База данных уязвимостей

Уязвимости компьютерной безопасности

База данных уязвимостей (ББД) — это платформа, предназначенная для сбора, хранения и распространения информации об обнаруженных уязвимостях компьютерной безопасности . В базе данных обычно описывается выявленная уязвимость, оценивается потенциальное влияние на затронутые системы, а также любые обходные пути или обновления для устранения проблемы. VDB присвоит уникальный идентификатор каждой каталогизированной уязвимости, например, номер (например, 123456) или буквенно-цифровое обозначение (например, VDB-2020-12345). Информация в базе данных может быть доступна через веб-страницы, экспорт или API . VDB может предоставлять информацию бесплатно, за плату или за их комбинацию.

История

Первой базой данных об уязвимостях была «Исправленные ошибки безопасности в Multics», опубликованная 7 февраля 1973 года Джеромом Х. Зальцером. Он описал этот список как « список всех известных способов, с помощью которых пользователь может сломать или обойти механизмы защиты Multics ». ^[1] Изначально этот список сохранялся в секрете с целью сохранения подробностей об уязвимостях до тех пор, пока не будут доступны решения. Опубликованный список содержал две локальные уязвимости повышения привилегий и три локальные атаки типа «отказ в обслуживании». ^[2]

Типы баз данных уязвимостей

Базы данных основных уязвимостей, такие как база данных ISS X-Force, база данных Symantec/SecurityFocus BID и база данных уязвимостей с открытым исходным кодом (OSVDB) ^[a] объединяют широкий спектр публично раскрытых уязвимостей, включая общие уязвимости и риски (CVE). Основная цель CVE, управляемая MITRE , — попытаться объединить общедоступные уязвимости и присвоить им уникальный идентификатор стандартизованного формата. ^[3] Многие базы данных уязвимостей обрабатывают полученные данные от CVE и проводят дальнейшее исследование, предоставляя оценки риска уязвимостей, рейтинги воздействия и необходимые обходные пути. В прошлом CVE имел первостепенное значение для объединения баз данных уязвимостей, чтобы можно было делиться критическими исправлениями и отладками, чтобы запретить хакерам доступ к конфиденциальной информации в частных системах. ^[4] Национальная база данных уязвимостей (NVD), управляемая Национальным институтом стандартов и технологий (NIST), работает отдельно от базы данных CVE, управляемой MITRE, но включает только информацию об уязвимостях из CVE. NVD служит дополнением к этим данным, предоставляя оценку рисков Common Vulnerability Scoring System (CVSS) и данные Common Platform Enumeration (CPE).

База данных уязвимостей с открытым исходным кодом предоставляет точный, технический и объективный индекс безопасности уязвимостей. В обширной базе данных зарегистрировано более 121 000 уязвимостей. ОСВБД была основана в августе 2002 года и запущена в марте 2004 года. На начальном этапе вновь выявленные уязвимости исследовались участниками сайта, а пояснения подробно излагались на сайте. Однако по мере того, как потребность в этой услуге росла, потребность в преданном своему делу персонале привела к созданию Фонда открытой безопасности (OSF), который был основан как некоммерческая организация в 2005 году для финансирования проектов безопасности, и в первую очередь OSVDB. ^[5] ОСВДБ закрылась в апреле 2016 года. ^[6]

Национальная база данных уязвимостей США — это комплексная база данных уязвимостей кибербезопасности, созданная в 2005 году, в которой сообщается о CVE. ^[7] NVD — это основной справочный инструмент по кибербезопасности как для частных лиц, так и для отраслей, предоставляющий информационные ресурсы о текущих уязвимостях. В ПНВ хранится более 100 000 записей. Подобно OSVDB, NVD публикует рейтинги воздействия и классифицирует материалы в индекс, чтобы предоставить пользователям понятную систему поиска. ^[8] В других странах есть свои собственные базы данных уязвимостей, такие как Китайская национальная база данных уязвимостей и Российская база данных угроз безопасности данных .

Различные коммерческие компании также поддерживают свои собственные базы данных уязвимостей, предлагая клиентам услуги по доставке новых и обновленных данных об уязвимостях в машиночитаемом формате, а также через веб-порталы. Примеры включают Exploit Observer от ARP Syndicate, портал Symantec DeepSight ^[9] и канал данных об уязвимостях, менеджер уязвимостей Secunia (приобретенный Flexera) ^[10] и службу анализа уязвимостей Accenture ^[11] (ранее iDefense).

