Везде
Анализ базы угроз в сфере информационной безопасности на примере Банка угроз ФСТЭК России
Оглавление
Аннотация Оценить Содержание публикации
Библиография Комментарии
Поделиться
QR
Метрика
Анализ базы угроз в сфере информационной безопасности на примере Банка угроз ФСТЭК России
Аннотация
Код статьи
S265838870022995-7-1
DOI
10.33276/S265838870022995-7
Тип публикации
Статья
Статус публикации
Опубликовано
Авторы
Акиншин Анатолий Анатольевич 
Должность: Заведующий лабораторией локальных сетей
Аффилиация: Центральный экономико-математический институт РАН
Адрес: Нахимовский 47
Ляпичева Нина Григорьевна
Должность: Старший научный сотрудник, и. о. Заведующего лабораторией программного обеспечения сетевых информационных технологий
Аффилиация: Центральный экономико-математический институт РАН
Адрес: Москва, Нахимовский проспект, 47
Ильменский Михаил Дмитриевич
Должность: Руководитель научного направления
Аффилиация: Центральный экономико-математический институт РАН
Адрес: Москва, Нахимовский пр., 47
Выпуск
Том 5 Выпуск 4
Аннотация

Настоящая статья содержит краткий обзор возможностей использования информационных ресурсов, посвященных регистрации, классификации и анализу инцидентов нарушения кибербезпасности, находящихся в свободном доступе в Рунете. Предназначена для широкого круга пользователей компьютерных информационных технологий.

Ключевые слова
информационная безопасность, уязвимости программного обеспечения, базы данных, угрозы безопасности информации, информационные системы
Классификатор
Получено
28.12.2022
Дата публикации
30.12.2022
Всего подписок
6
Всего просмотров
463
Оценка читателей
0.0 (0 голосов)
Цитировать Скачать pdf
Доступ к дополнительным сервисам
Дополнительные сервисы только на эту статью
Преимущества сервисов
100 руб. / 1.0 SU
1

Введение
2 Предлагаемая статья посвящена использованию одного из современных информационных ресурсов Рунета для борьбы с нарушениями кибербезопасности. Этот ресурс – Банк данных угроз безопасности информации, созданный на государственном уровне Федеральной службой по техническому и экспортному контролю (ФСТЭК России) – предназначен для широкого круга пользователей: системных администраторов и специалистов по информационной безопасности – и служит для их обеспечения актуальной информацией по обнаруженным угрозам безопасности и возможным мероприятиям по их устранению.
3 Само по себе это явление (создание и поддержка БД угроз) не ново – все вендоры средств кибербезопасности организуют и поддерживают аналогичные базы, зачастую уже ведущиеся десятилетиями, например, производители отечественного ПО «Лаборатория Касперского», компания «Доктор Веб» и др. Однако основной целью создания этих БД является обеспечение сигнатурами кибератак, вирусов и угроз только для разрабатываемых и продающихся средств кибербезопасности этих вендоров. В соответствие с этим и формируется структура соответствующей базы. В связи с поставленной целью содержание базы, иногда доступное конечным пользователям приобретенных средств [1], включает данные для определения не отдельных уязвимостей операционных систем и прикладного ПО, а для комплексного процесса закрытия уязвимости согласно конкретной сигнатуре и/или восстановления всей системы.
4 Аналогичным образом, в процессе функционирования средств кибербезопасности, проводятся исправления ПО конкретных устройств с целью закрытия известных уязвимостей, однако сфера действия этих средств определяется конкретным числом приобретенных лицензий (хотя многие вендоры и предлагают одноразовое ПО для независимой и бесплатной обработки ПК).
5 Также независимо друг от друга вендоры ведут статистику угроз и классификацию обнаруженных инцидентов, что не позволяет видеть общую картину того, что происходит в интернете. Существуют ресурсы, как в России, так и за границей, анализирующие общее состояние дел в интернете, однако зачастую они недоступны для широкой интернет-аудитории.
6 В настоящее время даже ранее открытые базы отечественных вендоров недоступны для использования, как по причинам обострившейся конкуренции, так и в связи с текущей политической обстановкой в киберпространстве. Все это привело к необходимости создания доступного ресурса для обеспечения надежного функционирования Рунета, что и произошло под эгидой ФСТЭК России.
7 ФСТЭК России является федеральным органом исполнительной власти, в сферу ответственности которого входят вопросы реализации государственной политики обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры, а также несанкционированного доступа к такой информации. Поэтому создание Банка данных угроз безопасности информации, организованного на фоне повышения угроз для пользователей Рунета, реализовано на официальном уровне, и заполнение его данными производится согласно Регламенту, утвержденному на правительственном уровне. Регламент предназначен для разработчиков и производителей программного обеспечения, организаций и специалистов, которые выявляют уязвимости программного обеспечения и программно-аппаратных средств. Регламент определяет методику проверки достоверности данных об угрозе, формат и сроки включения записи о ее обнаружении в Банк данных угроз безопасности информации [2].
8 Рассматриваемый ресурс позволяет использовать набор фильтров для поиска по различным параметрам. Для системных администраторов и специалистов по безопасности прежде всего значимым является раздел «Уязвимости», предоставляющий фильтры для поиска по программному обеспечению – названию, типу, аппаратной платформе; датам; характеристикам уязвимости.
9 Для использования Банка данных угроз при разработке мер по обеспечению безопасности наиболее интересна возможность получить прежде всего классификацию по производителям ПО, что позволяет оценить необходимость и возможность реорганизации работы информационных систем в связи с уязвимостями, обнаруженными и зафиксированными в БД. Не менее важно, иметь возможность оценить заранее надежность предполагаемого программного решения при разработке планируемой информационной системы, рассмотрев статистические данные в разрезах производителей ПО, обнаружения уязвимостей и т. д. [3].
10 В статье рассматривается возможность использования Банка данных угроз безопасности информации (БД угроз), созданного ФСТЭК России, на примере научной организации – ЦЭМИ РАН, не обладающей большими возможностями в сфере обеспечения кибербезопасности организации [4].
11

