Уязвимость (вычисления) - Vulnerability (computing)

В компьютерная безопасность, а уязвимость это слабость, которой может воспользоваться субъект угрозы, например, злоумышленник, чтобы пересекать границы привилегий (т. е. выполнять несанкционированные действия) в компьютерной системе. Чтобы воспользоваться уязвимостью, злоумышленник должен иметь по крайней мере один применимый инструмент или методику, которые могут подключиться к уязвимости системы. В этом контексте уязвимости также известны как поверхность атаки.

Управление уязвимостями это циклическая практика, которая варьируется в теории, но содержит общие процессы, которые включают: обнаружение всех активов, определение приоритетов активов, оценку или выполнение полного сканирования уязвимостей, отчет о результатах, устранение уязвимостей, проверку исправления - повторить. Эта практика обычно относится к программным уязвимостям в вычислительных системах.[1]

Риск безопасности часто ошибочно классифицируется как уязвимость. Использование уязвимости с тем же значением риска может привести к путанице. Риск - это возможность значительного воздействия в результате использования уязвимости. Тогда есть уязвимости без риска: например, когда затронутые актив не имеет значения. Уязвимость с одним или несколькими известными экземплярами действующих и полностью реализованных атак классифицируется как эксплуатируемая уязвимость - уязвимость, для которой эксплуатировать существуют. Окно уязвимости - это время с момента появления или проявления дыры в безопасности в развернутом программном обеспечении до момента, когда доступ был удален, исправление безопасности было доступно / развернуто или злоумышленник был отключен - см. атака нулевого дня.

Ошибка безопасности (дефект безопасности ) - более узкое понятие. Есть уязвимости, не относящиеся к программному обеспечению: аппаратное обеспечение, сайт, уязвимости персонала являются примерами уязвимостей, которые не являются ошибками безопасности программного обеспечения.

Строит в языки программирования которые сложно использовать должным образом, могут проявлять большое количество уязвимостей.

Определения

ISO 27005 определяет уязвимость в качестве:[2]

Слабость актива или группы активов, которая может быть использована одной или несколькими угрозами, где актив - это все, что имеет ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссию организации.[3]

IETF RFC 4949 уязвимость в качестве:[4]

Недостаток или слабость в проектировании, реализации или эксплуатации и управлении системы, которые могут быть использованы для нарушения политики безопасности системы.

В Комитет по системам национальной безопасности из Соединенные Штаты Америки определенный уязвимость в Инструкции CNSS № 4009 от 26 апреля 2010 г. Национальный глоссарий по обеспечению информации:[5]

Уязвимость - слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована источником угрозы.

Много NIST публикации определяют уязвимость в ИТ-контексте в разных публикациях: FISMApedia[6] срок[7] предоставить список. Между ними СП 800-30,[8] дайте более широкий:

Недостаток или слабость в процедурах безопасности системы, разработке, реализации или внутреннем контроле, которые могут быть применены (случайно запущены или намеренно использованы) и приведут к нарушению безопасности или политике безопасности системы.

ENISA определяет уязвимость в[9] в качестве:

Наличие слабости, ошибки проектирования или реализации, которая может привести к неожиданному, нежелательному событию [G.11], ставящему под угрозу безопасность компьютерной системы, сети, приложения или протокола (ITSEC).

Открытая группа определяет уязвимость в[10] в качестве

Вероятность того, что потенциал угрозы превышает способность противостоять угрозе.

Факторный анализ информационного риска (FAIR) определяет уязвимость в качестве:[11]

Вероятность того, что актив не сможет противостоять действиям агента угрозы

Согласно FAIR уязвимость связана с силой контроля, то есть силой контроля по сравнению со стандартной мерой силы и угроза Возможности, то есть вероятный уровень силы, которую агент угрозы способен применить к активу.

ISACA определяет уязвимость в Рискни рамки как:

Слабость в дизайне, реализации, эксплуатации или внутреннем контроле

Данные и компьютерная безопасность: Словарь стандартных понятий и терминов, авторы Деннис Лонгли и Майкл Шейн, Stockton Press, ISBN  0-935859-17-9, определяет уязвимость в качестве:

1) В компьютерной безопасности - слабость в процедурах безопасности автоматизированных систем, административном контроле, контроле Интернета и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критической обработки. 2) В компьютерной безопасности - слабость в физической структуре, организации, процедурах, персонале, управлении, администрировании, оборудовании или программном обеспечении, которое может быть использовано для нанесения вреда системе или деятельности ADP. 3) В компьютерной безопасности - любая слабость или недостаток, существующий в системе. Атака или вредоносное событие, или возможность, доступная агенту угрозы, осуществить эту атаку.

