Часть серии по |
Информационная безопасность |
---|
Связанные категории безопасности |
Угрозы |
|
Защиты |
|
Эта статья является частью серии статей о |
Взлом компьютеров |
---|
История |
|
Хакерская культура и этика |
|
Конференции |
|
Компьютерное преступление |
|
Инструменты для взлома |
|
Сайты практики |
|
Вредоносное ПО |
|
Компьютерная безопасность |
|
Группы |
|
Публикации |
|
В компьютерной безопасности , уязвимость является слабостью , которая может быть использована с помощью угрозы актера , например, злоумышленник, чтобы пересечения границ привилегий (т.е. выполнять несанкционированные действия) в пределах компьютерной системы. Чтобы воспользоваться уязвимостью, злоумышленник должен иметь хотя бы один применимый инструмент или методику, которые могут подключиться к уязвимости системы. В этом кадре уязвимости также известны как поверхность атаки .
Управление уязвимостями - это циклическая практика, которая варьируется в теории, но содержит общие процессы, которые включают: обнаружение всех активов, определение приоритетов активов, оценку или выполнение полного сканирования уязвимостей, отчет о результатах, устранение уязвимостей, проверку исправления - повторить. Эта практика обычно относится к программным уязвимостям в вычислительных системах. [1] Гибкое управление уязвимостями означает предотвращение атак путем выявления всех уязвимостей как можно быстрее. [2]
Риск безопасности часто ошибочно классифицируется как уязвимость. Использование уязвимости с тем же значением риска может привести к путанице. Риск - это возможность значительного воздействия в результате использования уязвимости. Тогда есть уязвимости без риска: например, когда затронутый актив не имеет ценности. Уязвимость с одним или несколькими известными экземплярами действующих и полностью реализованных атак классифицируется как уязвимость, которую можно использовать - уязвимость, для которой существует эксплойт . Окно уязвимости - это время с момента появления или проявления дыры в безопасности в развернутом программном обеспечении до момента, когда доступ был удален, исправление безопасности было доступно / развернуто или злоумышленник был отключен - см. Атака нулевого дня .
Ошибка безопасности ( дефект безопасности ) - более узкое понятие. Существуют уязвимости, не связанные с программным обеспечением: уязвимости оборудования , сайта, персонала являются примерами уязвимостей, которые не являются ошибками безопасности программного обеспечения.
Конструкции на языках программирования , которые сложно использовать должным образом, могут проявлять большое количество уязвимостей.
Определения [ править ]
ISO 27005 определяет уязвимость как: [3]
- Слабость актива или группы активов, которая может быть использована одной или несколькими угрозами, где актив - это все, что имеет ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссию организации [4]
Уязвимость IETF RFC 4949 как: [5]
- Недостаток или слабость в дизайне, реализации или эксплуатации и управлении системы, которые могут быть использованы для нарушения политики безопасности системы.
Комитет по системам национальной безопасности в Соединенных Штатах Америки определенные уязвимости в CNSS Инструкции № 4009 датированный 26 апреля 2010 Национальная Обеспечение информации Глоссарий : [6]
- Уязвимость - слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована источником угрозы.
Многие публикации NIST определяют уязвимость в контексте ИТ в различных публикациях: FISMApedia [7], термин [8] предоставляет список. Между ними SP 800-30, [9] дают более широкий:
- Недостаток или слабость в процедурах обеспечения безопасности системы, дизайне, реализации или внутреннем контроле, которые могут быть применены (случайно запущены или намеренно использованы) и приведут к нарушению безопасности или политике безопасности системы.
ENISA определяет уязвимость в [10] как:
- Наличие недостатка, ошибки проектирования или реализации, которая может привести к неожиданному, нежелательному событию [G.11], ставящему под угрозу безопасность компьютерной системы, сети, приложения или протокола (ITSEC).
Open Group определяет уязвимость в [11] как
- Вероятность того, что потенциал угрозы превышает способность противостоять угрозе .
Факторный анализ информационных рисков (FAIR) определяет уязвимость как: [12]
- Вероятность того, что актив не сможет противостоять действиям агента угрозы.
Согласно FAIR уязвимость связана с силой контроля, т. Е. Силой контроля по сравнению со стандартной мерой силы и возможностями угрозы , то есть вероятным уровнем силы, которую агент угрозы способен применить к активу.
