Везде
Analysis of the threat base in the field of information security on the example of the Threat Bank of the FSTEC of Russia
Table of contents
Annotation Estimate Publication content
References Comments
Share
QR
Metrics
Analysis of the threat base in the field of information security on the example of the Threat Bank of the FSTEC of Russia
Annotation
PII
S265838870022995-7-1
DOI
10.33276/S265838870022995-7
Publication type
Article
Status
Published
Authors
Anatoly Akinshin 
Occupation: Head of local networks laboratory
Affiliation: CEMI RAS
Address: Nakhimovski 47
Nina Lyapicheva
Affiliation: CEMI RAS
Address: Moscow, Nakhimovsky prospect, 47
Ilmensky Mikhail
Occupation: Head of Scientific Direction
Affiliation: CEMI RAS
Address: Moscow, Nakhimovsky pr., 47
Edition
Volume 5 Issue 4
Abstract

This article contains a brief overview of the possibilities of using freely available on the Runet information resources dedicated to the registration, classification and analysis of cybersecurity threats. It is intended for a wide range of computer information technology users.

Keywords
information security, software vulnerabilities, databases, information security threats, information systems
Received
28.12.2022
Date of publication
30.12.2022
Number of purchasers
6
Views
465
Readers community rating
0.0 (0 votes)
Cite Download pdf
Additional services access
Additional services for the article
Services benefits
100 RUB / 1.0 SU
1

Введение
2 Предлагаемая статья посвящена использованию одного из современных информационных ресурсов Рунета для борьбы с нарушениями кибербезопасности. Этот ресурс – Банк данных угроз безопасности информации, созданный на государственном уровне Федеральной службой по техническому и экспортному контролю (ФСТЭК России) – предназначен для широкого круга пользователей: системных администраторов и специалистов по информационной безопасности – и служит для их обеспечения актуальной информацией по обнаруженным угрозам безопасности и возможным мероприятиям по их устранению.
3 Само по себе это явление (создание и поддержка БД угроз) не ново – все вендоры средств кибербезопасности организуют и поддерживают аналогичные базы, зачастую уже ведущиеся десятилетиями, например, производители отечественного ПО «Лаборатория Касперского», компания «Доктор Веб» и др. Однако основной целью создания этих БД является обеспечение сигнатурами кибератак, вирусов и угроз только для разрабатываемых и продающихся средств кибербезопасности этих вендоров. В соответствие с этим и формируется структура соответствующей базы. В связи с поставленной целью содержание базы, иногда доступное конечным пользователям приобретенных средств [1], включает данные для определения не отдельных уязвимостей операционных систем и прикладного ПО, а для комплексного процесса закрытия уязвимости согласно конкретной сигнатуре и/или восстановления всей системы.
4 Аналогичным образом, в процессе функционирования средств кибербезопасности, проводятся исправления ПО конкретных устройств с целью закрытия известных уязвимостей, однако сфера действия этих средств определяется конкретным числом приобретенных лицензий (хотя многие вендоры и предлагают одноразовое ПО для независимой и бесплатной обработки ПК).
5 Также независимо друг от друга вендоры ведут статистику угроз и классификацию обнаруженных инцидентов, что не позволяет видеть общую картину того, что происходит в интернете. Существуют ресурсы, как в России, так и за границей, анализирующие общее состояние дел в интернете, однако зачастую они недоступны для широкой интернет-аудитории.
6 В настоящее время даже ранее открытые базы отечественных вендоров недоступны для использования, как по причинам обострившейся конкуренции, так и в связи с текущей политической обстановкой в киберпространстве. Все это привело к необходимости создания доступного ресурса для обеспечения надежного функционирования Рунета, что и произошло под эгидой ФСТЭК России.
7 ФСТЭК России является федеральным органом исполнительной власти, в сферу ответственности которого входят вопросы реализации государственной политики обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры, а также несанкционированного доступа к такой информации. Поэтому создание Банка данных угроз безопасности информации, организованного на фоне повышения угроз для пользователей Рунета, реализовано на официальном уровне, и заполнение его данными производится согласно Регламенту, утвержденному на правительственном уровне. Регламент предназначен для разработчиков и производителей программного обеспечения, организаций и специалистов, которые выявляют уязвимости программного обеспечения и программно-аппаратных средств. Регламент определяет методику проверки достоверности данных об угрозе, формат и сроки включения записи о ее обнаружении в Банк данных угроз безопасности информации [2].
8 Рассматриваемый ресурс позволяет использовать набор фильтров для поиска по различным параметрам. Для системных администраторов и специалистов по безопасности прежде всего значимым является раздел «Уязвимости», предоставляющий фильтры для поиска по программному обеспечению – названию, типу, аппаратной платформе; датам; характеристикам уязвимости.
9 Для использования Банка данных угроз при разработке мер по обеспечению безопасности наиболее интересна возможность получить прежде всего классификацию по производителям ПО, что позволяет оценить необходимость и возможность реорганизации работы информационных систем в связи с уязвимостями, обнаруженными и зафиксированными в БД. Не менее важно, иметь возможность оценить заранее надежность предполагаемого программного решения при разработке планируемой информационной системы, рассмотрев статистические данные в разрезах производителей ПО, обнаружения уязвимостей и т. д. [3].
10 В статье рассматривается возможность использования Банка данных угроз безопасности информации (БД угроз), созданного ФСТЭК России, на примере научной организации – ЦЭМИ РАН, не обладающей большими возможностями в сфере обеспечения кибербезопасности организации [4].
11

