База данных уязвимостей (ББД) — это платформа, предназначенная для сбора, хранения и распространения информации об обнаруженных уязвимостях компьютерной безопасности . В базе данных обычно описывается выявленная уязвимость, оценивается потенциальное влияние на затронутые системы, а также любые обходные пути или обновления для устранения проблемы. VDB присвоит уникальный идентификатор каждой каталогизированной уязвимости, например, номер (например, 123456) или буквенно-цифровое обозначение (например, VDB-2020-12345). Информация в базе данных может быть доступна через веб-страницы, экспорт или API . VDB может предоставлять информацию бесплатно, за плату или за их комбинацию.
Первой базой данных об уязвимостях была «Исправленные ошибки безопасности в Multics», опубликованная 7 февраля 1973 года Джеромом Х. Зальцером. Он описал этот список как « список всех известных способов, с помощью которых пользователь может сломать или обойти механизмы защиты Multics ». [1] Изначально этот список сохранялся в секрете с целью сохранения подробностей об уязвимостях до тех пор, пока не будут доступны решения. Опубликованный список содержал две локальные уязвимости повышения привилегий и три локальные атаки типа «отказ в обслуживании». [2]
Базы данных основных уязвимостей, такие как база данных ISS X-Force, база данных Symantec/SecurityFocus BID и база данных уязвимостей с открытым исходным кодом (OSVDB) [a] объединяют широкий спектр публично раскрытых уязвимостей, включая общие уязвимости и риски (CVE). Основная цель CVE, управляемая MITRE , — попытаться объединить общедоступные уязвимости и присвоить им уникальный идентификатор стандартизованного формата. [3] Многие базы данных уязвимостей обрабатывают полученные данные от CVE и проводят дальнейшее исследование, предоставляя оценки риска уязвимостей, рейтинги воздействия и необходимые обходные пути. В прошлом CVE имел первостепенное значение для объединения баз данных уязвимостей, чтобы можно было делиться критическими исправлениями и отладками, чтобы запретить хакерам доступ к конфиденциальной информации в частных системах. [4] Национальная база данных уязвимостей (NVD), управляемая Национальным институтом стандартов и технологий (NIST), работает отдельно от базы данных CVE, управляемой MITRE, но включает только информацию об уязвимостях из CVE. NVD служит дополнением к этим данным, предоставляя оценку рисков Common Vulnerability Scoring System (CVSS) и данные Common Platform Enumeration (CPE).
База данных уязвимостей с открытым исходным кодом предоставляет точный, технический и объективный индекс безопасности уязвимостей. В обширной базе данных зарегистрировано более 121 000 уязвимостей. ОСВБД была основана в августе 2002 года и запущена в марте 2004 года. На начальном этапе вновь выявленные уязвимости исследовались участниками сайта, а пояснения подробно излагались на сайте. Однако по мере того, как потребность в этой услуге росла, потребность в преданном своему делу персонале привела к созданию Фонда открытой безопасности (OSF), который был основан как некоммерческая организация в 2005 году для финансирования проектов безопасности, и в первую очередь OSVDB. [5] ОСВДБ закрылась в апреле 2016 года. [6]
Национальная база данных уязвимостей США — это комплексная база данных уязвимостей кибербезопасности, созданная в 2005 году, в которой сообщается о CVE. [7] NVD — это основной справочный инструмент по кибербезопасности как для частных лиц, так и для отраслей, предоставляющий информационные ресурсы о текущих уязвимостях. В ПНВ хранится более 100 000 записей. Подобно OSVDB, NVD публикует рейтинги воздействия и классифицирует материалы в индекс, чтобы предоставить пользователям понятную систему поиска. [8] В других странах есть свои собственные базы данных уязвимостей, такие как Китайская национальная база данных уязвимостей и Российская база данных угроз безопасности данных .
Различные коммерческие компании также поддерживают свои собственные базы данных уязвимостей, предлагая клиентам услуги по доставке новых и обновленных данных об уязвимостях в машиночитаемом формате, а также через веб-порталы. Примеры включают Exploit Observer от ARP Syndicate, портал Symantec DeepSight [9] и канал данных об уязвимостях, менеджер уязвимостей Secunia (приобретенный Flexera) [10] и службу анализа уязвимостей Accenture [11] (ранее iDefense).