Постановка задачи

12 Важную роль в решении задач обеспечения информационной безопасности играет созданный ФСТЭК России Банк данных угроз безопасности информации ( >>>> ), на который ссылалось Министерство науки и высшего образования РФ в одном из своих писем. К сожалению, список угроз давно не обновлялся (последнее обновление в 2020 г.), но регулярно обновляется список уязвимостей ( >>>> ).
13 При формировании БД угроз ФСТЭК России использует общую систему оценки уязвимостей (Common Vulnerability Scoring System – CVSS), позволяющую осуществлять сравнение уязвимостей программного обеспечения с точки зрения их опасности. Используемая система оценки CVSS v2.0 состоит из трех групп метрик (критериев): базовых, временных и контекстных – на основе которых строится базовый вектор уязвимости CVSS v2.0, представляющий собой комбинированную информацию о базовых метриках (критериях), представляемую в виде текстовой формализованной записи (строки) и численного значения (оценки). Численное значение базового вектора уязвимости (базовая оценка) изменяется от 0 до 10. На основе численного значения базового вектора V уязвимости (базовой оценки) присваиваются один из четырех уровней опасности:
  • низкий уровень опасности, если 0,0V3,9 ;
  • средний уровень опасности, если 4,0V6,9 ;
  • высокий уровень опасности», если 7,0V9,9 ;
  • критический уровень опасности», если V=10,0 .
14 В настоящий момент (сентябрь 2022 г.) БД угроз ФСТЭК России содержит информацию о 42 682 уязвимостях. Для части угроз в банке данных не указана дата обнаружения, но их идентификаторы вида BDU:2015-ххххх позволяют предположить, что они были внесены в базу в 2015 г.
15 Необходимо отметить также существование аналогичных баз угроз и уязвимостей, размещенных на зарубежных ресурсах и содержащих большее количество записей.
16

Например:

vuldb.com ( >>>> ) – более 215 тыс. записей;

CVE ( >>>> ) – более 190 тыс. записей;

National Vulnerability Database ( >>>> ) – более 201 тыс. записей;