Мэтт Бишоп и Дэйв Бейли[12] дать следующее определение компьютера уязвимость:

Компьютерная система состоит из состояний, описывающих текущую конфигурацию объектов, составляющих компьютерную систему. Система выполняет вычисления, применяя переходы между состояниями, которые изменяют состояние системы. Все состояния, достижимые из данного начального состояния с использованием набора переходов между состояниями, попадают в класс разрешенных или неавторизованных, как определено политикой безопасности. В данной статье определения этих классов и переходов считаются аксиоматическими. Уязвимое состояние - это авторизованное состояние, из которого можно перейти в неавторизованное состояние с помощью авторизованных переходов между состояниями. Компромиссное состояние - это достигнутое таким образом состояние. Атака - это последовательность разрешенных переходов между состояниями, которые заканчиваются скомпрометированным состоянием. По определению, атака начинается в уязвимом состоянии. Уязвимость - это характеристика уязвимого состояния, которая отличает его от всех неуязвимых состояний. В общем, уязвимость может характеризовать многие уязвимые состояния; если конкретно, то может характеризовать только один ...

Национальный учебно-образовательный центр по обеспечению информационной безопасности определяет уязвимость:[13][14]

Слабость в процедурах безопасности автоматизированных систем, административном контроле, внутреннем контроле и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критически важной обработки. 2. Слабость в процедурах безопасности системы, конструкции оборудования, внутреннего контроля и т. Д., Которая может быть использована для получения несанкционированного доступа к секретной или конфиденциальной информации. 3. Слабость в физическом плане, организации, процедурах, персонале, управлении, администрировании, аппаратном или программном обеспечении, которые могут быть использованы для нанесения вреда системе или деятельности ADP. Само по себе наличие уязвимости не причиняет вреда; уязвимость - это просто условие или набор условий, которые могут позволить системе или деятельности ADP пострадать в результате атаки. 4. Утверждение, касающееся прежде всего объектов внутренней среды (активов); мы говорим, что актив (или класс активов) уязвим (некоторым образом, возможно, с участием агента или группы агентов); мы пишем: V (i, e), где: e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.

Модели уязвимости и факторов риска

Ресурс (физический или логический) может иметь одну или несколько уязвимостей, которые могут быть использованы злоумышленником. Результат потенциально может поставить под угрозу конфиденциальность, честность или же доступность ресурсов (не обязательно уязвимых), принадлежащих организации и / или другим вовлеченным сторонам (клиентам, поставщикам). Так называемой Триада ЦРУ краеугольный камень Информационная безопасность.

Атака может быть активный когда он пытается изменить системные ресурсы или повлиять на их работу, нарушая целостность или доступность. А "пассивная атака"пытается узнать или использовать информацию из системы, но не влияет на системные ресурсы, нарушая конфиденциальность.[4]

OWASP: взаимосвязь между агентом угрозы и влиянием на бизнес

OWASP (см. рисунок) изображает одно и то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и связанных с ней средств управления безопасностью, оказывая техническое воздействие на ИТ-ресурс (актив), подключенный к бизнесу. влияние.

Общая картина представляет собой факторы риска сценария риска.[15]

Система управления информационной безопасностью

Набор политик, связанных с система управления информационной безопасностью (СМИБ), была разработана для управления в соответствии с Управление рисками принципы, контрмеры чтобы гарантировать, что стратегия безопасности настроена в соответствии с правилами и положениями, применимыми к данной организации. Эти контрмеры также называются Контроль безопасности, но применительно к передаче информации их называют охранные услуги.[16]

Классификация

Уязвимости классифицируются в соответствии с классом активов, к которому они относятся:[2]

  • аппаратное обеспечение
    • восприимчивость к влажности или пыли
    • подверженность незащищенному хранению
    • возрастной износ, вызывающий поломку
    • перегрев
  • программного обеспечения
    • недостаточное тестирование
    • небезопасное кодирование
    • отсутствие контрольный журнал
    • недостаток дизайна
  • сеть
  • персонал
  • физический сайт
    • территория, подверженная стихийным бедствиям (например, наводнение, землетрясение)
    • отключение источника питания
  • организационная
    • отсутствие регулярных аудитов
    • отсутствие планов преемственности
    • отсутствие безопасности