ISACA определяет уязвимость в структуре Risk It как:
- Слабость в дизайне, реализации, эксплуатации или внутреннем контроле
Безопасность данных и компьютерная безопасность: Словарь стандартных понятий и терминов, авторы Деннис Лонгли и Майкл Шейн, Stockton Press, ISBN 0-935859-17-9 , определяют уязвимость как:
- 1) В компьютерной безопасности - слабость в процедурах безопасности автоматизированных систем, административном контроле, контроле Интернета и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критически важной обработки. 2) В компьютерной безопасности - слабое место в физической структуре, организации, процедурах, персонале, управлении, администрировании, аппаратном или программном обеспечении, которое может быть использовано для нанесения вреда системе или деятельности ADP. 3) В компьютерной безопасности - любая слабость или недостаток, существующий в системе. Атака или вредоносное событие, или возможность, доступная для агента угрозы, осуществить эту атаку.
Мэтт Бишоп и Дэйв Бейли [13] дают следующее определение компьютерной уязвимости :
- Компьютерная система состоит из состояний, описывающих текущую конфигурацию объектов, составляющих компьютерную систему. Система выполняет вычисления, применяя переходы между состояниями, которые изменяют состояние системы. Все состояния, достижимые из данного начального состояния с использованием набора переходов состояний, попадают в класс авторизованных или неавторизованных, как определено политикой безопасности. В данной статье определения этих классов и переходов считаются аксиоматическими. Уязвимое состояние - это авторизованное состояние, из которого неавторизованное состояние может быть достигнуто с помощью авторизованных переходов состояний. Компромиссное состояние - это достигнутое таким образом состояние. Атака - это последовательность разрешенных переходов между состояниями, которые заканчиваются скомпрометированным состоянием. По определению, атака начинается в уязвимом состоянии.Уязвимость - это характеристика уязвимого состояния, которая отличает его от всех неуязвимых состояний. В общем, уязвимость может характеризовать многие уязвимые состояния; если конкретный, то он может характеризовать только один ...
Национальный учебно-образовательный центр по обеспечению информационной безопасности определяет уязвимость : [14] [15]
- Слабость в процедурах безопасности автоматизированных систем, административном контроле, внутреннем контроле и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критически важной обработки. 2. Слабость в процедурах безопасности системы, конструкции оборудования, внутреннего контроля и т. Д., Которая может быть использована для получения несанкционированного доступа к секретной или конфиденциальной информации. 3. Слабость в физической структуре, организации, процедурах, персонале, управлении, администрировании, аппаратном или программном обеспечении, которые могут быть использованы для нанесения вреда системе или деятельности ADP. Само по себе наличие уязвимости не причиняет вреда; Уязвимость - это просто условие или набор условий, которые могут позволить системе или деятельности ADP пострадать в результате атаки. 4.Утверждение, в первую очередь касающееся объектов внутренней среды (активов); мы говорим, что актив (или класс активов) уязвим (каким-то образом, возможно, с участием агента или группы агентов); мы пишем: V (i, e), где: e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.
Модели уязвимости и факторов риска [ править ]
Ресурс (физический или логический) может иметь одну или несколько уязвимостей, которыми может воспользоваться злоумышленник. Результат может потенциально поставить под угрозу конфиденциальность , целостность или доступность ресурсов (не обязательно уязвимых), принадлежащих организации и / или другим вовлеченным сторонам (клиентам, поставщикам). Так называемая триада ЦРУ - краеугольный камень информационной безопасности .
Атака может быть активной, когда она пытается изменить системные ресурсы или повлиять на их работу, нарушая целостность или доступность. « Пассивная атака » пытается изучить или использовать информацию из системы, но не затрагивает системные ресурсы, нарушая конфиденциальность. [5]
OWASP (см. Рисунок) описывает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и связанных с ней средств управления безопасностью, оказывая техническое воздействие на ИТ-ресурс (актив), подключенный к влияние на бизнес.