Microsoft Security Response Center ( >>>> ).
17 Большее количество записей (по сравнению с БД угроз ФСТЭК России) объясняется более ранним появлением этих баз и включением в них максимального количества информации об угрозах, в том числе, и обнаруженных задолго до создания этих баз. Учитывая это, нужно отметить, что некорректно сравнивать базы только по количеству записей. Гораздо важнее актуальность – включение всех вновь обнаруживаемых угроз, и полнота предоставляемой информации, в том числе и рекомендации по устранению уязвимостей.
18 Наличие функциональной и многокритериальной системы фильтрации БД угроз ФСТЭК России (рис. 1) позволяет проводить поиск уязвимостей [5], релевантных различным компонентам программного обеспечения [6, 7], входящих в информационные системы Института.
19

Рис.1. Параметры многокритериальной системы фильтрации Банка данных угроз
20 Надо отметить, что в аналогичных зарубежных базах угроз, упомянутых выше, система фильтрации гораздо более ограничена и не позволяет так точно настроить критерии отбора при поиске угроз.
21 Наряду с интерактивным поиском уязвимостей через предложенный интерфейс (рис. 1), БД угроз ФСТЭК России позволяет выгрузить информацию обо всех уязвимостях, хранящихся в базе, в виде xlsx или xml файла. Выгруженные файлы представляют собой набор данных, позволяющих провести различные виды анализа.
22

Цель исследования
23 Целью исследования, результаты которого приведены в статье, являлась разработка инструментов анализа базы; анализ данных из БД угроз ФСТЭК России, позволяющий понять текущее состояние в различных разрезах, и выработка рекомендаций по применению БД угроз подразделением Института, занимающимся обеспечением информационной безопасности.
24 Авторами применялась следующая методика сбора и обработки данных:
  • Выгрузка текущего состояния базы данных ( >>>> ). Если данный URL не будет меняться со временем, этот этап может быть автоматизирован – выполняться по расписанию (Cron и т. п.).
  • Результат выгрузки – один xlsx файл с одним рабочим листом. Вся база расположена на нем в виде таблицы с 22 столбцами. Каждая строка, начиная со второй – запись в базе – информация об одной уязвимости. Строго говоря, с точки зрения теории баз данных, для того, чтобы работать с этой таблицей как с базой данных, нужно провести ее нормализацию, разбить на несколько связанных таблиц. С другой стороны, эту таблицу уже можно анализировать средствами MS Excel, например, с помощью сводных таблиц (Pivot Table), выполнив небольшую предварительную обработку данных. В частности, преобразовав данные поля «Дата выявления» в формат календарной даты, корректно воспринимаемым MS Excel. После этого становятся возможными различные уровни группирования по датам (месяцы, кварталы, годы).
  • Задание (определение) тех срезов, в которых планируется проводить анализ.
  • Построение сводных таблиц, определённых на предыдущем шаге. Задание фильтров, группирование данных по полям, настройка представления таблиц. Построение сводных диаграмм, иллюстрирующих полученные результаты.
  • Анализ результатов, разработка и/или обновление рекомендаций по применению полученного знания в деятельности по обеспечению информационной безопасности.
25 Ниже приведено несколько результатов обработки и анализа данных банка угроз и уязвимостей.
26

Распределение по годам/месяцам
27 Как видно из рис. 2, количество угроз, обнаруженных до 2014 года относительно невелико, по сравнению с последующими годами. Возможно, это объясняется тем, что именно в это время и создавался банк данных угроз – информационное сообщение ФСТЭК России о создании БД угроз было опубликовано 6 марта 2015 г. (№ 240/22/879).
28 В последующие годы, начиная с 2015, количество обнаруженных угроз постоянно увеличивалось. Данные за 2022 год пока не полные, но данные за 2015-2021 годы показывают постоянно растущее количество обнаруженных уязвимостей всех видов, включая критические и высокого уровня опасности.
29

Рис. 2. Распределение выявленных угроз по датам выявления (годы и месяцы)
30

Распределение по уровням опасности
31 Для анализа этого распределения рассмотрим годы с 2012 по 2022. Уровни опасности принимаются в соответствии с базовой оценкой CVSS, как указано выше. Результат этого анализа приведен на рис. 3. Как можно увидеть из таблицы и диаграммы, около половины обнаруженных уязвимостей относятся к критическим и с высоким уровнем опасности.
32

