Базы данных уязвимостей (VDB) представляет собой платформу , направленная на сбор, хранения и распространения информации об обнаруженных уязвимостях компьютерной безопасности . В базе данных обычно описывается выявленная уязвимость, оценивается потенциальное воздействие на уязвимые системы, а также любые обходные пути или обновления для смягчения проблемы. VDB присваивает уникальный идентификатор каждой занесенной в каталог уязвимости, такой как номер (например, 123456) или буквенно-цифровое обозначение (например, VDB-2020-12345). Информация в базе данных может быть доступна через веб-страницы, экспорт или API . VDB может предоставлять информацию бесплатно, за плату или их комбинацию.
История
Первой базой данных уязвимостей была «Исправленные ошибки безопасности в мультисистемах», опубликованные 7 февраля 1973 года Джеромом Х. Зальцером . Он описал этот список как « список всех известных способов, которыми пользователь может нарушить или обойти механизмы защиты Multics ». [1] Список изначально был в некоторой степени конфиденциальным с целью сохранения подробностей уязвимостей до тех пор, пока не будут доступны решения. Опубликованный список содержал две локальные уязвимости повышения привилегий и три локальные атаки типа «отказ в обслуживании». [2]
Типы баз данных уязвимостей
Базы данных основных уязвимостей, такие как база данных ISS X-Force, база данных Symantec / SecurityFocus BID и база данных уязвимостей с открытым исходным кодом (OSVDB) [a], объединяют широкий спектр публично раскрытых уязвимостей, включая Common Vulnerabilities and Exposures (CVE). Основная цель CVE, выполняемой MITER , - попытаться агрегировать общедоступные уязвимости и дать им уникальный идентификатор в стандартизированном формате. [3] Многие базы данных уязвимостей развивают полученные данные от CVE и дополнительно исследуют, предоставляя оценки риска уязвимостей, рейтинги воздействия и необходимые обходные пути. В прошлом CVE играла первостепенную роль в связывании баз данных уязвимостей, поэтому критические исправления и отладки можно было совместно использовать для предотвращения доступа хакеров к конфиденциальной информации в частных системах. [4] Национальная база данных уязвимостей (NVD), в ведении Национального института стандартов и технологий (NIST), работает отдельно от митры запустить базу данных CVE, но только включает в себя информацию об уязвимостях от ССО. NVD служит расширением этих данных, предоставляя оценку рисков Common Vulnerability Scoring System (CVSS) и данные Common Platform Enumeration (CPE).
База данные уязвимостей Open Source обеспечивает точный, технический и беспристрастный индекс безопасности уязвимости. В обширной базе данных зарегистрировано более 121 000 уязвимостей. OSVDB была основана в августе 2002 года и запущена в марте 2004 года. Вначале только что обнаруженные уязвимости исследовались участниками сайта, и объяснения были подробно описаны на сайте. Однако по мере роста потребности в услугах потребность в специализированном персонале привела к созданию Open Security Foundation (OSF), которая была основана как некоммерческая организация в 2005 году для обеспечения финансирования проектов безопасности, и в первую очередь OSVDB. [5] OSVDB закрылась в апреле 2016 года. [6]
Национальная база данных уязвимостей США - это комплексная база данных уязвимостей кибербезопасности, созданная в 2005 году и содержащая отчеты о CVE. [7] NVD - это основной инструмент направления кибербезопасности для отдельных лиц и предприятий, предоставляющий информационные ресурсы о текущих уязвимостях. NVD хранит более 100 000 записей. Подобно OSVDB, NVD публикует рейтинги воздействия и классифицирует материалы в индекс, чтобы предоставить пользователям понятную систему поиска. [8] Другие страны имеют свои собственные базы данных уязвимостей, такие как базы данных уязвимостей китайские национальных и российской безопасность данных Угрозы база данных .
Различные коммерческие компании также поддерживают свои собственные базы данных уязвимостей, предлагая клиентам услуги, которые предоставляют новые и обновленные данные об уязвимостях в машиночитаемом формате, а также через веб-порталы. Примеры включают портал Symantec DeepSight [9] и канал данных об уязвимостях, диспетчер уязвимостей Secunia (приобретенный Flexera) [10] и службу анализа уязвимостей Accenture [11] (ранее iDefense).
