База данных уязвимостей - Vulnerability database
А база данных уязвимостей (VDB) - это платформа, предназначенная для сбора, хранения и распространения информации об обнаруженных уязвимости компьютерной безопасности. В база данных будет обычно описывать выявленную уязвимость, оценивать потенциальное влияние на уязвимые системы и любые обходные пути или обновления для смягчения проблемы. VDB присваивает уникальный идентификатор каждой занесенной в каталог уязвимости, такой как номер (например, 123456) или буквенно-цифровой обозначение (например, VDB-2020-12345). Информация в базе данных может быть доступна через веб-страницы, экспорт или API. VDB может предоставлять информацию бесплатно, за плату или их комбинацию.
История
Первой базой данных уязвимостей была «Исправленные ошибки безопасности в Multics», опубликованные 7 февраля 1973 г. Джером Х. Зальцер. Он описал список как "список всех известных способов, которыми пользователь может нарушить или обойти механизмы защиты Мультики ".[1] Изначально список держался в частном порядке с целью сохранения подробностей уязвимостей до тех пор, пока не будут доступны решения. Опубликованный список содержал две локальные уязвимости повышения привилегий и три локальные атаки типа «отказ в обслуживании».[2]
Типы баз данных уязвимостей
Базы данных основных уязвимостей, такие как база данных ISS X-Force, база данных Symantec / SecurityFocus BID и База данных уязвимостей с открытым исходным кодом (OSVDB)[а] агрегировать широкий спектр публично раскрытых уязвимостей, в том числе Common Vulnerabilities and Exposures (CVE). Основная цель CVE, выполняемая МИТРА, заключается в попытке агрегировать общедоступные уязвимости и присвоить им уникальный идентификатор в стандартизированном формате.[3] Многие базы данных уязвимостей развивают полученные данные от CVE и дополнительно исследуют, предоставляя оценки риска уязвимостей, рейтинги воздействия и необходимые обходные пути. В прошлом CVE играла первостепенную роль в связывании баз данных уязвимостей, поэтому критические исправления и отладки можно было совместно использовать для предотвращения доступа хакеров к конфиденциальной информации в частных системах.[4] В Национальная база данных уязвимостей (NVD), управляемый Национальный институт стандартов и технологий (NIST), работает отдельно от базы данных CVE, запущенной MITER, но включает только информацию об уязвимостях из CVE. NVD служит дополнением к этим данным, предоставляя Общая система оценки уязвимостей (CVSS) оценка риска и Перечисление общих платформ (CPE) данные.
В База данных уязвимостей с открытым исходным кодом предоставляет точный, технический и объективный индекс безопасности уязвимостей. Полная база данных каталогизировала более 121 000 уязвимостей за 113-летний период. OSVDB была основана в августе 2002 года и была запущена в марте 2004 года. Вначале только что обнаруженные уязвимости исследовались участниками сайта, и объяснения были подробно описаны на сайте. Однако по мере роста потребности в услугах потребность в специализированном персонале привела к созданию Фонда Open Security Foundation (OSF), который был основан как некоммерческая организация в 2005 году для обеспечения финансирования проектов безопасности, в первую очередь OSVDB.[5]
Соединенные штаты. Национальная база данных уязвимостей - это комплексная база данных уязвимостей кибербезопасности, сформированная в 2005 году и содержащая отчеты о CVE.[6] NVD - это основной инструмент направления кибербезопасности для отдельных лиц и предприятий, предоставляющий информационные ресурсы о текущих уязвимостях. NVD хранит более 50 000 записей и ежедневно публикует 13 новых записей. Подобно OSVDB, NVD публикует рейтинги воздействия и классифицирует материалы в индекс, чтобы предоставить пользователям понятную систему поиска.[7]
Различные коммерческие компании также поддерживают свои собственные базы данных уязвимостей, предлагая клиентам услуги, которые предоставляют новые и обновленные данные об уязвимостях в машиночитаемом формате, а также через веб-порталы. Примеры включают Symantec DeepSight[8] портал и поток данных об уязвимостях, менеджер уязвимостей Secunia (приобретенный Flexera)[9] и служба анализа уязвимостей Accenture[10] (ранее iDefense).