Причины

  • Сложность: большие сложные системы увеличивают вероятность ошибок и непреднамеренных точки доступа.[17]
  • Знакомство: использование общего, хорошо известного кода, программного обеспечения, операционных систем и / или оборудования увеличивает вероятность того, что злоумышленник получит или сможет найти знания и инструменты для использования уязвимости.[18]
  • Связь: большее количество физических подключений, привилегий, портов, протоколов и служб, а также время доступности каждого из них увеличивают уязвимость.[11]
  • Недостатки управления паролями: пользователь компьютера использует слабые пароли что может быть обнаружено грубой силой.[19] Пользователь компьютера хранит пароль на компьютере, где программа может получить к нему доступ. Пользователи повторно используют пароли между многими программами и веб-сайтами.[17]
  • Фундаментальный Операционная система недостатки дизайна: разработчик операционной системы выбирает применение неоптимальных политик управления пользователями / программами. Например, операционные системы с такими политиками, как разрешение по умолчанию предоставить каждой программе и каждому пользователю полный доступ ко всему компьютеру.[17] Этот недостаток операционной системы позволяет вирусам и вредоносным программам выполнять команды от имени администратора.[20]
  • Просмотр веб-сайтов в Интернете: некоторые веб-сайты могут содержать вредоносные Шпионское ПО или же Рекламное ПО которые могут быть автоматически установлены в компьютерных системах. После посещения этих веб-сайтов компьютерные системы заражаются, и личная информация собирается и передается третьим лицам.[21]
  • Программные ошибки: Программист оставляет уязвимую ошибку в программе. Ошибка программного обеспечения может позволить злоумышленнику использовать приложение не по назначению.[17]
  • Непроверенный ввод пользователя: Программа предполагает, что все пользовательские данные безопасны. Программы, которые не проверяют ввод данных пользователем, могут допускать непреднамеренное прямое выполнение команд или операторов SQL (известных как Переполнение буфера, SQL-инъекция или другие непроверенные входные данные).[17]
  • Не учиться на прошлых ошибках:[22][23] например, большинство уязвимостей, обнаруженных в IPv4 программное обеспечение протокола было обнаружено в новом IPv6 реализации.[24]

Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, дизайнер или другой человек:[25] поэтому люди должны рассматриваться в различных ролях как актив, угроза, информационные ресурсы. Социальная инженерия является растущей проблемой безопасности.

Последствия уязвимости

Влияние нарушения безопасности может быть очень высоким.[26] Тот факт, что ИТ-менеджеры или высшее руководство могут (легко) знать, что ИТ-системы и приложения имеют уязвимости, и не предпринимают никаких действий для управления IT риск в большинстве законодательных актов рассматривается как проступок. Закон о конфиденциальности вынуждает менеджеров действовать, чтобы уменьшить влияние или вероятность этого риска безопасности. Аудит безопасности информационных технологий это способ позволить другим независимым людям подтвердить правильность управления ИТ-средой и уменьшить ответственность, по крайней мере, продемонстрировав добросовестность. Тест на проникновение это форма проверки слабости и контрмер, принятых организацией: белая шляпа хакер пытается атаковать активы информационных технологий организации, чтобы выяснить, насколько легко или сложно поставить под угрозу ИТ-безопасность.[27] Правильный способ профессионального управления ИТ-рисками - это принять Система управления информационной безопасностью, Такие как ISO / IEC 27002 или же Рисковать IT и следовать им в соответствии со стратегией безопасности, установленной высшим руководством.[16]

Одним из ключевых понятий информационной безопасности является принцип глубокая защита, т.е. для создания многоуровневой системы защиты, которая может:[26]

  • предотвратить эксплойт
  • обнаружить и перехватить атаку
  • выяснить агентов угрозы и привлечь их к ответственности

Система обнаружения вторжений является примером класса систем, используемых для обнаружения нападения.

Физическая охрана представляет собой набор мер для физической защиты информационного актива: если кто-то может получить физический доступ к информационному активу, широко распространено мнение, что злоумышленник может получить доступ к любой информации о нем или сделать ресурс недоступным для его законных пользователей.

Были разработаны некоторые наборы критериев, которым должен удовлетворять компьютер, его операционная система и приложения для обеспечения хорошего уровня безопасности: ITSEC и Общие критерии два примера.