Постановка задачи

12 Важную роль в решении задач обеспечения информационной безопасности играет созданный ФСТЭК России Банк данных угроз безопасности информации ( >>>> ), на который ссылалось Министерство науки и высшего образования РФ в одном из своих писем. К сожалению, список угроз давно не обновлялся (последнее обновление в 2020 г.), но регулярно обновляется список уязвимостей ( >>>> ).
13 При формировании БД угроз ФСТЭК России использует общую систему оценки уязвимостей (Common Vulnerability Scoring System – CVSS), позволяющую осуществлять сравнение уязвимостей программного обеспечения с точки зрения их опасности. Используемая система оценки CVSS v2.0 состоит из трех групп метрик (критериев): базовых, временных и контекстных – на основе которых строится базовый вектор уязвимости CVSS v2.0, представляющий собой комбинированную информацию о базовых метриках (критериях), представляемую в виде текстовой формализованной записи (строки) и численного значения (оценки). Численное значение базового вектора уязвимости (базовая оценка) изменяется от 0 до 10. На основе численного значения базового вектора V уязвимости (базовой оценки) присваиваются один из четырех уровней опасности:
  • низкий уровень опасности, если 0,0V3,9 ;
  • средний уровень опасности, если 4,0V6,9 ;
  • высокий уровень опасности», если 7,0V9,9 ;
  • критический уровень опасности», если V=10,0 .
14 В настоящий момент (сентябрь 2022 г.) БД угроз ФСТЭК России содержит информацию о 42 682 уязвимостях. Для части угроз в банке данных не указана дата обнаружения, но их идентификаторы вида BDU:2015-ххххх позволяют предположить, что они были внесены в базу в 2015 г.
15 Необходимо отметить также существование аналогичных баз угроз и уязвимостей, размещенных на зарубежных ресурсах и содержащих большее количество записей.
16

Например:

vuldb.com ( >>>> ) – более 215 тыс. записей;

CVE ( >>>> ) – более 190 тыс. записей;

National Vulnerability Database ( >>>> ) – более 201 тыс. записей;

Microsoft Security Response Center ( >>>> ).
17 Большее количество записей (по сравнению с БД угроз ФСТЭК России) объясняется более ранним появлением этих баз и включением в них максимального количества информации об угрозах, в том числе, и обнаруженных задолго до создания этих баз. Учитывая это, нужно отметить, что некорректно сравнивать базы только по количеству записей. Гораздо важнее актуальность – включение всех вновь обнаруживаемых угроз, и полнота предоставляемой информации, в том числе и рекомендации по устранению уязвимостей.
18 Наличие функциональной и многокритериальной системы фильтрации БД угроз ФСТЭК России (рис. 1) позволяет проводить поиск уязвимостей [5], релевантных различным компонентам программного обеспечения [6, 7], входящих в информационные системы Института.
19

