Руслан Рахметов, Security Vision
В современности на любую тему можно найти инструкцию или справочник, которые помогут разобраться в задаче, найти пути её решения и в целом лучше понимать выбранную тему. Это происходит в повседневной жизни и в рабочих задачах, при этом мир информационной безопасности – не исключение. В текущей статье мы поговорим про универсальные справочники и базы данных об уязвимостях ИБ – о том, как они появились, какие бывают и как навсегда изменили подход к классификации и поиску нужной информации об угрозах.
В 90-х начали появляться публичные (доступные для всех, у кого есть выход в интернет) справочники угроз. До этого момента отдельные компании или отрасли могли использовать свои справочники и обращаться к «соседям» за полезными данными, но из-за отсутствия единого подхода даже при наименовании отдельных статей, а также при описании угроз – поиск был слишком трудным и все только усложнял. Самая популярная сегодня база CVE (Common Vulnerabilities and Exposures) была опубликована для всех в 1999 году. Она является публичной и финансируется подразделением US-CERT Национального управления кибербезопасности Министерства безопасности США. Университет Карнеги-Меллона поддерживает этот проект министерства, а поддержкой самой базы занимается компания MITRE. Актуальная база представляет собой словарь идентификаторов уязвимостей в компьютерной безопасности. Сейчас CVE является общепринятым международным стандартом, используемым для однозначной идентификации и обмена информацией о различных уязвимостях в программном обеспечении, аппаратных устройствах и других технологиях, которые компании используют в своих процессах управления инцидентами и уязвимостями, а также при управлении обновлениями операционных систем (ОС) и программного обеспечения (ПО) и при его разработке.
Появление базы вызвано сразу несколькими факторами:
С расширением использования компьютеров и сетей
- В конце 20-го века стало очевидно, что информационные системы подвергаются всё большему риску атак и уязвимостям;
- В связи с увеличением кибератак и ростом интереса к кибербезопасности организации по всему миру начали активнее использовать базы данных уязвимостей для более эффективного обнаружения и предотвращения атак;
- Стандартизация стала ключевым элементом в области информационной безопасности.
Единый подход позволил облегчить обмен информацией между организациями и индивидуальными пользователями вне зависимости от страны, отрасли и специфики работы.
Как устроена база CVE и какую роль в ней играет стандартизация
Каждая запись в базе представляет собой уникальный идентификатор в форме «CVE-год-номер», где «год» указывает на год создания идентификатора, а «номер» представляет собой уникальный номер уязвимости.
После публикации CVE от MITRE Национальный институт стандартов и технологий NIST (National Institute of Standards and Technology) в 2005 году запустил NVD (National Vulnerability Database). Как видно на скриншоте выше, NVD тесно связан с CVE и позволяет:
- Агрегировать данные от различных источников;
- Присваивать уникальный номер, удобный для поиска и классификации;
- Делиться информацией с заинтересованными пользователями по всему миру.
Для простоты можно сравнить эти справочники с алфавитом в русском языке или с алгеброй в математике: CVE, подобно порядковому номеру, позволяет однозначно связать какое-либо описание NVD с конкретным объектом. Это также похоже на описание данных в таблицах Excel, когда любой текст однозначно определён за конкретной колонкой и строкой, что упрощает поиск и анализ.
Ещё позднее, в 2005 году, появился и универсальный метод количественной оценки уязвимости, который помогает специалистам понять приоритет её исправления. Открытый стандарт CVSS (Common Vulnerability Scoring System) предоставляет собой числовую оценку, которая позволяет оценить влияние уязвимости и определить сроки и важность задач ИБ и ИТ.
Способ оценки уязвимостей совершенствовался со временем и имеет несколько версий:
CVSS v1.0
Первая версия предоставляла базовые оценки, фокусируясь на трех аспектах: уровень доступа, воздействие и сложность атаки.
CVSS v2.0
В 2007 году в модель оценки угроз внесены изменения, включая новые метрики и возможность расширения.
CVSS v3.0
Последняя версия, в которой введены дополнительные метрики:
1) Базовые метрики: уровень доступа, воздействие и сложность атаки (из первой версии);
2) Временные метрики: текущие обстоятельства и актуальность угрозы;
3) Окружающие метрики: учёт индивидуальных особенностей организации и окружения, например, региона компании или отрасли, в которой она работает.