Общая картина представляет факторы риска сценария риска. [16]
Система управления информационной безопасностью [ править ]
Набор политик, связанных с системой менеджмента информационной безопасности (СМИБ), был разработан для управления, в соответствии с принципами управления рисками , контрмерами для обеспечения того, чтобы стратегия безопасности была установлена в соответствии с правилами и положениями, применимыми к данной организации. Эти контрмеры также называются мерами безопасности , но применительно к передаче информации они называются службами безопасности . [17]
Классификация [ править ]
Уязвимости классифицируются в зависимости от класса активов, к которому они относятся: [3]
- аппаратное обеспечение
- восприимчивость к влажности или пыли
- восприимчивость к незащищенному хранению
- возрастной износ, вызывающий поломку
- перегрев
- программное обеспечение
- недостаточное тестирование
- небезопасное кодирование
- отсутствие контрольного журнала
- недостаток дизайна
- сеть
- незащищенные линии связи (например, отсутствие криптографии )
- небезопасная сетевая архитектура
- персонал
- неадекватный процесс приема на работу
- недостаточная осведомленность о безопасности
- инсайдерская угроза
- физический сайт
- территория, подверженная стихийным бедствиям (например, наводнение, землетрясение)
- отключение источника питания
- организационная
- отсутствие регулярных аудитов
- отсутствие планов преемственности
- отсутствие безопасности
Причины [ править ]
- Сложность: большие сложные системы увеличивают вероятность сбоев и непреднамеренных точек доступа . [18]
- Знакомство: использование распространенного, хорошо известного кода, программного обеспечения, операционных систем и / или оборудования увеличивает вероятность того, что злоумышленник получит или сможет найти знания и инструменты для использования уязвимости. [19]
- Связь: большее количество физических подключений, привилегий, портов, протоколов и служб, а также время доступности каждого из них повышают уязвимость. [12]
- Недостатки управления паролями: пользователь компьютера использует слабые пароли, которые могут быть обнаружены с помощью грубой силы. [20] Пользователь компьютера хранит пароль на компьютере, где программа может получить к нему доступ. Пользователи повторно используют пароли между многими программами и веб-сайтами. [18]
- Фундаментальные недостатки конструкции операционной системы : разработчик операционной системы выбирает применение неоптимальных политик управления пользователями / программами. Например, операционные системы с такими политиками, как разрешение по умолчанию, предоставляют каждой программе и каждому пользователю полный доступ ко всему компьютеру. [18] Этот недостаток операционной системы позволяет вирусам и вредоносным программам выполнять команды от имени администратора. [21]
- Просмотр веб-сайтов в Интернете. Некоторые веб-сайты могут содержать вредоносное шпионское или рекламное ПО, которое может быть автоматически установлено в компьютерных системах. После посещения этих веб-сайтов компьютерные системы заражаются, и личная информация собирается и передается третьим лицам. [22]
- Ошибки программного обеспечения : программист оставляет уязвимую ошибку в программе. Ошибка программного обеспечения может позволить злоумышленнику злоупотребить приложением. [18]
- Непроверенный ввод пользователя : программа предполагает, что все вводимые пользователем данные безопасны. Программы, которые не проверяют ввод данных пользователем, могут допускать непреднамеренное прямое выполнение команд или операторов SQL (известных как переполнение буфера , внедрение SQL или другие непроверенные вводы). [18]
- Не учиться на прошлых ошибках: [23] [24] например, большинство уязвимостей, обнаруженных в программном обеспечении протокола IPv4 , были обнаружены в новых реализациях IPv6 . [25]
Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, проектировщик или другой человек: [26] поэтому людей следует рассматривать в различных ролях: актива, угроза, информационные ресурсы. Социальная инженерия - это растущая проблема безопасности.