Рис.1. Параметры многокритериальной системы фильтрации Банка данных угроз
20 Надо отметить, что в аналогичных зарубежных базах угроз, упомянутых выше, система фильтрации гораздо более ограничена и не позволяет так точно настроить критерии отбора при поиске угроз.
21 Наряду с интерактивным поиском уязвимостей через предложенный интерфейс (рис. 1), БД угроз ФСТЭК России позволяет выгрузить информацию обо всех уязвимостях, хранящихся в базе, в виде xlsx или xml файла. Выгруженные файлы представляют собой набор данных, позволяющих провести различные виды анализа.
22

Цель исследования
23 Целью исследования, результаты которого приведены в статье, являлась разработка инструментов анализа базы; анализ данных из БД угроз ФСТЭК России, позволяющий понять текущее состояние в различных разрезах, и выработка рекомендаций по применению БД угроз подразделением Института, занимающимся обеспечением информационной безопасности.
24 Авторами применялась следующая методика сбора и обработки данных:
  • Выгрузка текущего состояния базы данных ( >>>> ). Если данный URL не будет меняться со временем, этот этап может быть автоматизирован – выполняться по расписанию (Cron и т. п.).
  • Результат выгрузки – один xlsx файл с одним рабочим листом. Вся база расположена на нем в виде таблицы с 22 столбцами. Каждая строка, начиная со второй – запись в базе – информация об одной уязвимости. Строго говоря, с точки зрения теории баз данных, для того, чтобы работать с этой таблицей как с базой данных, нужно провести ее нормализацию, разбить на несколько связанных таблиц. С другой стороны, эту таблицу уже можно анализировать средствами MS Excel, например, с помощью сводных таблиц (Pivot Table), выполнив небольшую предварительную обработку данных. В частности, преобразовав данные поля «Дата выявления» в формат календарной даты, корректно воспринимаемым MS Excel. После этого становятся возможными различные уровни группирования по датам (месяцы, кварталы, годы).
  • Задание (определение) тех срезов, в которых планируется проводить анализ.
  • Построение сводных таблиц, определённых на предыдущем шаге. Задание фильтров, группирование данных по полям, настройка представления таблиц. Построение сводных диаграмм, иллюстрирующих полученные результаты.
  • Анализ результатов, разработка и/или обновление рекомендаций по применению полученного знания в деятельности по обеспечению информационной безопасности.
25 Ниже приведено несколько результатов обработки и анализа данных банка угроз и уязвимостей.
26

Распределение по годам/месяцам
27 Как видно из рис. 2, количество угроз, обнаруженных до 2014 года относительно невелико, по сравнению с последующими годами. Возможно, это объясняется тем, что именно в это время и создавался банк данных угроз – информационное сообщение ФСТЭК России о создании БД угроз было опубликовано 6 марта 2015 г. (№ 240/22/879).
28 В последующие годы, начиная с 2015, количество обнаруженных угроз постоянно увеличивалось. Данные за 2022 год пока не полные, но данные за 2015-2021 годы показывают постоянно растущее количество обнаруженных уязвимостей всех видов, включая критические и высокого уровня опасности.
29

Рис. 2. Распределение выявленных угроз по датам выявления (годы и месяцы)
30

Распределение по уровням опасности
31 Для анализа этого распределения рассмотрим годы с 2012 по 2022. Уровни опасности принимаются в соответствии с базовой оценкой CVSS, как указано выше. Результат этого анализа приведен на рис. 3. Как можно увидеть из таблицы и диаграммы, около половины обнаруженных уязвимостей относятся к критическим и с высоким уровнем опасности.
32

Рис. 3. Распределение угроз по уровням опасности
33

Распределение по производителям программного обеспечения (ПО)
34 В каждой записи банка данных угроз содержится в том числе и информация о производителе программного обеспечения, в котором обнаружена уязвимость. Анализ этих данных позволяет выделить производителей ПО, в продуктах которых обнаружено наибольшее число уязвимостей. На рис. 4 приведены результаты анализа за период с 2012 по 2022 гг. для первых двадцати компаний-производителей ПО, в продуктах которых обнаружено наибольшее суммарное количество уязвимостей.
35

