Уязвимость это в информатике

Эксплойт (компьютерная безопасность) — Эксплойт (фр. exploit эксплуатировать) это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода, который, используя возможности, предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению… … Википедия

Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами. Уязвимость неразрывно связанна с характеристикой «живучесть». См. также: Уязвимость (компьютерная… … Википедия

Информационная безопасность — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей … Википедия

ГОСТ Р ИСО/МЭК 27033-1-2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции — Терминология ГОСТ Р ИСО/МЭК 27033 1 2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции оригинал документа: 3.2 архитектура (architecture): Базовая организация системы,… … Словарь-справочник терминов нормативно-технической документации

Сетевая разведка — получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему. Сетевая … Википедия

Социальная инженерия — Социальная инженерия это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств[1]. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение… … Википедия

Эксплоит — Эксплойт (фр. exploit эксплуатировать) это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода, который, используя возможности, предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению… … Википедия

РД 25.03.001-2002: Системы охраны и безопасности объектов. Термины и определения — Терминология РД 25.03.001 2002: Системы охраны и безопасности объектов. Термины и определения: 2.36.8 аварийное освещение (на охраняемом объекте): Действующее при аварии на объекте только в момент отключения основного освещение, позволяющее… … Словарь-справочник терминов нормативно-технической документации

Ривест, Рональд Линн — Рональд Л. Ривест Ronald L. Rivest … Википедия

WPA — и WPA2 (Wi Fi Protected Access) представляет собой обновлённую программу сертификации устройств беспроводной связи. Технология WPA пришла на замену технологии защиты беспроводных сетей WEP. Плюсами WPA являются усиленная безопасность данных … Википедия

Зайко Татьяна Анатольевна

аспирант, ЗНТУ, г. Запорожье, Украина

Бельмега Артем Валериевич

Студент, ЗАК, г. Запорожье, Украина

Актуальной задачейдля современных IT—компанийявляется определение уязвимостей и рисков безопасности информационных технологий, а также проблема эффективной оценки или приоритезации уязвимостей. Сегодня, несмотря на впечатляющий рост отрасли информа­ционной безопасности в целом, количество инцидентов безопасности продолжает расти. Одной из причин является кризис общесистемных разработок, которые нацелены на решение актуальных задач [1, 2].

В настоящее времяIT—персоналвынужден выявлять и обраба­тывать уязвимости различных программных и аппаратных платформ. Существует необходимость расставить приоритеты для этих уязви­мостей, чтобы в первую очередь исправлять те из них, которые представляют наибольшую опасность.

В компьютернойбезопасности термин «уязвимость» исполь­зуется для определения недостатков в системе, используя которые, можно нарушить его целостность и вызвать неправильную работу системы. Уязвимость может быть результатом ошибок программи­рования, недостатков, допущенных при проектировании системы, ненадежности паролей, вирусов и злонамеренного программного обеспечения, скриптовых и SQL—инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплоиты. Вообще, уязвимость позволяет атакую­щему «обмануть» приложение —заставить егосделать то, на что у него нет прав. Это достигается путем внедрения каким—либо образомв программу данных или кода в такие места, где программа воспримет их как свои. Некоторые уязвимости появляются из-занедостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемые код произвольные команды. Другие уязвимости появляются из-заболее сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).

Проблемауязвимостей и их обнаружения исследуется очень давно, и за время существования уязвимостей делались различные попытки классифицировать их по различным критериям [1, 3]. В настоящее время используетсяследующая классификация уязвимостей компьютерных систем (КС), что отражает этапы его жизненного цикла, которые изображены в таблице 1.