Exploit Observer ^[12] использует свою систему агрегирования данных об уязвимостях и эксплойтах (VEDAS) для сбора эксплойтов и уязвимостей из широкого спектра глобальных источников, включая китайские и российские базы данных. ^[13]

Базы данных уязвимостей советуют организациям разрабатывать, расставлять приоритеты и выполнять исправления или другие меры по устранению критических уязвимостей. Однако это часто может привести к созданию дополнительных уязвимостей, поскольку исправления создаются в спешке, чтобы предотвратить дальнейшее использование системы и нарушения. В зависимости от уровня пользователя или организации они гарантируют соответствующий доступ к базе данных уязвимостей, которая предоставляет пользователю информацию об известных уязвимостях, которые могут их затронуть. Ограничение доступа для отдельных лиц объясняется тем, что хакеры не могут ознакомиться с уязвимостями корпоративных систем, которые потенциально могут быть использованы в дальнейшем. ^[14]

Использование баз данных уязвимостей

Базы данных уязвимостей содержат обширный набор выявленных уязвимостей. Однако немногие организации обладают опытом, персоналом и временем для проверки и устранения всех потенциальных уязвимостей системы, поэтому оценка уязвимостей — это метод количественного определения серьезности нарушения системы. В базах данных уязвимостей существует множество методов оценки, таких как US-CERT и шкала анализа критических уязвимостей Института SANS, но общая система оценки уязвимостей (CVSS) является преобладающим методом для большинства баз данных уязвимостей, включая OSVDB, vFeed ^[15] и NVD. CVSS основан на трех основных показателях: базовом, временном и экологическом, каждый из которых обеспечивает рейтинг уязвимости. ^[16]

База

Эта метрика охватывает неизменные свойства уязвимости, такие как потенциальное воздействие раскрытия конфиденциальной информации, доступность информации и последствия безвозвратного удаления информации.

Временной

Временные метрики обозначают изменчивый характер уязвимости, например, вероятность возможности ее использования, текущее состояние нарушения системы и разработку любых обходных путей, которые могут быть применены. ^[17]

Относящийся к окружающей среде

Этот аспект CVSS оценивает потенциальные потери отдельных лиц или организаций из-за уязвимости. Кроме того, в нем подробно описывается основная цель уязвимости, начиная от персональных систем и заканчивая крупными организациями, а также количество потенциально затронутых лиц. ^[18]

Сложность использования различных систем оценки заключается в том, что нет единого мнения относительно серьезности уязвимости, поэтому разные организации могут упускать из виду критические уязвимости системы. Ключевое преимущество стандартизированной системы оценки, такой как CVSS, заключается в том, что опубликованные оценки уязвимостей можно быстро оценивать, отслеживать и устранять. Как организации, так и отдельные лица могут определить личное влияние уязвимости на свою систему. Выгоды, получаемые от баз данных уязвимостей для потребителей и организаций, экспоненциальны, поскольку информационные системы становятся все более встроенными, наша зависимость и доверие к ним растут, равно как и возможности для эксплуатации данных. ^[19]

Распространенные уязвимости безопасности, перечисленные в базах данных уязвимостей

Ошибка первоначального развертывания

Хотя функциональность базы данных может показаться безупречной, без тщательного тестирования незначительные недостатки могут позволить хакерам проникнуть в систему кибербезопасности системы. Часто базы данных публикуются без строгого контроля безопасности, поэтому конфиденциальные материалы легко доступны. ^[20]

SQL-инъекция

Атаки на базы данных являются наиболее распространенной формой нарушений кибербезопасности, зафиксированных в базах данных об уязвимостях. SQL-инъекции и NoSQL-инъекции проникают в традиционные информационные системы и платформы больших данных соответственно и интерполируют вредоносные заявления, предоставляя хакерам нерегулируемый доступ к системе. ^[21]

Неправильно настроенные базы данных

Установленные базы данных обычно не могут реализовать важные исправления, предложенные базами данных уязвимостей, из-за чрезмерной рабочей нагрузки и необходимости исчерпывающего тестирования, чтобы гарантировать, что исправления обновляют уязвимость дефектной системы. Операторы баз данных концентрируют свои усилия на основных недостатках системы, что дает хакерам полный доступ к системе посредством игнорируемых исправлений. ^[22]

Неадекватный аудит

Все базы данных требуют отслеживания аудита для регистрации изменений или доступа к данным. Когда системы создаются без необходимой системы аудита, использование уязвимостей системы сложно выявить и устранить. Базы данных об уязвимостях подчеркивают важность отслеживания аудита как средства сдерживания кибератак. ^[23]

Защита данных важна для любого бизнеса, поскольку личная и финансовая информация является ключевым активом, а хищение конфиденциальных материалов может дискредитировать репутацию фирмы. Реализация стратегий защиты данных необходима для защиты конфиденциальной информации. Некоторые придерживаются мнения, что именно первоначальная апатия разработчиков программного обеспечения, в свою очередь, приводит к необходимости существования баз данных уязвимостей. Если бы системы разрабатывались с большей тщательностью, они могли бы быть неуязвимы для SQL- и NoSQL-инъекций, что сделало бы ненужными базы данных об уязвимостях. ^[24]

Смотрите также

• Распространенные уязвимости и риски
• Примечания об уязвимостях Японии
• Национальная база данных уязвимостей
• База данных уязвимостей с открытым исходным кодом