Базы данных уязвимостей рекомендуют организациям разрабатывать, расставлять приоритеты и выполнять исправления или другие меры по устранению критических уязвимостей. Однако это часто может приводить к созданию дополнительных уязвимостей, поскольку исправления создаются в спешке, чтобы предотвратить дальнейшие попытки использования системы и нарушения. В зависимости от уровня пользователя или организации они гарантируют соответствующий доступ к базе данных уязвимостей, которая предоставляет пользователю информацию об известных уязвимостях, которые могут повлиять на них. Обоснование ограничения доступа для отдельных лиц состоит в том, чтобы помешать хакерам разбираться в уязвимостях корпоративной системы, которые потенциально могут быть использованы в дальнейшем.[11]
Использование баз данных уязвимостей
Базы данных уязвимостей содержат огромное количество выявленных уязвимостей. Однако немногие организации обладают опытом, персоналом и временем для проверки и устранения всех потенциальных уязвимостей системы, поэтому оценка уязвимости - это метод количественного определения серьезности нарушения системы. В базах данных уязвимостей, таких как US-CERT и SANS Institute, существует множество методов оценки. Шкала анализа критической уязвимости но Общая система оценки уязвимостей (CVSS) является преобладающим методом для большинства баз данных уязвимостей, включая OSVDB, vFeed.[12] и NVD. CVSS основан на трех основных показателях: базовой, временной и средовой, каждая из которых дает рейтинг уязвимости.[13]
Основание
Этот показатель охватывает неизменные свойства уязвимости, такие как потенциальное воздействие раскрытия конфиденциальной информации, доступность информации и последствия безвозвратного удаления информации.
Временный
Временные метрики обозначают изменчивую природу уязвимости, например вероятность ее использования, текущее состояние нарушения системы и разработку любых обходных путей, которые могут быть применены.[14]
Относящийся к окружающей среде
Этот аспект CVSS оценивает потенциальные убытки отдельных лиц или организаций от уязвимости. Кроме того, в нем подробно описывается основная цель уязвимости, начиная от личных систем и заканчивая крупными организациями, и количество потенциально затронутых лиц.[15]
Сложность с использованием различных систем оценки заключается в том, что нет единого мнения о серьезности уязвимости, поэтому разные организации могут упускать из виду критические эксплуатации системы. Ключевым преимуществом стандартизированной системы оценки, такой как CVSS, является то, что опубликованные оценки уязвимости могут быстро оцениваться, отслеживаться и исправляться. Как организации, так и отдельные лица могут определить личное влияние уязвимости на свою систему. Выгоды, получаемые от баз данных уязвимостей для потребителей и организаций, являются экспоненциальными по мере того, как информационные системы становятся все более встроенными, наша зависимость и зависимость от них растет, равно как и возможность использования данных.[16]
Распространенные уязвимости системы безопасности, перечисленные в базах данных уязвимостей
Ошибка первоначального развертывания
Хотя функциональность базы данных может показаться безупречной, без тщательного тестирования незначительные недостатки могут позволить хакерам проникнуть в кибербезопасность системы. Часто базы данных публикуются без строгих мер безопасности, поэтому конфиденциальный материал легко доступен.[17]
SQL-инъекция
Атаки на базы данных являются наиболее повторяющейся формой нарушений кибербезопасности, регистрируемой в базах данных уязвимостей. Инъекции SQL и NoSQL проникают в традиционные информационные системы и платформы больших данных, соответственно, и интерполируют вредоносные заявления, позволяя хакерам нерегулируемый доступ к системе.[18]