Последствия [ править ]
Влияние нарушения безопасности может быть очень высоким. [27] В большинстве законодательных актов рассматривается неспособность ИТ-менеджеров устранить уязвимости ИТ-систем и приложений, если они известны им как неправомерное поведение; ИТ-менеджеры несут ответственность за управление ИТ-рисками . [28] Закон о конфиденциальности вынуждает менеджеров действовать, чтобы уменьшить влияние или вероятность такого риска для безопасности. Аудит безопасности информационных технологий - это способ позволить другим независимым людям удостовериться в том, что ИТ-среда управляется должным образом, и уменьшить ответственность, по крайней мере, продемонстрировав добросовестность. Тест на проникновение - это форма проверки слабости и контрмер, принятых организацией: белая шляпахакер пытается атаковать активы информационных технологий организации, чтобы узнать, насколько легко или сложно поставить под угрозу ИТ-безопасность. [29] Надлежащий способ профессионального управления ИТ-рисками - это принять Систему управления информационной безопасностью , такую как ISO / IEC 27002 или риск ИТ, и следовать им в соответствии со стратегией безопасности, сформулированной высшим руководством. [17]
Одной из ключевых концепций информационной безопасности является принцип глубокоэшелонированной защиты , то есть создание многоуровневой системы защиты, которая может: [27]
- предотвратить эксплойт
- обнаружить и перехватить атаку
- выяснить агентов угрозы и привлечь их к ответственности
Система обнаружения вторжений является примером класса систем, используемых для обнаружения атак .
Физическая безопасность - это набор мер для физической защиты информационного актива: если кто-то может получить физический доступ к информационному активу, широко распространено мнение, что злоумышленник может получить доступ к любой информации о нем или сделать ресурс недоступным для его законных пользователей.
Были разработаны некоторые наборы критериев, которым должен соответствовать компьютер, его операционная система и приложения, чтобы соответствовать хорошему уровню безопасности: ITSEC и Общие критерии - два примера.
Раскрытие уязвимости [ править ]
Скоординированное раскрытие уязвимостей (некоторые называют это « ответственным раскрытием », но другие считают это предвзятым термином) уязвимостей является предметом больших споров. Как сообщал The Tech Herald в августе 2010 года, « Google , Microsoft , TippingPoint и Rapid7 выпустили руководящие принципы и заявления, касающиеся того, как они будут поступать с раскрытием информации в будущем». [30] Другой метод - полное раскрытие информации., когда все подробности уязвимости публикуются, иногда с намерением оказать давление на автора программного обеспечения, чтобы он быстрее опубликовал исправление. В январе 2014 года, когда Google обнаружил уязвимость Microsoft до того, как Microsoft выпустила исправление для ее исправления, представитель Microsoft призвал компании-разработчики программного обеспечения к скоординированной практике раскрытия информации. [31]
Инвентарь уязвимостей [ править ]
Корпорация Mitre ведет неполный список публично раскрытых уязвимостей в системе под названием Common Vulnerabilities and Exposures . Эта информация немедленно передается в Национальный институт стандартов и технологий (NIST), где каждой уязвимости присваивается оценка риска с использованием общей системы оценки уязвимостей (CVSS), схемы Common Platform Enumeration (CPE) и Common Weakness Enumeration .
OWASP поддерживает список классов уязвимостей с целью обучения разработчиков систем и программистов, что снижает вероятность непреднамеренного включения уязвимостей в программное обеспечение. [32]
Дата раскрытия уязвимости [ править ]
Время раскрытия уязвимости определяется по-разному в сообществе безопасности и в отрасли. Чаще всего это называется «разновидностью публичного раскрытия информации безопасности определенной стороной». Обычно информация об уязвимостях обсуждается в списке рассылки или публикуется на веб-сайте безопасности, после чего по ее результатам публикуются рекомендации по безопасности.
Время раскрытия является первой датой уязвимость безопасности описана на канале , где раскрыта информация о уязвимости должна выполнить следующее требование:
- Информация находится в свободном доступе для общественности.
- Информация об уязвимости публикуется надежным и независимым каналом / источником.
- Уязвимость была проанализирована экспертами, поэтому информация о рейтинге риска включается при раскрытии.
- Выявление и устранение уязвимостей
Существует множество программных инструментов, которые могут помочь в обнаружении (а иногда и удалении) уязвимостей в компьютерной системе. Хотя эти инструменты могут предоставить аудитору хороший обзор возможных имеющихся уязвимостей, они не могут заменить человеческое суждение. Если полагаться исключительно на сканеры, это приведет к ложным срабатываниям и ограниченному обзору проблем, присутствующих в системе.
Уязвимости были обнаружены во всех основных операционных системах [33], включая Windows , macOS , различные формы Unix и Linux , OpenVMS и другие. Единственный способ снизить вероятность использования уязвимости в системе - это постоянная бдительность, включая тщательное обслуживание системы (например, применение программных исправлений), передовые методы развертывания (например, использование межсетевых экранов и средств контроля доступа ) и аудит (как во время разработки и на протяжении всего жизненного цикла развертывания).