Примечания

1. ОСВДБ была закрыта в апреле 2016 года; их место занял платный сервис VulnDB

Рекомендации

1. Зальцер, Дж. Х. (7 февраля 1973 г.). «Устраненные ошибки безопасности в Multics» (PDF) . Массачусетский Институт Технологий . S2CID  15487834. Архивировано (PDF) из оригинала 26 февраля 2024 года . Проверено 21 мая 2024 г.
2. «УСТРАНЕННЫЕ ОШИБКИ БЕЗОПАСНОСТИ В MULTICS» (PDF) . Архивировано (PDF) из оригинала 26 февраля 2024 г. Проверено 21 мая 2024 г.
3. «Распространенные уязвимости и уязвимости (CVE)» . Cve.mitre.org . Архивировано из оригинала 20 августа 2011 года . Проверено 1 ноября 2015 г.
4. Юн-Хуа, Гу; Пей, Ли (2010). «Проектирование и исследование базы данных уязвимостей». 2010 Третья Международная конференция по информации и вычислительной технике . стр. 209–212. дои : 10.1109/ICIC.2010.147. ISBN 978-1-4244-7081-5. S2CID  13308368.
5. Карлссон, Матиас (2012). История редактирования национальной базы данных уязвимостей и аналогичных баз данных уязвимостей (PDF) (Диссертация). Архивировано (PDF) из оригинала 14 ноября 2022 г. Проверено 21 мая 2024 г.
6. «OSVDB отключен навсегда» . 7 апреля 2016 г. Архивировано из оригинала 28 января 2021 г. Проверено 25 января 2021 г.
7. «Объяснение национальной базы данных уязвимостей» . resources.whitesourcesoftware.com . Архивировано из оригинала 21 мая 2024 г. Проверено 1 декабря 2020 г.
8. «Основные ресурсы ПНВ». Национальная база данных уязвимостей . Архивировано из оригинала 6 апреля 2018 года . Проверено 1 ноября 2015 г.
9. «Техническая разведка DeepSight | Symantec» . Симантек . Архивировано из оригинала 24 ноября 2018 г. Проверено 5 декабря 2018 г.
10. "Менеджер уязвимостей Secunia" . Архивировано из оригинала 6 декабря 2018 г. Проверено 5 декабря 2018 г.
11. «Информация об уязвимостях Accenture» (PDF) . Архивировано (PDF) из оригинала 6 декабря 2018 г. Проверено 5 декабря 2018 г.
12. «Аналитика эксплойтов и уязвимостей от ARP Syndicate» . Эксплойт наблюдатель . Проверено 31 мая 2024 г.
13. Сингх, Аюш (18 мая 2024 г.). «Около 1000 уязвимостей кибербезопасности, которые можно использовать, которые MITRE и NIST «могли» пропустить, но не Китай или Россия». Блог ARP Syndicate . Проверено 31 мая 2024 г.
14. Эриксон, Дж (2008). Хакерство - Искусство эксплуатации (1-е изд.). Сан-Франциско: Пресса без крахмала. ISBN 978-1-59327-144-2.
15. vFeed. «Уязвимости и аналитика угроз, связанные с vFeed». Архивировано из оригинала 27 октября 2016 г. Проверено 27 октября 2016 г.
16. Первое. «Общая система оценки уязвимостей (CVSS-SIG)». Архивировано из оригинала 8 марта 2022 года . Проверено 1 ноября 2015 г.
17. Мелл, Питер; Скарфон, Карен; Романоский, Саша (ноябрь 2006 г.). «Общая система оценки уязвимостей». Безопасность IEEE Конфиденциальность . 4 (6): 85–89. дои :10.1109/MSP.2006.145. S2CID  14690291.
18. Хайден, Л. (2010). Метрики ИТ-безопасности (1-е изд.). Нью-Йорк: МакГроу Хилл.
19. Питер Мелл; Карен Скарфон; Саша Романоский (ноябрь – декабрь 2006 г.). «Общая система оценки уязвимостей» (PDF) . Безопасность и конфиденциальность IEEE . Том. 4, нет. 6. С. 85–88. дои :10.1109/MSP.2006.145. Архивировано (PDF) из оригинала 25 февраля 2024 г. Получено 21 мая 2024 г. - через Форум групп реагирования на инциденты и безопасности.
20. «Наиболее значительные риски 2015 года и способы их смягчения» (PDF) . Имперва . Архивировано (PDF) из оригинала 30 сентября 2015 года . Проверено 2 ноября 2015 г.
21. Натараджан, Канчана; Субрамани, Сарала (2012). «Создание бесплатного безопасного алгоритма внедрения SQL-кода для обнаружения и предотвращения атак с использованием SQL-инъекций». Технология Процедиа . 4 : 790–796. дои : 10.1016/j.protcy.2012.05.129 .
22. «База данных уязвимостей - 1000 основных недостатков» . Сетевая безопасность . 8 (6). 2001.
23. Афьюни, Х (2006). Безопасность и аудит баз данных (1-е изд.). Бостон: Технология курса Томсона.
24. Сирохи, Д. (2015). Трансформационные аспекты киберпреступности . Индия: Vij Books. стр. 54–65.