Раскрытие уязвимости

Скоординированное раскрытие информации (некоторые называют это «ответственное раскрытие 'но другие считают это предвзятым термином) уязвимостей - предмет больших споров. Как сообщал The Tech Herald в августе 2010 года, "Google, Microsoft, Переломный момент, и Rapid7 выпустили руководящие принципы и заявления о том, как они будут поступать с раскрытием информации в будущем ".[28] Другой метод обычно называется Полное раскрытие когда все подробности уязвимости публикуются, иногда с намерением оказать давление на автора программного обеспечения, чтобы он быстрее опубликовал исправление. В январе 2014 года, когда Google обнаружил уязвимость Microsoft до того, как Microsoft выпустила исправление для ее исправления, представитель Microsoft призвал компании-разработчики программного обеспечения к скоординированной практике раскрытия информации.[29]

Инвентаризация уязвимостей

Mitre Corporation ведет неполный список публично раскрытых уязвимостей в системе, называемой Распространенные уязвимости и подверженности. Эта информация немедленно передается в Национальный институт стандартов и технологий (NIST), где каждой уязвимости присваивается оценка риска с использованием Общая система оценки уязвимостей (CVSS), Перечисление общих платформ (CPE) схема, и Перечень общих слабых мест.

OWASP поддерживает список классов уязвимостей с целью обучения разработчиков систем и программистов, что снижает вероятность непреднамеренного включения уязвимостей в программное обеспечение.[30]

Дата раскрытия уязвимости

Время обнаружения уязвимости определяется по-разному в сообществе безопасности и в отрасли. Чаще всего это называется «своего рода публичным раскрытием информации безопасности определенной стороной». Обычно информация об уязвимостях обсуждается в списке рассылки или публикуется на веб-сайте по безопасности, а после этого появляется рекомендация по безопасности.

В время раскрытия - это первая дата описания уязвимости системы безопасности на канале, в котором раскрытая информация об уязвимости должна соответствовать следующему требованию:

  • Информация находится в свободном доступе для общественности.
  • Информация об уязвимости публикуется надежным и независимым каналом / источником.
  • Уязвимость прошла экспертный анализ, поэтому информация о рейтинге риска включается при раскрытии.
Выявление и устранение уязвимостей

Существует множество программных инструментов, которые могут помочь в обнаружении (а иногда и удалении) уязвимостей в компьютерной системе. Хотя эти инструменты могут предоставить аудитору хороший обзор возможных имеющихся уязвимостей, они не могут заменить человеческое суждение. Если полагаться только на сканеры, это приведет к ложным срабатываниям и ограниченному обзору проблем, присутствующих в системе.

Уязвимости были обнаружены во всех основных операционных системах. [31] включая Windows, macOS, различные формы Unix и Linux, OpenVMS, и другие. Единственный способ снизить вероятность использования уязвимости в системе - это постоянная бдительность, включая тщательное обслуживание системы (например, применение программных исправлений), передовые методы развертывания (например, использование брандмауэры и контроль доступа ) и аудит (как во время разработки, так и на протяжении всего жизненного цикла развертывания).

Примеры проявления уязвимостей

Уязвимости связаны с:

  • физическая среда системы
  • персонал (т.е. сотрудники, руководство)
  • административные процедуры и политика безопасности
  • ведение бизнеса и оказание услуг
  • оборудование, включая периферийные устройства [32] [33]
  • программное обеспечение (например, локально или в облаке)
  • возможность подключения (т.е. коммуникационное оборудование и средства)

Очевидно, что чисто технический подход не всегда может защитить материальные активы: необходимо иметь административную процедуру, позволяющую обслуживающему персоналу входить в помещения, а также людям с достаточным знанием процедур, мотивированным к тому, чтобы следовать им с должной осторожностью. Однако техническая защита не обязательно прекращается. Социальная инженерия (безопасность) атаки.

Примеры уязвимостей:

  • злоумышленник находит и использует уязвимость переполнения буфера, чтобы установить вредоносное ПО с последующим удалением конфиденциальных данных;
  • злоумышленник убеждает пользователя открыть сообщение электронной почты с прикрепленным вредоносным ПО;
  • наводнение повреждает компьютерные системы, установленные на первом этаже.

Уязвимости программного обеспечения

К распространенным типам недостатков программного обеспечения, которые приводят к уязвимостям, относятся:

Был разработан некоторый набор руководств по кодированию и большой количество статических анализаторов кода был использован для проверки того, что код соответствует рекомендациям.