Читайте также:  Как сделать функцию в маткаде

Таблица 1

Классификация уязвимостей компьютерных систем

Этапы жизненного цикла компьютерной системы

Категории уязвимостей компьютерной системы

Проектирование компьютерной системы

Реализация компьютерной системы

Эксплуатация компьютерной системы

Самые опасные—уязвимостипроектирования, которые обна­руживаются и устраняются с большим трудом. В этом случае, уязви­мость свойственна проекту или алгоритму и, следовательно, даже совершенная его реализация (что в принципе невозможно) не избавит от заложенной в нем уязвимости. Смысл уязвимостей второй катего­рии (уязвимость реализации), заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении, корректного с точки зрения безопасности проекта или алгоритма. Яркий пример такой уязвимости —»переполнение буфера» («buffer overflow») во многих реализациях программ, например, sendmail или Internet Explorer. Выявляются и устраняются такого рода уязвимости относительно легко —путем обновления исполняемого кода или изменения исходного текста уязвимого программного обеспечения (ПО) [4, 5].

Последняя причинавозникновения уязвимостей —ошибкиконфигурации программного или аппаратного обеспечения. Наряду с уязвимыми реализациями они распространенной категорией уязви­мостей. Источником возникновения уязвимостей третьего класса являются ошибки конфигурирования аппаратного и программного обеспечения. Такие уязвимости наиболее распространены и легче обнаруживаются. К ним относятся: наличие слабых паролей, наличие незаблокированных встроенных учетных записей пользователей неправильным образом установленные права доступа пользователей к информационным ресурсам, наличие в информационных системах неиспользуемых, но потенциально опасных сетевых служб и програм­мных компонентов. Выявить и исправить такие уязвимости проще.

Но, так какуязвимостей, которые подлежат исправлению много, и они оцениваются по разным шкалам, то свести эти данные воедино для общего анализа не представляется возможным. Для решения этой задачи существуют системы оценки уязвимостей, которые были созданы коммерческими и некоммерческими организациями: схема классификации уязвимостей NIPC, шкала анализа уязвимостей SANS, система оценки критичности уязвимостей Microsoft, система оценки уязвимостей по стандарту PCI DSS, системы US—CERT, CVSS и nCircle [5—8, 12]. Каждая организация приводила и обосновывала свою классификацию. Однако ни одна классификация не может быть категоричной.Каждая из этих систем имеет свои преимущества и отличаются они друг от друга по параметру, который измеряется.

СистемаCERT/CC использует значение оценок от 0 до 180 и учитывает такие факторы, как например: неотъемлемый риск в Интернет—структуре и какой тип предпосылок требуется для эксплуа­тации уязвимости. Координационный центр CERT (CERT/CC), пожа­луй, наиболее широко известная группа. В рамках программы CERT, рассматриваются риски на уровне программного обеспечения и системного обеспечения. Хотя она была создана как команда реагирования на инциденты, CERT/CC, через определенный промежу­ток времени —реорганизовалось, и, кроме того, еще сосредоточилась на выявлении и устранении существующих и потенциальных угроз, сообщая системных администраторов и других технических специалистов, об этих угрозах. Чтобы уменьшить риски безопасности, связанные с программным обеспечением уязвимостей, CERT/CC стре­мятся к решению как количества уязвимостей в программном обеспе­чении, которая разрабатывается и количества уязвимостей в програм­мном обеспечении, которые уже развернуты. CERT/CC выступает за комплексный подход, включающий в себя рекомендации, что делает конфигурацию или изменения архитектуры и применения обходных путей средствами снижения рисков. В некоторых случаях эти стратегии обеспечения более долгосрочного снижения уязвимости не просто исправить и обновить. CERT/CC является главным координационным центром при решении проблем безопасности в Интернете [7].

Система анализа уязвимостей SANS —учитывает в какой конфигурации найдено уязвимости —есть система стандартной или нет, и есть система клиентом или сервером [12].

Система оценки уязвимостей от Microsoft пытается отразить сложность эксплуатации и общее воздействие от эксплуатации уязвимости [9].