Неверно настроенные базы данных
Установленные базы данных обычно не могут реализовать важные исправления, предлагаемые базами данных уязвимостей из-за чрезмерной рабочей нагрузки и необходимости исчерпывающих испытаний, чтобы убедиться, что исправления обновляют уязвимость неисправной системы. Операторы баз данных концентрируют свои усилия на устранении основных недостатков системы, что дает хакерам неограниченный доступ к системе с помощью запущенных исправлений.[19]
Неадекватный аудит
Все базы данных требуют, чтобы контрольные треки регистрировали изменения или доступ к данным. Когда системы создаются без необходимой системы аудита, использование уязвимостей системы сложно выявить и устранить. Базы данных уязвимостей демонстрируют важность отслеживания аудита как средства сдерживания кибератак.[20]
Защита данных имеет важное значение для любого бизнеса, поскольку личная и финансовая информация является ключевым активом, а похищение конфиденциальных материалов может дискредитировать репутацию компании. Внедрение стратегий защиты данных абсолютно необходимо для защиты конфиденциальной информации. Некоторые придерживаются мнения, что именно изначальная апатия разработчиков программного обеспечения, в свою очередь, обуславливает необходимость существования баз данных уязвимостей. Если бы системы разрабатывались с большим усердием, они могли быть недоступны для инъекций SQL и NoSQL, что сделало бы базы данных уязвимостей избыточными.[21]
Примечания
- ^ OSVDB была закрыта в апреле 2016 года; их место занял платный сервис VulnDB
Рекомендации
- ^ Зальцер, Дж. Х. «Исправлены ошибки безопасности в Multics». www.semanticscholar.org. Получено 2020-09-29.
- ^ «ИСПРАВЛЕНЫ ОШИБКИ БЕЗОПАСНОСТИ В МУЛЬТИКЕ» (PDF).
- ^ "Общие уязвимости и воздействия (CVE)". Cve.mitre.org. Получено 1 ноября 2015.
- ^ Юнь-Хуа, G; Пей, Л. (2010). «Разработка и исследование баз данных уязвимостей»: 209–212. Цитировать журнал требует
| журнал =
(помощь) - ^ Карлссон, М (2012). «История редактирования национальной базы данных уязвимостей и аналогичных баз данных об уязвимостях». Цитировать журнал требует
| журнал =
(помощь) - ^ "Разъяснение национальной базы данных уязвимостей". resources.whitesourcesoftware.com. Получено 2020-12-01.
- ^ «Первичные ресурсы ПНВ». Национальная база данных уязвимостей. Получено 1 ноября 2015.
- ^ "DeepSight Technical Intelligence | Symantec". www.symantec.com. Получено 2018-12-05.
- ^ "Менеджер уязвимостей Secunia".
- ^ "Accenture Vulnerability Intelligence" (PDF).
- ^ Эриксон, Дж (2008). Взлом - Искусство эксплуатации (1-е изд.). Сан-Франциско: Пресса без крахмала. ISBN 1593271441.
- ^ vFeed. "Коррелированная уязвимость vFeed и анализ угроз".
- ^ Первый. «Общая система оценки уязвимостей (CVSS-SIG)». Получено 1 ноября 2015.
- ^ Mell, P; Романоски, С (2006). «Общая система оценки уязвимостей». Журнал IEEE Security and Privacy Magazine. 4 (6): 85–89.
- ^ Хайден, Л. (2010). Метрики ИТ-безопасности (1-е изд.). Нью-Йорк: Макгроу Хилл.
- ^ Чандрамули, Р. Гранс, Т; Kuhn, R; Ландау, S (2006). «Общая система оценки уязвимостей»: 85–88. Цитировать журнал требует
| журнал =
(помощь) - ^ «Самые значительные риски 2015 года и способы их снижения» (PDF). Imperva. Получено 2 ноября 2015.
- ^ Натараджан, К; Субрамани, S (2012). «Создание безопасного алгоритма без Sql-инъекций для обнаружения и предотвращения атак с использованием Sql-инъекций». Технологии процедур. 4: 790–796.
- ^ «База данных уязвимостей - 1000 основных недостатков». Сетевая безопасность. 8 (6). 2001.
- ^ Афьюни, Х (2006). Безопасность и аудит базы данных (1-е изд.). Бостон: Технология курса Thomson.
- ^ Сирохи, Д. (2015). Трансформационные аспекты киберпреступности. Индия: Vij Books. С. 54–65.