Смотрите также

Рекомендации

  1. ^ «Жизненный цикл управления уязвимостями | NPCR | CDC». www.cdc.gov. 2019-03-12. Получено 2020-07-04.
  2. ^ а б ISO / IEC, «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008
  3. ^ Британский институт стандартов, Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели для управления безопасностью информационных и коммуникационных технологий. BS ISO / IEC 13335-1-2004.
  4. ^ а б Инженерная группа Интернета RFC 4949 Глоссарий по интернет-безопасности, версия 2
  5. ^ «Инструкция CNSS № 4009» (PDF). 26 апреля 2010. Архивировано с оригинал (PDF) на 2013-06-28.
  6. ^ "ФИСМАпедия". fismapedia.org.
  7. ^ «Срок: Уязвимость». fismapedia.org.
  8. ^ NIST SP 800-30 Руководство по управлению рисками для систем информационных технологий
  9. ^ «Глоссарий». europa.eu.
  10. ^ Техническая стандартная таксономия рисков ISBN  1-931624-77-1 Номер документа: C081 Опубликован Open Group, январь 2009 г.
  11. ^ а б «Введение в факторный анализ информационных рисков (FAIR)», ООО «Инсайт управления рисками», ноябрь 2006 г. В архиве 2014-11-18 в Wayback Machine;
  12. ^ Мэтт Бишоп и Дэйв Бейли. Критический анализ таксономий уязвимостей. Технический отчет CSE-96-11, факультет компьютерных наук Калифорнийского университета в Дэвисе, сентябрь 1996 г.
  13. ^ Скоу, Кори (1996). Справочник условий INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация по безопасности информационных систем)
  14. ^ Глоссарий NIATEC
  15. ^ ISACA THE RISK IT FRAMEWORK (требуется регистрация) В архиве 5 июля 2010 г. Wayback Machine
  16. ^ а б Райт, Джо; Харменнинг, Джим (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности. Публикации Моргана Кауфмана. Elsevier Inc. стр. 257. ISBN  978-0-12-374354-1.
  17. ^ а б c d е Какарека, Альмантас (2009). «23». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности. Публикации Моргана Кауфмана. Elsevier Inc. стр. 393. ISBN  978-0-12-374354-1.
  18. ^ Крсул, Иван (15 апреля 1997 г.). «Технический отчет CSD-TR-97-026». Лаборатория COAST, Департамент компьютерных наук, Университет Пердью. CiteSeerX  10.1.1.26.5435.
  19. ^ Паули, Даррен (16 января 2017 г.). «Просто сдавайся: пароль 123456 по-прежнему остается самым популярным в мире». Реестр. Получено 2017-01-17.
  20. ^ «Шесть самых глупых идей в области компьютерной безопасности». ranum.com.
  21. ^ «Консорциум безопасности веб-приложений / Статистика безопасности веб-приложений». webappsec.org.
  22. ^ Росс Андерсон. Почему не работают криптосистемы. Технический отчет, университетская компьютерная лаборатория, Кембридж, январь 1994 г.
  23. ^ Нил Шлагер. Когда технология терпит неудачу: значительные технологические катастрофы, аварии и сбои двадцатого века. Gale Research Inc., 1994.
  24. ^ Хакерство: Искусство эксплуатации, второе издание
  25. ^ Kiountouzis, E. A .; Коколакис, С.А. Безопасность информационных систем: перед лицом информационного общества 21 века. Лондон: Чепмен и Холл, ООО ISBN  0-412-78120-4.
  26. ^ а б Расмуссен, Джереми (12 февраля 2018 г.). «Лучшие практики кибербезопасности: оставайтесь Cyber ​​SMART». Технические решения. Получено 18 сентября, 2020.
  27. ^ Бависи, Санджай (2009). «22». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности. Публикации Моргана Кауфмана. Elsevier Inc. стр. 375. ISBN  978-0-12-374354-1.
  28. ^ «Новая эра раскрытия уязвимостей - краткая беседа с HD Moore». The Tech Herald. Архивировано из оригинал на 2010-08-26. Получено 2010-08-24.
  29. ^ Бец, Крис (11 января 2015 г.). «Призыв к более скоординированному раскрытию уязвимостей - MSRC - Домашняя страница сайта - Блоги TechNet». blogs.technet.com. Получено 12 января 2015.
  30. ^ «Категория: Уязвимость». owasp.org.
  31. ^ Дэвид Харли (10 марта 2015 г.). «Уязвимости операционной системы, эксплойты и незащищенность». Получено 15 января 2019.
  32. ^ Большинство ноутбуков уязвимы для атак через периферийные устройства. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Источник: Кембриджский университет]
  33. ^ Использование сетевых принтеров. Институт ИТ-безопасности, Рурский университет Бохума
  34. ^ [1] В архиве 21 октября 2007 г. Wayback Machine
  35. ^ «Джесси Рудерман» Условия гонки в диалогах безопасности ». squarefree.com.
  36. ^ "Блог lcamtuf". lcamtuf.blogspot.com.
  37. ^ «Предупреждение об усталости». Freedom-to-tinker.com.

внешняя ссылка