Рис. 3. Распределение угроз по уровням опасности
33

Распределение по производителям программного обеспечения (ПО)
34 В каждой записи банка данных угроз содержится в том числе и информация о производителе программного обеспечения, в котором обнаружена уязвимость. Анализ этих данных позволяет выделить производителей ПО, в продуктах которых обнаружено наибольшее число уязвимостей. На рис. 4 приведены результаты анализа за период с 2012 по 2022 гг. для первых двадцати компаний-производителей ПО, в продуктах которых обнаружено наибольшее суммарное количество уязвимостей.
35

Рис. 4. Распределение угроз по производителям ПО
36 Как видно из полученных результатов, из первых 20 производителей ПО с наибольшим количеством обнаруженных уязвимостей, 19 – не являются российскими компаниями. Что, очевидно, объясняется более широким распространением иностранного ПО и может служить одним из аргументов для перехода к отечественному ПО (импортозамещению). Анализ результатов этой и следующей таблиц позволяет выявить производителей ПО, на продукты которых необходимо обратить повышенное внимание, в частности, с точки зрения применения обновлений.
37 Так же можно проанализировать распределение по уровню опасности обнаруженных уязвимостей. Результат для первых восьми компаний приведен на рис. 5.
38

Рис. 5. Распределение угроз по производителям ПО и уровням опасности
39 Как видно из таблицы, соотношения количества обнаруженных уязвимостей каждого уровня отличаются для различный производителей ПО. От относительно небольшой доли критических уязвимостей у Apple Inc., до очень высокой их доли у Adobe Systems Inc.
40 Также представляет интерес уровень безопасности (или количество обнаруженных уязвимостей) в программных средствах, обеспечивающих защиту информации.
41 На рис.6 представлены результаты для первых пяти компаний/организаций в категории «Программное средство защиты». Как видно из этой таблицы, и в этих продуктах обнаруживаются уязвимости критического и высокого уровней.
42

Рис. 6. Распределение угроз по производителям ПО и уровням опасности в категории программных средств защиты
43 Таким образом анализ информации, получаемой из БД угроз ФСТЭК России, позволяет оценить текущую ситуацию в области информационной безопасности и предпринимать адекватные шаги для минимизации возможного ущерба.
44 Кроме БД угроз ФСТЭК России, который предназначен для специалистов по безопасности достаточно высокого уровня, существуют аналогичные информационные ресурсы, более доступные для обычных пользователей, впервые столкнувшихся с проблемами кибербезопасности в настоящее время. Как пример, можно взять Национальный координационный центр по компьютерным инцидентам (НКЦКИ), рекомендованный Минобрнауки России подведомственным организациям [8]. Актуальная информация о компьютерных инцидентах представлена на информационном портале по вопросам безопасности в сети интернет, предназначенном для пользователей и специалистов [9].
45 Важным разделом информационных ресурсов является раздел «Нормативные документы», содержащий «Актуальные нормативно-правовые и методические материалы по вопросам информационной безопасности, опубликованные уполномоченными органами государственной власти» и обеспечивающий специалистов материалами для юридического обоснования проводимых мероприятий по кибербезопасности [10].
46

Среди ресурсов, выложенных на портале, особый интерес для текущей работы по поддержке работоспособности информационных систем представляют разделы «Бюллетени НКЦКИ: новые уязвимости ПО» и «База уязвимостей». Особенностью информации, представленной в данных разделах, является наглядное отображение описания зарегистрированных уязвимостей (см. примеры – рис. 7 и 8). Расширенные описания уязвимостей, их классификация, рекомендации по устранению и ссылки на дополнительные источники доступны по ссылкам на записи в БД.
47

Рис.7. Бюллетень НКЦКИ об обнаружении новой уязвимости
48

Рис.8. Запись в базе уязвимостей НКЦКИ
49 Ознакомление с бюллетенями НКЦКИ об обнаружении новых уязвимостей позволяет сразу определить направление работ по повышению уровня безопасности, установленного ПО, если это необходимо. Подробные описания уязвимостей для использования доступны по ссылке на соответствующие ресурсы портала.
50

