Описания уязвимости

Уязвимость (vulnerability) - недостаток в системе обработки  данных,  используя  который,  можно нарушить  её  целостность  и  вызвать  неправильную работу.

Фактически под уязвимостью можно понимать дефект или недостаток в системе, используя который внешний злоумышленник, может реализовать угрозу -намеренно нарушить её целостность, вызвать неправильную работу, осуществить несанкционированный доступ или атаку и др. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролейвирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты (код атаки).

Классификация уязвимостей:

По этапу жизненного цикла:

уязвимости проектирования (архитектура);

уязвимости реализации;

уязвимости эксплуатации (администрирование, конфигурации).

По причине возникновения:

объективные уязвимости, связанные с особенностями построения и техническими характеристиками оборудования и программного обеспечения, применяемых на защищаемом объекте. Полное устранение эти уязвимостей невозможно, но они могут существенно ослабляться программно-техническими и инженерно-техническими методами обеспечения информационной безопасности;

субъективные уязвимости зависят от действий сотрудников, в основном, устраняются организационными и программно-аппаратными методами;

случайные уязвимости зависят от  особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы мало предсказуемы и их устранение возможно при проведении комплекса организационных и инженерно-технических мероприятий.

По месту нахождения:

уязвимости аппаратных средств – уязвимости, имеющиеся в аппаратных средствах и возникшие при проектировании, разработке и производстве аппаратных средств;

уязвимость кода (программного обеспечения) - уязвимость, появившаяся в процессе разработки программного обеспечения;

уязвимость конфигурации - уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы, сети и объектов информатизации;

уязвимость архитектуры - уязвимость, появившаяся в процессе проектирования информационной системы, сети или объекта информатизации;

уязвимость организационная - уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственными за защиту информации.

По объекту воздействия выделяются следующие типы уязвимостей: уровня сети; уровня операционной системы; уровня баз данных; уровня приложений.

Исторически реестры (базы) уязвимостей были обусловлены потребностью в регулярном распространении бюллетеней и сводок о найденных уязвимостях для каждого типа и версии программных продуктов и сред. Такие реестры поддерживаются как крупными разработчиками программ (напримерAdobe, Microsoft, RedHat), так и различными ассоциациями (US-CERT, Secunia, OpenSecurityFoundation).

В различных базах для указания одних и тех же уязвимостей использовались различные наименования. Для устранения неразберихи с именованием уязвимостей в 1999 году компания MITRE Corporation (http://www.mitre.org) предложила решение, независимое от различных производителя средств поиска уязвимостей. Это решение было реализовано в виде базы данных CVE (CommonVulnerabilityEnumeration), которая затем была переименована в CommonVulnerabilitiesandExposures (Общие уязвимости и воздействия). Это позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер.

 

Базы уязвимостей

Наименования

Адрес

Открытые базы уязвимостей

Компанию MITRE и её база «Общие уязвимости и воздействия» (CommonVulnerabilitiesandExposures — CVE)

http://cve.mitre.org/data/downloads/allitems.html

 

Национальный институт стандартов и технологий (NationalInstituteofStandardsandTechnology — NIST) и его Национальная база данных уязвимостей (National Vulnerabilities Database — NVD)

https://nvd.nist.gov/download.cfm

 

Открытая база данных уязвимостей» (OpenSource Vulnerability Database — OSVDB)

https://blog.osvdb.org/2014/03/

Группа чрезвычайного компьютерного реагирования США (United State Computer Emergency Readiness Team — US-CERT) с Базой данных записей уязвимостей (Vulnerability Notes Database — VND)

https://www.us-cert.gov/

 

Проект SecurityFocus и его база уязвимостей BugTraq

http://www.securityfocus.com/bid

Компания IBM с базой уязвимостей X-Force

http://www-03.ibm.com/security/xforce/resources.html#all

ФСТЭК Российской Федерации База данных уязвимостей

http://www.bdu.fstec.ru/vul

 

Лаборатория SecurityLab и его база уязвимостей

http://www.securitylab.ru/vulnerability/page1_1.php

Cisco Security Advisories and Responses

https://tools.cisco.com/security/center/publicationListing.x

Software Engineering Institute

https://www.kb.cert.org/vuls/bypublished/?

WPScan Vulnerability Database

https://wpvulndb.com/

Коммерческие (закрытые) базы уязвимостей

Компания Secunia

http://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/vulnerability-intelligence-manager/

VUPEN Security

https://ssl0.ovh.net/en/

 

Международный метод оценки уязвимости и присвоения уровня опасности