Общая система оценки уязвимостей —Common Vulnerabilities Scoring System (CVSS) —это открытая схема, которая позволяет обмениваться информацией об IT—уязвимости. CVSS разрабатывается Forum of Incident Response and Security Teams. Это свободный и открытый стандарт. Ни одна из организаций не обладает CVSS. Система оценки CVSS состоит из трех метрик: базовая метрика, временная метрика, контекстная метрика. Каждая метрика представляет собой число (оценку) в интервале от 0 до 10 вектор —короткое текстовое описание со значениями, которые используются для вывода оценки. Базовая метрика отражает основные характеристики уязвимости. Временная метрика соответствует следующим характеристикам уязвимостей, которые меняются со временем, а контекстная метрика —характеристикам, которые являются уникальными для среды поль­зователя. Общая система подсчета очков уязвимостей (CVSS) обеспе­чивает открытую архитектуру для передачи особенностей и последствий IТ—уязвимостей. CVSS состоит из 3 групп: базового, временного и внешней среды. Каждая группа вырабатывает числовой оценки в диапазоне от 0 до 10, а вектор, сжатый в текстовое представление, отражающее значение, используемые для получения баллов. Базовая группа представляет внутренние качества уязвимости. Временные группы отражают характеристики уязвимостей, которые меняются со временем. Внешняя группа представляет характеристики уязвимости, которые являются уникальными в среде любого пользователя. Этот объективный подход к описанию уязвимости предоставляет пользователям простое и интуитивно понятное представление об уязвимости. Это позволяет им принимать более обоснованныерешения при попытке смягчить риски, связанные с уязвимостями.

Читайте также:  При включении компьютера отключается интернет

Таким образом, CVSS хорошо подходит в качестве стандартной системы измерения для предприятий, организаций и правительств, которые требуют точной и последовательной оценки влияния вразли­вости. CVSS представляет собой универсальный открытый и стандар­тизированный метод рейтинга ИТ—уязвимостей.

Понятно, что уязвимости необходимо выявлять, чем и зани­маются системы анализа защищенности (security assessment systems), также известные как сканеры безопасности (security scanners) или системы поиска уязвимостей. Они проводят всесторонние исследова­ния заданных систем с целью выявления уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, получен­ные от средств анализа защищенности, представляют «мгновенный снимок» состояния защиты системы в данный момент времени.

В настоящее время можно выделить три базовые группы методов оценки уязвимостей:

• использование нескольких категорий уязвимостей или качественное ранжирование;
• количественное ранжирование;
• применение комплексных показателей оценки уязвимостей;

Сложившаяся в настоящее время ситуация означает, что в подавляющем большинстве случаев, управление информационной безопасностью представляет собой процесс, основанный на оценке рисков, существующих при принятой политике безопасности и с учетом имеющихся средств защиты [1]. При этом часть рисков, связанных с недостаточной надежностью самих элементов информа­ционной системы, просто не учитывается из-за отсутствия достовер­ных сведений. В результате компании несут расходы, необходимые для снижения известных рисков, а неизвестные риски так и остаются за рамками внимания. Применительно к формуле оценки рисков можно, говорить об отсутствии достаточных сведений об уязвимости.

Для решения этой проблемы, в первую очередь необходимо устранить пробел, связанный с недостатком сведений об актуальных уязвимости информационных систем.

Необходимость стандартизации в этой области назрела уже давно, но существенные шаги в этом направлении были сделаны только в последние годы.

Метод информирования об уязвимостях является одним из пунктов спора в обществе компьютерной безопасности [1, 2]. В конце прошлого века основной поддерживаемой производителями политикой, была политика неразглашения (non—disclosure), или как ее часто называли —«безопасность через замалчивание» (security through obscurity). В противоположность этой ситуации широкое распростра­нение получило движение полного разглашения (full—disclosure), согласно которому, полная информация об уязвимости должна быть опубликована в общем доступе, что повышает активность производи­телей в области безопасности и призвано помочь пользователям сис­тем самостоятельно устранить уязвимость, если необходимое обнов­ление не доступно. Побочным эффектом full—disclosure является появ­ление баз данных уязвимостей различных продуктов, которые могут быть использованы с различными целями, например для недопущения подобных ошибок в дальнейшем.