Использование БД угроз ФСТЭК России для повышения уровня безопасности
51 Важным результатом анализа из БД угроз ФСТЭК России является анализ рекомендаций, приведенных в поле «Возможные меры по устранению». И основными (наиболее часто рекомендуемыми) мерами являются установка соответствующих обновлений и переход на последние версии ПО, в которых устранены обнаруженные уязвимости. Однако, для уязвимостей, обнаруженных в последнее время, часто можно встретить рекомендацию «Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков».
52 Примером применения данной рекомендации для устранения уязвимостей может служить создание в организации дополнительной инфраструктуры – изолированной подсети ПК с экземплярами используемого в организации ПО. Рекомендуемые обновления первоначально устанавливаются на ПК изолированной подсети, с последующим определением безопасности и допустимости их последующей установки в масштабе организации. В настоящее время в ЦЭМИ РАН проводится разработка и реализация такой схемы контроля безопасности обновлений. Для создания изолированной подсети в ЦЭМИ РАН была проведена инвентаризация всех ПК с определением основных параметров аппаратно-программной платформы и программного обеспечения – ОС и прикладных пакетов. По результатам инвентаризации и с учетом результатов обработки и анализа банка данных угроз и уязвимостей был определен аппаратно-программный состав ПК создаваемой подсети и проводятся работы по ее опытной эксплуатации.
53

Выводы
54 Использование баз угроз и уязвимостей является очень важным инструментом в комплексе мер по обеспечению информационной безопасности. Анализ баз угроз и уязвимостей, их периодический мониторинг должен стать одним из обязательных элементов деятельности сотрудника, отвечающего за информационную безопасность. Результаты мониторинга базы и ее анализа должны учитываться при определении приоритетов в работе сотрудника подразделения ИБ.
55 Своевременное и адекватное реагирование на обнаруженные угрозы и уязвимости – обязательный элемент системы обеспечения информационной безопасности. Использование данных из баз угроз и уязвимостей позволяет делать это эффективней.

Библиография

1. Ляпичева, Н. Г. Информационные сервисы и обеспечение их защиты от несанкционированного доступа из Интернет // Использование и развитие современных информационных технологий в научных исследованиях : сборник статей / под ред. М. Д. Ильменского. – Москва: ЦЭМИ РАН, 2003. – с. 32–63.

2. Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации // Федеральная служба по техническому и экспортному контролю. – 2022. – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty# (дата обращения: 20.11.2022).

3. Методический документ "Методика оценки угроз безопасности информации" (утв. Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г.) // ГАРАНТ.РУ. – URL: https://www.garant.ru/products/ipo/prime/doc/400325044/ (дата обращения: 20.11.2022).

4. Акиншин, А. А. Проблемы повышения информационной безопасности на примере ЦЭМИ РАН / А. А. Акиншин, М. Д. Ильменский, Н. Г. Ляпичева // Вестник ЦЭМИ РАН. –2022. – T. 5, Выпуск 3. – URL: https://cemi.jes.su/s265838870021954-2-1/ (дата обращения: 20.11.2022).

5. Программные уязвимости // АО «Лаборатория Касперского». – 2022. – URL: https://encyclopedia.kaspersky.ru/knowledge/software-vulnerabilities/ (дата обращения: 20.11.2022).

6. Классификация детектируемых объектов // АО «Лаборатория Касперского». – 2022. – URL: https://encyclopedia.kaspersky.ru/knowledge/classification/ (дата обращения: 20.11.2022).

7. Типы детектируемых объектов // АО «Лаборатория Касперского». – 2022. – URL: https://encyclopedia.kaspersky.ru/knowledge/the-classification-tree/ (дата обращения: 20.11.2022).

8. Национальный координационный центр по компьютерным инцидентам. – URL: https://cert.gov.ru/incident.html (дата обращения: 20.11.2022).

9. Портал «Безопасность пользователей в сети Интернет»// Safe-surf. – 2013-2022. – URL: https://safe-surf.ru (дата обращения: 20.11.2022).

10. Постановление правительства Российской Федерации от 08 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» // КонсультантПлюс. – 1997—2022. – URL: http://www.consultant.ru/document/cons_doc_LAW_290595/1b445ea2ca2e30b9350044e3133a1aced3b23a6c/?ysclid=l7rnhrisng393803484 (дата обращения: 20.11.2022).

Комментарии

Сообщения не найдены

Написать отзыв
Перевести