Рис. 4. Распределение угроз по производителям ПО
36 Как видно из полученных результатов, из первых 20 производителей ПО с наибольшим количеством обнаруженных уязвимостей, 19 – не являются российскими компаниями. Что, очевидно, объясняется более широким распространением иностранного ПО и может служить одним из аргументов для перехода к отечественному ПО (импортозамещению). Анализ результатов этой и следующей таблиц позволяет выявить производителей ПО, на продукты которых необходимо обратить повышенное внимание, в частности, с точки зрения применения обновлений.
37 Так же можно проанализировать распределение по уровню опасности обнаруженных уязвимостей. Результат для первых восьми компаний приведен на рис. 5.
38

Рис. 5. Распределение угроз по производителям ПО и уровням опасности
39 Как видно из таблицы, соотношения количества обнаруженных уязвимостей каждого уровня отличаются для различный производителей ПО. От относительно небольшой доли критических уязвимостей у Apple Inc., до очень высокой их доли у Adobe Systems Inc.
40 Также представляет интерес уровень безопасности (или количество обнаруженных уязвимостей) в программных средствах, обеспечивающих защиту информации.
41 На рис.6 представлены результаты для первых пяти компаний/организаций в категории «Программное средство защиты». Как видно из этой таблицы, и в этих продуктах обнаруживаются уязвимости критического и высокого уровней.
42

Рис. 6. Распределение угроз по производителям ПО и уровням опасности в категории программных средств защиты
43 Таким образом анализ информации, получаемой из БД угроз ФСТЭК России, позволяет оценить текущую ситуацию в области информационной безопасности и предпринимать адекватные шаги для минимизации возможного ущерба.
44 Кроме БД угроз ФСТЭК России, который предназначен для специалистов по безопасности достаточно высокого уровня, существуют аналогичные информационные ресурсы, более доступные для обычных пользователей, впервые столкнувшихся с проблемами кибербезопасности в настоящее время. Как пример, можно взять Национальный координационный центр по компьютерным инцидентам (НКЦКИ), рекомендованный Минобрнауки России подведомственным организациям [8]. Актуальная информация о компьютерных инцидентах представлена на информационном портале по вопросам безопасности в сети интернет, предназначенном для пользователей и специалистов [9].
45 Важным разделом информационных ресурсов является раздел «Нормативные документы», содержащий «Актуальные нормативно-правовые и методические материалы по вопросам информационной безопасности, опубликованные уполномоченными органами государственной власти» и обеспечивающий специалистов материалами для юридического обоснования проводимых мероприятий по кибербезопасности [10].
46

Среди ресурсов, выложенных на портале, особый интерес для текущей работы по поддержке работоспособности информационных систем представляют разделы «Бюллетени НКЦКИ: новые уязвимости ПО» и «База уязвимостей». Особенностью информации, представленной в данных разделах, является наглядное отображение описания зарегистрированных уязвимостей (см. примеры – рис. 7 и 8). Расширенные описания уязвимостей, их классификация, рекомендации по устранению и ссылки на дополнительные источники доступны по ссылкам на записи в БД.
47

Рис.7. Бюллетень НКЦКИ об обнаружении новой уязвимости
48

Рис.8. Запись в базе уязвимостей НКЦКИ
49 Ознакомление с бюллетенями НКЦКИ об обнаружении новых уязвимостей позволяет сразу определить направление работ по повышению уровня безопасности, установленного ПО, если это необходимо. Подробные описания уязвимостей для использования доступны по ссылке на соответствующие ресурсы портала.
50