Некоторые специалисты отстаивают полное раскрытие информации об уязвимостях, как только они обнаружены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать только после задержки или не публиковать вовсе. Такие задержки позволят тем, кто был осведомлен, исправить ошибку посредством разработки и применения патчей, но также могут и увеличивать риск для тех, кто не имеет представления о деталях. Как показывает практика, в мире вполне эффективно работает политика полного или частичного разглашения, стимулируя производителей к оперативному устранению уязвимостей и повышая информированность специалистов в области безопасности [1—4]. В случае возникновения конфликтов можно воспользоваться отработанным механизмом взаимодействия с координаторами. Однако и в России и в мире и в Украине эти вопросы остаются открытыми.

Читайте также:  Скорость чтения и записи hdd 5400

5.1 Понятие уязвимости информации в информационных системах. Причины возникновения уязвимости информации.

Уязвимость — это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы.

В компьютерной безопасности термин «уязвимость» (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

короч уязвимости могут быть допущены случайно и заложены специально, но как правило уязвимость является результатом человеческой халатности иили невнимательности.

5.2 Классификация уязвимостей информации.

из башки:Могут быть организационными, уязвимости СКУД, документы, отсутствие видеонаблюдения, противопожарной охраны, дырявое ПО и тд

уязвимости уровня сети — уязвимости сетевых протоколов;

уязвимости уровня операционной системы;

уязвимости уровня баз данных — уязвимости конкретных СУБД ;

уязвимости уровня приложений — относятся уязвимости программного обеспечения.

уязвимость со стороны персонала

небрежное использование механизмов физического контроля доступа

отсутствие дверей/окон и пр.

Подверженность оборудования затоплению/температурам/пыли/перепадам напряжения

Управление коммуникациями и операциями:

Сложный интерфейс, приводящий к ошибкам при использовании

Плохой контроль изменений

Плохое управление сетью

отсутствие резервного копирования

Отсутствие обновлений ПО

Отсутстви разграничение прав/обязанностей

Отсутствие разделения тестового и боевого оборудования

плохое разделение доступа в сетях

отсутствие меанизмов аутентификации/идентификации

Плохая политики контроля доступа

Отсутствие выхода из системы при уходе от компа

нет или мало тестирования ПО

нет контроля прав доступа

Плохой контроль паролей

отсутствие контроля входных/выходных данных

отсутствие проверки обрабатываемых данных

нет или мало тестирования ПО

неконтроллируемая загрузка и использование ПО

использование бесплатных ПО

5.3 Понятие «утечка информации». Общая характеристика каналов утечки информации из информационных систем.

Утечку информации в общем плане можно рассматривать как неправомерный выход конфиденциальных сведений за пределы организации или круга лиц, которым эти сведения были доверены.

Утечка информации по своей сущности всегда предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.

Утечку охраняемой информации, может произойти при наличии ряда обстоятельств. Если есть злоумышленник, который такой информацией интересуется и затрачивает определенные силы и средства для ее получения. И если есть условия, при которых он может рассчитывать на овладение интересующую его информацию (затратив на это меньше сил, чем если бы он добывал ее сам).

Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

Примеры косвенных каналов утечки:

Кража или утеря носителей информации, исследование не уничтоженного мусора;

Дистанционное фотографирование, прослушивание;

Перехват электромагнитных излучений.

Примеры прямых каналов утечки:

Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

Каналы утечки информации можно также разделить по физическим свойствам и принципам функционирования:

акустические — запись звука, подслушивание и прослушивание;

акустоэлектрические — получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания;

виброакустические — сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

оптические — визуальные методы, фотографирование, видео съемка, наблюдение;

электромагнитные — копирование полей путем снятия индуктивных наводок;

радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации “закладных устройств”, модулированные информативным сигналом;

материальные — информация на бумаге или других физических носителях информации