Локации, в которых проявляются уязвимости [ править ]
Уязвимости связаны с:
- физическая среда системы
- персонал (т.е. сотрудники, руководство)
- административные процедуры и политика безопасности
- ведение бизнеса и оказание услуг
- аппаратное обеспечение, включая периферийные устройства [34] [35]
- программное обеспечение (например, локально или в облаке)
- возможность подключения (т.е. коммуникационное оборудование и средства)
Очевидно, что чисто технический подход не всегда может защитить материальные активы: необходимо иметь административную процедуру, позволяющую обслуживающему персоналу входить на объекты, и людям с достаточным знанием процедур, мотивированным для их выполнения с должной осторожностью. Однако технические средства защиты не обязательно останавливают атаки социальной инженерии (безопасности) .
Примеры уязвимостей:
- злоумышленник находит и использует уязвимость переполнения буфера для установки вредоносного ПО с последующим удалением конфиденциальных данных;
- злоумышленник убеждает пользователя открыть сообщение электронной почты с прикрепленным вредоносным ПО;
- наводнение повреждает компьютерные системы, установленные на первом этаже.
Уязвимости программного обеспечения [ править ]
К распространенным типам недостатков программного обеспечения, которые приводят к уязвимостям, относятся:
- Нарушения безопасности памяти , такие как:
- Переполнение и чтение буфера
- Свисающие указатели
- Ошибки проверки ввода , например:
- Внедрение кода
- Межсайтовый скриптинг в веб-приложениях
- Обход каталога
- Электронная почта
- Атаки на строку формата
- Внедрение HTTP-заголовка
- Разделение HTTP-ответа
- SQL-инъекция
- Ошибки, связанные с путаницей привилегий , такие как:
- Кликджекинг
- Подделка межсайтовых запросов в веб-приложениях
- Атака с отказом FTP
- Повышение привилегий
- Условия гонки , такие как:
- Расы символических ссылок
- Ошибки времени проверки до времени использования
- Атака по побочному каналу
- Сроки атаки
- Сбои пользовательского интерфейса , такие как:
- Обвинение жертвы побуждает пользователя принять решение по безопасности без предоставления пользователю достаточной информации для ответа [36]
- Условия гонки [37] [38]
- Предупреждение об утомляемости [39] или нарушении условий работы пользователя .
Был разработан некоторый набор руководств по кодированию, и было использовано большое количество статических анализаторов кода для проверки того, что код соответствует руководящим принципам.
См. Также [ править ]
- Безопасность браузера
- Группа реагирования на компьютерные чрезвычайные ситуации
- Информационная безопасность
- Интернет-безопасность
- Мобильная безопасность
- Сканер уязвимостей
- Ответственное раскрытие
- Полное раскрытие
Ссылки [ править ]
- ^ «Жизненный цикл управления уязвимостями | NPCR | CDC» . www.cdc.gov . 2019-03-12 . Проверено 4 июля 2020 .
- ^ Дин, Аарон Йи; Де Хесус, Джанлука Лимон; Янссен, Марин (2019). «Этический взлом для повышения эффективности управления уязвимостями Интернета вещей: первый взгляд на программы вознаграждения за ошибки и ответственное раскрытие информации» . Материалы восьмой Международной конференции по телекоммуникациям и дистанционному зондированию - ICTRS '19 . Родос, Греция: ACM Press: 49–55. DOI : 10.1145 / 3357767.3357774 . ISBN 978-1-4503-7669-3.
- ^ a b ISO / IEC, «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008
- ^ Британский институт стандартов, Информационные технологии - Методы безопасности - Управление безопасностью информационных и коммуникационных технологий - Часть 1: Концепции и модели для управления безопасностью информационных и коммуникационных технологий BS ISO / IEC 13335-1-2004
- ^ a b Инженерная группа Интернета RFC 4949 Глоссарий по безопасности Интернета, версия 2
- ^ "Инструкция CNSS № 4009" (PDF) . 26 апреля 2010 г. Архивировано из оригинального (PDF) 28 июня 2013 г.