Использование БД угроз ФСТЭК России для повышения уровня безопасности
51 Важным результатом анализа из БД угроз ФСТЭК России является анализ рекомендаций, приведенных в поле «Возможные меры по устранению». И основными (наиболее часто рекомендуемыми) мерами являются установка соответствующих обновлений и переход на последние версии ПО, в которых устранены обнаруженные уязвимости. Однако, для уязвимостей, обнаруженных в последнее время, часто можно встретить рекомендацию «Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков».
52 Примером применения данной рекомендации для устранения уязвимостей может служить создание в организации дополнительной инфраструктуры – изолированной подсети ПК с экземплярами используемого в организации ПО. Рекомендуемые обновления первоначально устанавливаются на ПК изолированной подсети, с последующим определением безопасности и допустимости их последующей установки в масштабе организации. В настоящее время в ЦЭМИ РАН проводится разработка и реализация такой схемы контроля безопасности обновлений. Для создания изолированной подсети в ЦЭМИ РАН была проведена инвентаризация всех ПК с определением основных параметров аппаратно-программной платформы и программного обеспечения – ОС и прикладных пакетов. По результатам инвентаризации и с учетом результатов обработки и анализа банка данных угроз и уязвимостей был определен аппаратно-программный состав ПК создаваемой подсети и проводятся работы по ее опытной эксплуатации.
53

Выводы
54 Использование баз угроз и уязвимостей является очень важным инструментом в комплексе мер по обеспечению информационной безопасности. Анализ баз угроз и уязвимостей, их периодический мониторинг должен стать одним из обязательных элементов деятельности сотрудника, отвечающего за информационную безопасность. Результаты мониторинга базы и ее анализа должны учитываться при определении приоритетов в работе сотрудника подразделения ИБ.
55 Своевременное и адекватное реагирование на обнаруженные угрозы и уязвимости – обязательный элемент системы обеспечения информационной безопасности. Использование данных из баз угроз и уязвимостей позволяет делать это эффективней.

References

1. Lyapicheva N.G. Informatsionnye servisy i obespechenie ikh zaschity ot nesanktsionirovannogo dostupa iz Internet. / Ispol'zovanie i razvitie sovremennykh informatsionnykh tekhnologij v nauchnykh issledovaniyakh. Sbornik statej pod red. M.D. Il'menskogo —M: TsEhMI RAN, 2003, s. 32 —63.

2. FSTEhK Rossii. Federal'naya sluzhba po tekhnicheskomu i ehksportnomu kontrolyu. Normativnye pravovye akty, organizatsionno-rasporyaditel'nye dokumenty, normativnye i metodicheskie dokumenty i podgotovlennye proekty dokumentov po tekhnicheskoj zaschite informatsii URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty#

3. Metodicheskij dokument "Metodika otsenki ugroz bezopasnosti informatsii" (utv. Federal'noj sluzhboj po tekhnicheskomu i ehksportnomu kontrolyu 5 fevralya 2021 g.) URL: https://www.garant.ru/products/ipo/prime/doc/400325044/

4. Akinshin A.A., Il'menskij M.D., Lyapicheva N.G. Problemy povysheniya informatsionnoj bezopasnosti na primere TsEhMI RAN // Vestnik TsEhMI RAN. –2022. –T. 5. –Vypusk 3. URL: https://cemi.jes.su/s265838870021954-2-1/ DOI: 10.33276/S265838870021954-2

5. Programmnye uyazvimosti. URL: https://encyclopedia.kaspersky.ru/knowledge/software-vulnerabilities/

6. Klassifikatsiya detektiruemykh ob'ektov. URL: https://encyclopedia.kaspersky.ru/knowledge/classification/

7. Tipy detektiruemykh ob'ektov. URL: https://encyclopedia.kaspersky.ru/knowledge/the-classification-tree/

8. Natsional'nyj koordinatsionnyj tsentr po komp'yuternym intsidentam. URL: https://cert.gov.ru/incident.html

9. Portal «Bezopasnost' pol'zovatelej v seti Internet». URL: https://safe-surf.ru

10. Postanovlenie pravitel'stva Rossijskoj Federatsii ot 08 fevralya 2018 g. №127 «Ob utverzhdenii Pravil kategorirovaniya ob'ektov kriticheskoj informatsionnoj infrastruktury Rossijskoj Federatsii, a takzhe perechnya pokazatelej kriteriev znachimosti ob'ektov kriticheskoj informatsionnoj infrastruktury Rossijskoj Federatsii i ikh znachenij» URL: http://www.consultant.ru/document/cons_doc_LAW_290595/1b445ea2ca2e30b9350044e3133a1aced3b23a6c/?ysclid=l7rnhrisng393803484

Comments

No posts found

Write a review
Translate