Таким образом, база CVE позволяет однозначно определить угрозу и избежать необходимости сложного поиска дубликатов, метрика CVSS помогает понять важность и критичность работы, а различные аналитики (например, из NVD) получают доступ к описанию особенностей и способов исправления, которые будут доступны всем в мире для того, чтобы лучше разобраться в задаче и вовремя защитить важные данные и активы.
Способы классификации уязвимостей и источники информации
Все уязвимости из-за большого их количества и разнообразия принято раскладывать «по полочкам» для того, чтобы искать и устранять их было проще. Это похоже на полки в современных морозильниках, где подобраны температуры для хранения различных продуктов: мяса, овощей или сладкого мороженного. Только критериев, по которым можно складывать продукты в ящики, сразу несколько:
Тип уязвимости:
Например, уязвимости веб-приложений, операционных систем, сетевые и т.д.
Источник уязвимости:
Например, программная ошибка, конфигурационная или дизайнерская ошибка.
Степень повторяемости
Если уязвимость была использована в кибератаках или была обнаружена в других системах, она может быть классифицирована как более критичная.
Подтвержденность и наличие исправлений:
Уязвимость, для которой доступны подтверждённые эксплойты и патчи (доступные обновления, не позволяющие хакеру ей воспользоваться).
Уровень доступа
Например, уязвимость, требующая удалённого доступа, может считаться более критичной, чем уязвимость, требующая физического доступа к устройству, поскольку доступ к защищаемому серверу можно ограничить на уровне СКУД и соответствующего режима охраны, а удалённый доступ нужно ограничивать при создании сетей.
Существуют и другие способы классификации, такие как сложность атаки, влияние уязвимости на безопасность или тому, насколько они легко обнаруживаются защитниками.
Кто занимается актуализацией баз данных угроз
Благодаря открытому подходу, редактором базы могут быть разные пользователи. Сравнить такой подход можно с созданием и редактированием статей Википедии, когда каждый пользователь системы участвует в описании исторических фактов, биографии известных личностей или описании компаний и их деятельности на рынке. В частности, оценку CVSS выполняют:
- исследователи кибербезопасности и эксперты;
- администраторы систем и сетей;
- разработчики программного обеспечения;
- государственные органы по обеспечению безопасности и другие компании.
Мы уже упоминали NIST со своей базой NVD, но на самом деле это не единственный институт, который занимается задачами ИБ на глобальном и государственном уровнях. Существуют и другие базы, зависящие от целей, специализации и методов сбора информации.
MITRE ATT&CK, ориентированная на описание процедур, техник и тактик, используемых злоумышленниками, а не конкретных уязвимостей. Эта база помогает понимать методы атак и разрабатывать стратегии обнаружения и предотвращения.
Exploit Database, которая сфокусирована на эксплойтах и коде, демонстрирующем уязвимости. Содержит детальные описания и коды эксплойтов и предоставляет информацию, которая может быть использована для тестирования и обучения.
Vulners, которая использует уникальные технологии для сбора данных о уязвимостях, эксплойтах, патчах и других аспектах кибербезопасности.
CWE (Common Weakness Enumeration), описывающая типы слабостей в ПО, включая ошибки кодирования, архитектурные проблемы и другие.
CIRCL (Computer Incident Response Center Luxembourg) AIL (Analysis Information Leak) с инструментами для анализа потенциальных утечек информации.
Zero Day Initiative, описывающая уязвимости «нулевого дня» (которые были обнаружены недавно и не имеют исправлений в виде патчей).
Крупные аналитики в разных странах также формируют свои сообщества для поиска и описания угроз, например:
JVN (Japan Vulnerability Notes) для обмена информацией о безопасности в японском киберпространстве.
US-CERT (United States Computer Emergency Readiness Team) обеспечивает агентство национальной безопасности США (DHS) полезными данными.
НКЦКИ (Национальный Координационный Центр по Компьютерным Инцидентам) – российское государственное агентство, выполняющее координацию деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
ФСТЭК (Федеральная Служба по Техническому и Экспортному Контролю), которая отвечает за обеспечение безопасности информации и применение технических средств защиты информации в России.
Прозрачность, доступность и унификация позволили эффективно собирать информацию и делиться ей для обеспечения безопасности. Подходы CVE, CVSS, NVD, MITRE, НКЦКИ, ФСТЭК и др. навсегда изменили отношение к кибербезопасности как к чему-то секретному и тайному. Благодаря тому, что весь мир делится возникающими угрозами и способами борьбы с ними, каждая компания может использовать лучшие практики для защиты своих активов, данных клиентов, сотрудников и контрагентов.