Exploit Observer [12] использует свою систему агрегирования данных об уязвимостях и эксплойтах (VEDAS) для сбора эксплойтов и уязвимостей из широкого спектра глобальных источников, включая китайские и российские базы данных. [13]
Базы данных уязвимостей советуют организациям разрабатывать, расставлять приоритеты и выполнять исправления или другие меры по устранению критических уязвимостей. Однако это часто может привести к созданию дополнительных уязвимостей, поскольку исправления создаются в спешке, чтобы предотвратить дальнейшее использование системы и нарушения. В зависимости от уровня пользователя или организации они гарантируют соответствующий доступ к базе данных уязвимостей, которая предоставляет пользователю информацию об известных уязвимостях, которые могут их затронуть. Ограничение доступа для отдельных лиц объясняется тем, что хакеры не могут ознакомиться с уязвимостями корпоративных систем, которые потенциально могут быть использованы в дальнейшем. [14]
Базы данных уязвимостей содержат обширный набор выявленных уязвимостей. Однако немногие организации обладают опытом, персоналом и временем для проверки и устранения всех потенциальных уязвимостей системы, поэтому оценка уязвимостей — это метод количественного определения серьезности нарушения системы. В базах данных уязвимостей существует множество методов оценки, таких как US-CERT и шкала анализа критических уязвимостей Института SANS, но общая система оценки уязвимостей (CVSS) является преобладающим методом для большинства баз данных уязвимостей, включая OSVDB, vFeed [15] и NVD. CVSS основан на трех основных показателях: базовом, временном и экологическом, каждый из которых обеспечивает рейтинг уязвимости. [16]
Эта метрика охватывает неизменные свойства уязвимости, такие как потенциальное воздействие раскрытия конфиденциальной информации, доступность информации и последствия безвозвратного удаления информации.
Временные метрики обозначают изменчивый характер уязвимости, например, вероятность возможности ее использования, текущее состояние нарушения системы и разработку любых обходных путей, которые могут быть применены. [17]
Этот аспект CVSS оценивает потенциальные потери отдельных лиц или организаций из-за уязвимости. Кроме того, в нем подробно описывается основная цель уязвимости, начиная от персональных систем и заканчивая крупными организациями, а также количество потенциально затронутых лиц. [18]
Сложность использования различных систем оценки заключается в том, что нет единого мнения относительно серьезности уязвимости, поэтому разные организации могут упускать из виду критические уязвимости системы. Ключевое преимущество стандартизированной системы оценки, такой как CVSS, заключается в том, что опубликованные оценки уязвимостей можно быстро оценивать, отслеживать и устранять. Как организации, так и отдельные лица могут определить личное влияние уязвимости на свою систему. Выгоды, получаемые от баз данных уязвимостей для потребителей и организаций, экспоненциальны, поскольку информационные системы становятся все более встроенными, наша зависимость и доверие к ним растут, равно как и возможности для эксплуатации данных. [19]
Хотя функциональность базы данных может показаться безупречной, без тщательного тестирования незначительные недостатки могут позволить хакерам проникнуть в систему кибербезопасности системы. Часто базы данных публикуются без строгого контроля безопасности, поэтому конфиденциальные материалы легко доступны. [20]
Атаки на базы данных являются наиболее распространенной формой нарушений кибербезопасности, зафиксированных в базах данных об уязвимостях. SQL-инъекции и NoSQL-инъекции проникают в традиционные информационные системы и платформы больших данных соответственно и интерполируют вредоносные заявления, предоставляя хакерам нерегулируемый доступ к системе. [21]
Установленные базы данных обычно не могут реализовать важные исправления, предложенные базами данных уязвимостей, из-за чрезмерной рабочей нагрузки и необходимости исчерпывающего тестирования, чтобы гарантировать, что исправления обновляют уязвимость дефектной системы. Операторы баз данных концентрируют свои усилия на основных недостатках системы, что дает хакерам полный доступ к системе посредством игнорируемых исправлений. [22]
Все базы данных требуют отслеживания аудита для регистрации изменений или доступа к данным. Когда системы создаются без необходимой системы аудита, использование уязвимостей системы сложно выявить и устранить. Базы данных об уязвимостях подчеркивают важность отслеживания аудита как средства сдерживания кибератак. [23]
Защита данных важна для любого бизнеса, поскольку личная и финансовая информация является ключевым активом, а хищение конфиденциальных материалов может дискредитировать репутацию фирмы. Реализация стратегий защиты данных необходима для защиты конфиденциальной информации. Некоторые придерживаются мнения, что именно первоначальная апатия разработчиков программного обеспечения, в свою очередь, приводит к необходимости существования баз данных уязвимостей. Если бы системы разрабатывались с большей тщательностью, они могли бы быть неуязвимы для SQL- и NoSQL-инъекций, что сделало бы ненужными базы данных об уязвимостях. [24]