- ^ "ФИСМАпедия" . fismapedia.org .
- ^ «Срок: уязвимость» . fismapedia.org .
- ^ Руководство по управлению рисками NIST SP 800-30 для систем информационных технологий
- ^ «Глоссарий» . europa.eu .
- ^ Техническая стандартная таксономия рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано Open Group, январь 2009 г.
- ^ a b «Введение в факторный анализ информационных рисков (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. в Wayback Machine ;
- ^ Мэтт Бишоп и Дэйв Бейли. Критический анализ таксономий уязвимостей. Технический отчет CSE-96-11, факультет компьютерных наук Калифорнийского университета в Дэвисе, сентябрь 1996 г.
- ^ Скоу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация по безопасности информационных систем)
- ^ Глоссарий NIATEC
- ^ ISACA THE RISK IT FRAMEWORK (требуется регистрация). Архивировано 5 июля 2010 г. в Wayback Machine.
- ^ а б Райт, Джо; Харменнинг, Джим (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 257. ISBN. 978-0-12-374354-1.
- ^ a b c d e Какарека, Альмантас (2009). «23». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 393. ISBN. 978-0-12-374354-1.
- ^ Krsul, Иван (15 апреля 1997). «Технический отчет CSD-TR-97-026» . Лаборатория COAST, Департамент компьютерных наук, Университет Пердью. CiteSeerX 10.1.1.26.5435 .
- ↑ Паули, Даррен (16 января 2017 г.). «Просто сдавайся: пароль 123456 по-прежнему остается самым популярным в мире» . Реестр . Проверено 17 января 2017 .
- ^ «Шесть самых глупых идей в области компьютерной безопасности» . ranum.com .
- ^ «Консорциум безопасности веб-приложений / Статистика безопасности веб-приложений» . webappsec.org .
- ^ Росс Андерсон. Почему не работают криптосистемы. Технический отчет, университетская компьютерная лаборатория, Кембридж, январь 1994 г.
- ^ Нил Шлагер. Когда технология терпит неудачу: значительные технологические катастрофы, аварии и неудачи двадцатого века. Gale Research Inc., 1994.
- ↑ Хакерство: Искусство эксплуатации, второе издание
- ^ Kiountouzis, EA; Коколакис С.А. Безопасность информационных систем: перед лицом информационного общества 21 века . Лондон: Chapman & Hall , Ltd. ISBN 0-412-78120-4.
- ^ a b Расмуссен, Джереми (12 февраля 2018 г.). «Лучшие практики кибербезопасности: оставайтесь Cyber SMART» . Технические решения . Проверено 18 сентября 2020 года .
- ^ «Что такое уязвимость? - База знаний - ICTEA» . www.ictea.com . Источник 2021-04-03 .
- ^ Bavisi, Санджай (2009). «22». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 375. ISBN 978-0-12-374354-1.
- ^ «Новая эра раскрытия уязвимостей - краткая беседа с HD Moore» . Технический вестник . Архивировано из оригинала на 2010-08-26 . Проверено 24 августа 2010 .
- ↑ Бец, Крис (11 января 2015 г.). «Призыв к более скоординированному раскрытию уязвимостей - MSRC - Домашняя страница сайта - Блоги TechNet» . blogs.technet.com . Проверено 12 января 2015 года .
- ^ «Категория: Уязвимость» . owasp.org .
- ↑ Дэвид Харли (10 марта 2015 г.). «Уязвимости операционной системы, эксплойты и незащищенность» . Проверено 15 января 2019 .
- ^ Большинство ноутбуков уязвимы для атак через периферийные устройства. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Источник: Кембриджский университет]
- ^ Использование сетевых принтеров. Институт ИТ-безопасности Рурского университета в Бохуме
- ^ [1] Архивировано 21 октября 2007 года в Wayback Machine.
- ^ «Джесси Рудерман» Условия гонки в диалогах безопасности » . squarefree.com .
- ^ "Блог lcamtuf" . lcamtuf.blogspot.com .
- ^ «Предупреждение усталости» . Freedom-to-tinker.com .
Внешние ссылки [ править ]
- СМИ, связанные с уязвимостью (вычислениями) на Викискладе?
- Ссылки на рекомендации по безопасности из Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/