulners, которая использует уникальные технологии для сбора данных о уязвимостях, эксплойтах, патчах и других аспектах кибербезопасности.

 

CWE (Common Weakness Enumeration), описывающая типы слабостей в ПО, включая ошибки кодирования, архитектурные проблемы и другие.

 

CIRCL (Computer Incident Response Center Luxembourg) AIL (Analysis Information Leak) с инструментами для анализа потенциальных утечек информации.

 

Zero Day Initiative, описывающая уязвимости «нулевого дня» (которые были обнаружены недавно и не имеют исправлений в виде патчей).

 

Крупные аналитики в разных странах также формируют свои сообщества для поиска и описания угроз, например:

 

JVN (Japan Vulnerability Notes) для обмена информацией о безопасности в японском киберпространстве.

 

US-CERT (United States Computer Emergency Readiness Team) обеспечивает агентство национальной безопасности США (DHS) полезными данными.

 

НКЦКИ (Национальный Координационный Центр по Компьютерным Инцидентам) – российское государственное агентство, выполняющее координацию деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

 

ФСТЭК (Федеральная Служба по Техническому и Экспортному Контролю), которая отвечает за обеспечение безопасности информации и применение технических средств защиты информации в России.

 

Прозрачность, доступность и унификация позволили эффективно собирать информацию и делиться ей для обеспечения безопасности. Подходы CVE, CVSS, NVD, MITRE, НКЦКИ, ФСТЭК и др. навсегда изменили отношение к кибербезопасности как к чему-то секретному и тайному. Благодаря тому, что весь мир делится возникающими угрозами и способами борьбы с ними, каждая компания может использовать лучшие практики для защиты своих активов, данных клиентов, сотрудников и контрагентов.

ИБ для начинающих NIST ФСТЭК MITRE Угрозы ИБ

Рекомендуем

Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
SOAR-системы
SOAR-системы
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"

Рекомендуем

Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
SOAR-системы
SOAR-системы
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"

Похожие статьи

Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Принципы информационной безопасности
Принципы информационной безопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Похожие статьи

Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Принципы информационной безопасности
Принципы информационной безопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения