Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Программа-антивирус
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е
Эта статья является частью серии статей о
Взлом компьютеров
История
  • Фрикинг
  • Криптовирология
  • Взлом бытовой электроники
  • Список хакеров
Хакерская культура и этика
  • Хакерский манифест
  • Черная шляпа
  • Серая шляпа
  • белая шляпа
  • Хакерское пространство
  • Хакатон
  • Хактивизм
  • Создатель культуры
Конференции
  • Брифинги Black Hat
  • Конгресс Хаоса Коммуникации
  • DEF CON
  • Хакеры на планете Земля
  • Security_BSides
  • ShmooCon
  • Саммеркон
Компьютерное преступление
  • Преступное ПО
  • Список компьютерных преступников
  • Скрипт kiddie
Инструменты для взлома
  • ОС для криминалистики
  • Уязвимость
  • Использовать
  • Полезная нагрузка
  • Социальная инженерия
  • Кали
Сайты практики
  • HackThisSite
  • Зона-H
Вредоносное ПО
  • Руткит
  • Черный ход
  • троянский конь
  • Вирус
  • Червь
  • Шпионское ПО
  • Программы-вымогатели
  • Логическая бомба
  • Ботнет
  • Журнал нажатий клавиш
  • HIDS
  • Веб-оболочка
  • RCE
Компьютерная безопасность
  • Безопасность приложений
  • Сетевая безопасность
  • Безопасность облачных вычислений
Группы
  • Анонимный
  • Компьютерный Клуб Хаоса
  • Домашний компьютерный клуб (несуществующий)
  • Легион Судьбы (несуществующий)
  • Мастера обмана (несуществующие)
  • LulzSec (несуществующий)
  • Красные и синие команды
Публикации
  • 2600: Ежеквартальный журнал The Hacker
  • Хакерские новости
  • Гайки и вольт
  • Phrack
  • v
  • т
  • е

В компьютерной безопасности , уязвимость является слабостью , которая может быть использована с помощью угрозы актера , например, злоумышленник, чтобы пересечения границ привилегий (т.е. выполнять несанкционированные действия) в пределах компьютерной системы. Чтобы воспользоваться уязвимостью, злоумышленник должен иметь хотя бы один применимый инструмент или методику, которые могут подключиться к уязвимости системы. В этом кадре уязвимости также известны как поверхность атаки .

Управление уязвимостями - это циклическая практика, которая варьируется в теории, но содержит общие процессы, которые включают: обнаружение всех активов, определение приоритетов активов, оценку или выполнение полного сканирования уязвимостей, отчет о результатах, устранение уязвимостей, проверку исправления - повторить. Эта практика обычно относится к программным уязвимостям в вычислительных системах. [1] Гибкое управление уязвимостями означает предотвращение атак путем выявления всех уязвимостей как можно быстрее. [2]

Риск безопасности часто ошибочно классифицируется как уязвимость. Использование уязвимости с тем же значением риска может привести к путанице. Риск - это возможность значительного воздействия в результате использования уязвимости. Тогда есть уязвимости без риска: например, когда затронутый актив не имеет ценности. Уязвимость с одним или несколькими известными экземплярами действующих и полностью реализованных атак классифицируется как уязвимость, которую можно использовать - уязвимость, для которой существует эксплойт . Окно уязвимости - это время с момента появления или проявления дыры в безопасности в развернутом программном обеспечении до момента, когда доступ был удален, исправление безопасности было доступно / развернуто или злоумышленник был отключен - см. Атака нулевого дня .

Ошибка безопасности ( дефект безопасности ) - более узкое понятие. Существуют уязвимости, не связанные с программным обеспечением: уязвимости оборудования , сайта, персонала являются примерами уязвимостей, которые не являются ошибками безопасности программного обеспечения.

Конструкции на языках программирования , которые сложно использовать должным образом, могут проявлять большое количество уязвимостей.

Определения [ править ]

ISO 27005 определяет уязвимость как: [3]

Слабость актива или группы активов, которая может быть использована одной или несколькими угрозами, где актив - это все, что имеет ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссию организации [4]

Уязвимость IETF RFC 4949 как: [5]

Недостаток или слабость в дизайне, реализации или эксплуатации и управлении системы, которые могут быть использованы для нарушения политики безопасности системы.

Комитет по системам национальной безопасности в Соединенных Штатах Америки определенные уязвимости в CNSS Инструкции № 4009 датированный 26 апреля 2010 Национальная Обеспечение информации Глоссарий : [6]

Уязвимость - слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована источником угрозы.

Многие публикации NIST определяют уязвимость в контексте ИТ в различных публикациях: FISMApedia [7], термин [8] предоставляет список. Между ними SP 800-30, [9] дают более широкий:

Недостаток или слабость в процедурах обеспечения безопасности системы, дизайне, реализации или внутреннем контроле, которые могут быть применены (случайно запущены или намеренно использованы) и приведут к нарушению безопасности или политике безопасности системы.

ENISA определяет уязвимость в [10] как:

Наличие недостатка, ошибки проектирования или реализации, которая может привести к неожиданному, нежелательному событию [G.11], ставящему под угрозу безопасность компьютерной системы, сети, приложения или протокола (ITSEC).

Open Group определяет уязвимость в [11] как

Вероятность того, что потенциал угрозы превышает способность противостоять угрозе .

Факторный анализ информационных рисков (FAIR) определяет уязвимость как: [12]

Вероятность того, что актив не сможет противостоять действиям агента угрозы.

Согласно FAIR уязвимость связана с силой контроля, т. Е. Силой контроля по сравнению со стандартной мерой силы и возможностями угрозы , то есть вероятным уровнем силы, которую агент угрозы способен применить к активу.

ISACA определяет уязвимость в структуре Risk It как:

Слабость в дизайне, реализации, эксплуатации или внутреннем контроле

Безопасность данных и компьютерная безопасность: Словарь стандартных понятий и терминов, авторы Деннис Лонгли и Майкл Шейн, Stockton Press, ISBN  0-935859-17-9 , определяют уязвимость как:

1) В компьютерной безопасности - слабость в процедурах безопасности автоматизированных систем, административном контроле, контроле Интернета и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критически важной обработки. 2) В компьютерной безопасности - слабое место в физической структуре, организации, процедурах, персонале, управлении, администрировании, аппаратном или программном обеспечении, которое может быть использовано для нанесения вреда системе или деятельности ADP. 3) В компьютерной безопасности - любая слабость или недостаток, существующий в системе. Атака или вредоносное событие, или возможность, доступная для агента угрозы, осуществить эту атаку.

Мэтт Бишоп и Дэйв Бейли [13] дают следующее определение компьютерной уязвимости :

Компьютерная система состоит из состояний, описывающих текущую конфигурацию объектов, составляющих компьютерную систему. Система выполняет вычисления, применяя переходы между состояниями, которые изменяют состояние системы. Все состояния, достижимые из данного начального состояния с использованием набора переходов состояний, попадают в класс авторизованных или неавторизованных, как определено политикой безопасности. В данной статье определения этих классов и переходов считаются аксиоматическими. Уязвимое состояние - это авторизованное состояние, из которого неавторизованное состояние может быть достигнуто с помощью авторизованных переходов состояний. Компромиссное состояние - это достигнутое таким образом состояние. Атака - это последовательность разрешенных переходов между состояниями, которые заканчиваются скомпрометированным состоянием. По определению, атака начинается в уязвимом состоянии.Уязвимость - это характеристика уязвимого состояния, которая отличает его от всех неуязвимых состояний. В общем, уязвимость может характеризовать многие уязвимые состояния; если конкретный, то он может характеризовать только один ...

Национальный учебно-образовательный центр по обеспечению информационной безопасности определяет уязвимость : [14] [15]

Слабость в процедурах безопасности автоматизированных систем, административном контроле, внутреннем контроле и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критически важной обработки. 2. Слабость в процедурах безопасности системы, конструкции оборудования, внутреннего контроля и т. Д., Которая может быть использована для получения несанкционированного доступа к секретной или конфиденциальной информации. 3. Слабость в физической структуре, организации, процедурах, персонале, управлении, администрировании, аппаратном или программном обеспечении, которые могут быть использованы для нанесения вреда системе или деятельности ADP. Само по себе наличие уязвимости не причиняет вреда; Уязвимость - это просто условие или набор условий, которые могут позволить системе или деятельности ADP пострадать в результате атаки. 4.Утверждение, в первую очередь касающееся объектов внутренней среды (активов); мы говорим, что актив (или класс активов) уязвим (каким-то образом, возможно, с участием агента или группы агентов); мы пишем: V (i, e), где: e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.

Модели уязвимости и факторов риска [ править ]

Ресурс (физический или логический) может иметь одну или несколько уязвимостей, которыми может воспользоваться злоумышленник. Результат может потенциально поставить под угрозу конфиденциальность , целостность или доступность ресурсов (не обязательно уязвимых), принадлежащих организации и / или другим вовлеченным сторонам (клиентам, поставщикам). Так называемая триада ЦРУ - краеугольный камень информационной безопасности .

Атака может быть активной, когда она пытается изменить системные ресурсы или повлиять на их работу, нарушая целостность или доступность. « Пассивная атака » пытается изучить или использовать информацию из системы, но не затрагивает системные ресурсы, нарушая конфиденциальность. [5]

OWASP: взаимосвязь между агентом угрозы и влиянием на бизнес

OWASP (см. Рисунок) описывает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и связанных с ней средств управления безопасностью, оказывая техническое воздействие на ИТ-ресурс (актив), подключенный к влияние на бизнес.

Общая картина представляет факторы риска сценария риска. [16]

Система управления информационной безопасностью [ править ]

Набор политик, связанных с системой менеджмента информационной безопасности (СМИБ), был разработан для управления, в соответствии с принципами управления рисками , контрмерами для обеспечения того, чтобы стратегия безопасности была установлена ​​в соответствии с правилами и положениями, применимыми к данной организации. Эти контрмеры также называются мерами безопасности , но применительно к передаче информации они называются службами безопасности . [17]

Классификация [ править ]

Уязвимости классифицируются в зависимости от класса активов, к которому они относятся: [3]

  • аппаратное обеспечение
    • восприимчивость к влажности или пыли
    • восприимчивость к незащищенному хранению
    • возрастной износ, вызывающий поломку
    • перегрев
  • программное обеспечение
    • недостаточное тестирование
    • небезопасное кодирование
    • отсутствие контрольного журнала
    • недостаток дизайна
  • сеть
    • незащищенные линии связи (например, отсутствие криптографии )
    • небезопасная сетевая архитектура
  • персонал
    • неадекватный процесс приема на работу
    • недостаточная осведомленность о безопасности
    • инсайдерская угроза
  • физический сайт
    • территория, подверженная стихийным бедствиям (например, наводнение, землетрясение)
    • отключение источника питания
  • организационная
    • отсутствие регулярных аудитов
    • отсутствие планов преемственности
    • отсутствие безопасности

Причины [ править ]

  • Сложность: большие сложные системы увеличивают вероятность сбоев и непреднамеренных точек доступа . [18]
  • Знакомство: использование распространенного, хорошо известного кода, программного обеспечения, операционных систем и / или оборудования увеличивает вероятность того, что злоумышленник получит или сможет найти знания и инструменты для использования уязвимости. [19]
  • Связь: большее количество физических подключений, привилегий, портов, протоколов и служб, а также время доступности каждого из них повышают уязвимость. [12]
  • Недостатки управления паролями: пользователь компьютера использует слабые пароли, которые могут быть обнаружены с помощью грубой силы. [20] Пользователь компьютера хранит пароль на компьютере, где программа может получить к нему доступ. Пользователи повторно используют пароли между многими программами и веб-сайтами. [18]
  • Фундаментальные недостатки конструкции операционной системы : разработчик операционной системы выбирает применение неоптимальных политик управления пользователями / программами. Например, операционные системы с такими политиками, как разрешение по умолчанию, предоставляют каждой программе и каждому пользователю полный доступ ко всему компьютеру. [18] Этот недостаток операционной системы позволяет вирусам и вредоносным программам выполнять команды от имени администратора. [21]
  • Просмотр веб-сайтов в Интернете. Некоторые веб-сайты могут содержать вредоносное шпионское или рекламное ПО, которое может быть автоматически установлено в компьютерных системах. После посещения этих веб-сайтов компьютерные системы заражаются, и личная информация собирается и передается третьим лицам. [22]
  • Ошибки программного обеспечения : программист оставляет уязвимую ошибку в программе. Ошибка программного обеспечения может позволить злоумышленнику злоупотребить приложением. [18]
  • Непроверенный ввод пользователя : программа предполагает, что все вводимые пользователем данные безопасны. Программы, которые не проверяют ввод данных пользователем, могут допускать непреднамеренное прямое выполнение команд или операторов SQL (известных как переполнение буфера , внедрение SQL или другие непроверенные вводы). [18]
  • Не учиться на прошлых ошибках: [23] [24] например, большинство уязвимостей, обнаруженных в программном обеспечении протокола IPv4 , были обнаружены в новых реализациях IPv6 . [25]

Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, проектировщик или другой человек: [26] поэтому людей следует рассматривать в различных ролях: актива, угроза, информационные ресурсы. Социальная инженерия - это растущая проблема безопасности.

Последствия [ править ]

Влияние нарушения безопасности может быть очень высоким. [27] В большинстве законодательных актов рассматривается неспособность ИТ-менеджеров устранить уязвимости ИТ-систем и приложений, если они известны им как неправомерное поведение; ИТ-менеджеры несут ответственность за управление ИТ-рисками . [28] Закон о конфиденциальности вынуждает менеджеров действовать, чтобы уменьшить влияние или вероятность такого риска для безопасности. Аудит безопасности информационных технологий - это способ позволить другим независимым людям удостовериться в том, что ИТ-среда управляется должным образом, и уменьшить ответственность, по крайней мере, продемонстрировав добросовестность. Тест на проникновение - это форма проверки слабости и контрмер, принятых организацией: белая шляпахакер пытается атаковать активы информационных технологий организации, чтобы узнать, насколько легко или сложно поставить под угрозу ИТ-безопасность. [29] Надлежащий способ профессионального управления ИТ-рисками - это принять Систему управления информационной безопасностью , такую ​​как ISO / IEC 27002 или риск ИТ, и следовать им в соответствии со стратегией безопасности, сформулированной высшим руководством. [17]

Одной из ключевых концепций информационной безопасности является принцип глубокоэшелонированной защиты , то есть создание многоуровневой системы защиты, которая может: [27]

  • предотвратить эксплойт
  • обнаружить и перехватить атаку
  • выяснить агентов угрозы и привлечь их к ответственности

Система обнаружения вторжений является примером класса систем, используемых для обнаружения атак .

Физическая безопасность - это набор мер для физической защиты информационного актива: если кто-то может получить физический доступ к информационному активу, широко распространено мнение, что злоумышленник может получить доступ к любой информации о нем или сделать ресурс недоступным для его законных пользователей.

Были разработаны некоторые наборы критериев, которым должен соответствовать компьютер, его операционная система и приложения, чтобы соответствовать хорошему уровню безопасности: ITSEC и Общие критерии - два примера.

Раскрытие уязвимости [ править ]

Скоординированное раскрытие уязвимостей (некоторые называют это « ответственным раскрытием », но другие считают это предвзятым термином) уязвимостей является предметом больших споров. Как сообщал The Tech Herald в августе 2010 года, « Google , Microsoft , TippingPoint и Rapid7 выпустили руководящие принципы и заявления, касающиеся того, как они будут поступать с раскрытием информации в будущем». [30] Другой метод - полное раскрытие информации., когда все подробности уязвимости публикуются, иногда с намерением оказать давление на автора программного обеспечения, чтобы он быстрее опубликовал исправление. В январе 2014 года, когда Google обнаружил уязвимость Microsoft до того, как Microsoft выпустила исправление для ее исправления, представитель Microsoft призвал компании-разработчики программного обеспечения к скоординированной практике раскрытия информации. [31]

Инвентарь уязвимостей [ править ]

Корпорация Mitre ведет неполный список публично раскрытых уязвимостей в системе под названием Common Vulnerabilities and Exposures . Эта информация немедленно передается в Национальный институт стандартов и технологий (NIST), где каждой уязвимости присваивается оценка риска с использованием общей системы оценки уязвимостей (CVSS), схемы Common Platform Enumeration (CPE) и Common Weakness Enumeration .

OWASP поддерживает список классов уязвимостей с целью обучения разработчиков систем и программистов, что снижает вероятность непреднамеренного включения уязвимостей в программное обеспечение. [32]

Дата раскрытия уязвимости [ править ]

Время раскрытия уязвимости определяется по-разному в сообществе безопасности и в отрасли. Чаще всего это называется «разновидностью публичного раскрытия информации безопасности определенной стороной». Обычно информация об уязвимостях обсуждается в списке рассылки или публикуется на веб-сайте безопасности, после чего по ее результатам публикуются рекомендации по безопасности.

Время раскрытия является первой датой уязвимость безопасности описана на канале , где раскрыта информация о уязвимости должна выполнить следующее требование:

  • Информация находится в свободном доступе для общественности.
  • Информация об уязвимости публикуется надежным и независимым каналом / источником.
  • Уязвимость была проанализирована экспертами, поэтому информация о рейтинге риска включается при раскрытии.
Выявление и устранение уязвимостей

Существует множество программных инструментов, которые могут помочь в обнаружении (а иногда и удалении) уязвимостей в компьютерной системе. Хотя эти инструменты могут предоставить аудитору хороший обзор возможных имеющихся уязвимостей, они не могут заменить человеческое суждение. Если полагаться исключительно на сканеры, это приведет к ложным срабатываниям и ограниченному обзору проблем, присутствующих в системе.

Уязвимости были обнаружены во всех основных операционных системах [33], включая Windows , macOS , различные формы Unix и Linux , OpenVMS и другие. Единственный способ снизить вероятность использования уязвимости в системе - это постоянная бдительность, включая тщательное обслуживание системы (например, применение программных исправлений), передовые методы развертывания (например, использование межсетевых экранов и средств контроля доступа ) и аудит (как во время разработки и на протяжении всего жизненного цикла развертывания).

Локации, в которых проявляются уязвимости [ править ]

Уязвимости связаны с:

  • физическая среда системы
  • персонал (т.е. сотрудники, руководство)
  • административные процедуры и политика безопасности
  • ведение бизнеса и оказание услуг
  • аппаратное обеспечение, включая периферийные устройства [34] [35]
  • программное обеспечение (например, локально или в облаке)
  • возможность подключения (т.е. коммуникационное оборудование и средства)

Очевидно, что чисто технический подход не всегда может защитить материальные активы: необходимо иметь административную процедуру, позволяющую обслуживающему персоналу входить на объекты, и людям с достаточным знанием процедур, мотивированным для их выполнения с должной осторожностью. Однако технические средства защиты не обязательно останавливают атаки социальной инженерии (безопасности) .

Примеры уязвимостей:

  • злоумышленник находит и использует уязвимость переполнения буфера для установки вредоносного ПО с последующим удалением конфиденциальных данных;
  • злоумышленник убеждает пользователя открыть сообщение электронной почты с прикрепленным вредоносным ПО;
  • наводнение повреждает компьютерные системы, установленные на первом этаже.

Уязвимости программного обеспечения [ править ]

К распространенным типам недостатков программного обеспечения, которые приводят к уязвимостям, относятся:

  • Нарушения безопасности памяти , такие как:
    • Переполнение и чтение буфера
    • Свисающие указатели
  • Ошибки проверки ввода , например:
    • Внедрение кода
    • Межсайтовый скриптинг в веб-приложениях
    • Обход каталога
    • Электронная почта
    • Атаки на строку формата
    • Внедрение HTTP-заголовка
    • Разделение HTTP-ответа
    • SQL-инъекция
  • Ошибки, связанные с путаницей привилегий , такие как:
    • Кликджекинг
    • Подделка межсайтовых запросов в веб-приложениях
    • Атака с отказом FTP
  • Повышение привилегий
  • Условия гонки , такие как:
    • Расы символических ссылок
    • Ошибки времени проверки до времени использования
  • Атака по побочному каналу
    • Сроки атаки
  • Сбои пользовательского интерфейса , такие как:
    • Обвинение жертвы побуждает пользователя принять решение по безопасности без предоставления пользователю достаточной информации для ответа [36]
    • Условия гонки [37] [38]
    • Предупреждение об утомляемости [39] или нарушении условий работы пользователя .

Был разработан некоторый набор руководств по кодированию, и было использовано большое количество статических анализаторов кода для проверки того, что код соответствует руководящим принципам.

См. Также [ править ]

  • Безопасность браузера
  • Группа реагирования на компьютерные чрезвычайные ситуации
  • Информационная безопасность
  • Интернет-безопасность
  • Мобильная безопасность
  • Сканер уязвимостей
  • Ответственное раскрытие
  • Полное раскрытие

Ссылки [ править ]

  1. ^ «Жизненный цикл управления уязвимостями | NPCR | CDC» . www.cdc.gov . 2019-03-12 . Проверено 4 июля 2020 .
  2. ^ Дин, Аарон Йи; Де Хесус, Джанлука Лимон; Янссен, Марин (2019). «Этический взлом для повышения эффективности управления уязвимостями Интернета вещей: первый взгляд на программы вознаграждения за ошибки и ответственное раскрытие информации» . Материалы восьмой Международной конференции по телекоммуникациям и дистанционному зондированию - ICTRS '19 . Родос, Греция: ACM Press: 49–55. DOI : 10.1145 / 3357767.3357774 . ISBN 978-1-4503-7669-3.
  3. ^ a b ISO / IEC, «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008
  4. ^ Британский институт стандартов, Информационные технологии - Методы безопасности - Управление безопасностью информационных и коммуникационных технологий - Часть 1: Концепции и модели для управления безопасностью информационных и коммуникационных технологий BS ISO / IEC 13335-1-2004
  5. ^ a b Инженерная группа Интернета RFC 4949 Глоссарий по безопасности Интернета, версия 2
  6. ^ "Инструкция CNSS № 4009" (PDF) . 26 апреля 2010 г. Архивировано из оригинального (PDF) 28 июня 2013 г.
  7. ^ "ФИСМАпедия" . fismapedia.org .
  8. ^ «Срок: уязвимость» . fismapedia.org .
  9. ^ Руководство по управлению рисками NIST SP 800-30 для систем информационных технологий
  10. ^ «Глоссарий» . europa.eu .
  11. ^ Техническая стандартная таксономия рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано Open Group, январь 2009 г. 
  12. ^ a b «Введение в факторный анализ информационных рисков (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. в Wayback Machine ;
  13. ^ Мэтт Бишоп и Дэйв Бейли. Критический анализ таксономий уязвимостей. Технический отчет CSE-96-11, факультет компьютерных наук Калифорнийского университета в Дэвисе, сентябрь 1996 г.
  14. ^ Скоу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация по безопасности информационных систем)
  15. ^ Глоссарий NIATEC
  16. ^ ISACA THE RISK IT FRAMEWORK (требуется регистрация). Архивировано 5 июля 2010 г. в Wayback Machine.
  17. ^ а б Райт, Джо; Харменнинг, Джим (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 257. ISBN. 978-0-12-374354-1.
  18. ^ a b c d e Какарека, Альмантас (2009). «23». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 393. ISBN. 978-0-12-374354-1.
  19. ^ Krsul, Иван (15 апреля 1997). «Технический отчет CSD-TR-97-026» . Лаборатория COAST, Департамент компьютерных наук, Университет Пердью. CiteSeerX 10.1.1.26.5435 . 
  20. Паули, Даррен (16 января 2017 г.). «Просто сдавайся: пароль 123456 по-прежнему остается самым популярным в мире» . Реестр . Проверено 17 января 2017 .
  21. ^ «Шесть самых глупых идей в области компьютерной безопасности» . ranum.com .
  22. ^ «Консорциум безопасности веб-приложений / Статистика безопасности веб-приложений» . webappsec.org .
  23. ^ Росс Андерсон. Почему не работают криптосистемы. Технический отчет, университетская компьютерная лаборатория, Кембридж, январь 1994 г.
  24. ^ Нил Шлагер. Когда технология терпит неудачу: значительные технологические катастрофы, аварии и неудачи двадцатого века. Gale Research Inc., 1994.
  25. Хакерство: Искусство эксплуатации, второе издание
  26. ^ Kiountouzis, EA; Коколакис С.А. Безопасность информационных систем: перед лицом информационного общества 21 века . Лондон: Chapman & Hall , Ltd. ISBN 0-412-78120-4.
  27. ^ a b Расмуссен, Джереми (12 февраля 2018 г.). «Лучшие практики кибербезопасности: оставайтесь Cyber ​​SMART» . Технические решения . Проверено 18 сентября 2020 года .
  28. ^ «Что такое уязвимость? - База знаний - ICTEA» . www.ictea.com . Источник 2021-04-03 .
  29. ^ Bavisi, Санджай (2009). «22». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 375. ISBN 978-0-12-374354-1.
  30. ^ «Новая эра раскрытия уязвимостей - краткая беседа с HD Moore» . Технический вестник . Архивировано из оригинала на 2010-08-26 . Проверено 24 августа 2010 .
  31. Бец, Крис (11 января 2015 г.). «Призыв к более скоординированному раскрытию уязвимостей - MSRC - Домашняя страница сайта - Блоги TechNet» . blogs.technet.com . Проверено 12 января 2015 года .
  32. ^ «Категория: Уязвимость» . owasp.org .
  33. Дэвид Харли (10 марта 2015 г.). «Уязвимости операционной системы, эксплойты и незащищенность» . Проверено 15 января 2019 .
  34. ^ Большинство ноутбуков уязвимы для атак через периферийные устройства. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Источник: Кембриджский университет]
  35. ^ Использование сетевых принтеров. Институт ИТ-безопасности Рурского университета в Бохуме
  36. ^ [1] Архивировано 21 октября 2007 года в Wayback Machine.
  37. ^ «Джесси Рудерман» Условия гонки в диалогах безопасности » . squarefree.com .
  38. ^ "Блог lcamtuf" . lcamtuf.blogspot.com .
  39. ^ «Предупреждение усталости» . Freedom-to-tinker.com .

Внешние ссылки [ править ]

  • СМИ, связанные с уязвимостью (вычислениями) на Викискладе?
  • Ссылки на рекомендации по безопасности из Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/