Базы данных уязвимостей рекомендуют организациям разрабатывать, расставлять приоритеты и выполнять исправления или другие меры по устранению критических уязвимостей. Однако это часто может привести к созданию дополнительных уязвимостей, поскольку исправления создаются в спешке, чтобы предотвратить дальнейшее использование системы и нарушения. В зависимости от уровня пользователя или организации они гарантируют соответствующий доступ к базе данных уязвимостей, которая предоставляет пользователю информацию об известных уязвимостях, которые могут повлиять на них. Обоснование ограничения доступа для отдельных лиц состоит в том, чтобы помешать хакерам разбираться в уязвимостях корпоративной системы, которые потенциально могут быть использованы в дальнейшем. [12]
Использование баз данных уязвимостей
Базы данных уязвимостей содержат огромное количество выявленных уязвимостей. Однако немногие организации обладают опытом, персоналом и временем для проверки и устранения всех потенциальных уязвимостей системы, поэтому оценка уязвимости - это метод количественного определения серьезности нарушения системы. В базах данных уязвимостей существует множество методов оценки, таких как шкала анализа критических уязвимостей US-CERT и института SANS, но общая система оценки уязвимостей (CVSS) является преобладающим методом для большинства баз данных уязвимостей, включая OSVDB, vFeed [13] и NVD. CVSS основан на трех основных показателях: базовой, временной и средовой, каждая из которых дает рейтинг уязвимости. [14]
База
Этот показатель охватывает неизменные свойства уязвимости, такие как потенциальное воздействие раскрытия конфиденциальной информации, доступность информации и последствия безвозвратного удаления информации.
Временный
Временные метрики обозначают изменчивую природу уязвимости, например вероятность ее использования, текущее состояние нарушения системы и разработку любых обходных путей, которые могут быть применены. [15]
Относящийся к окружающей среде
Этот аспект CVSS оценивает потенциальные убытки отдельных лиц или организаций от уязвимости. Кроме того, в нем подробно описываются основные цели уязвимости, начиная от персональных систем и заканчивая крупными организациями, и количество потенциально затронутых лиц. [16]
Сложность с использованием различных систем оценки заключается в том, что нет единого мнения о серьезности уязвимости, поэтому разные организации могут упускать из виду критические взломы системы. Ключевым преимуществом стандартизированной системы оценки, такой как CVSS, является то, что опубликованные оценки уязвимости можно быстро оценивать, отслеживать и исправлять. Как организации, так и отдельные лица могут определить личное влияние уязвимости на свою систему. Польза, получаемая от баз данных уязвимостей для потребителей и организаций, возрастает по мере того, как информационные системы становятся все более встроенными, наша зависимость и зависимость от них растет, равно как и возможность использования данных. [17]
Распространенные уязвимости системы безопасности, перечисленные в базах данных уязвимостей
Ошибка первоначального развертывания
Хотя функциональность базы данных может показаться безупречной, без тщательного тестирования серьезные недостатки могут позволить хакерам проникнуть в кибербезопасность системы. Часто базы данных публикуются без строгих мер безопасности, поэтому конфиденциальный материал легко доступен. [18]
SQL-инъекция
Атаки на базы данных являются наиболее частой формой нарушений кибербезопасности, регистрируемых в базах данных уязвимостей. Инъекции SQL и NoSQL проникают в традиционные информационные системы и платформы больших данных соответственно и интерполируют вредоносные заявления, позволяя хакерам нерегулируемый доступ к системе. [19]
Неверно настроенные базы данных
Установленные базы данных обычно не могут реализовать важные исправления, предлагаемые базами данных уязвимостей из-за чрезмерной рабочей нагрузки и необходимости исчерпывающих испытаний, чтобы убедиться, что исправления обновляют уязвимость неисправной системы. Операторы баз данных концентрируют свои усилия на устранении основных недостатков системы, что дает хакерам полный доступ к системе с помощью запущенных исправлений. [20]
Неадекватный аудит
Для всех баз данных требуются контрольные треки для записи изменений или доступа к данным. Когда системы создаются без необходимой системы аудита, использование уязвимостей системы сложно выявить и устранить. Базы данных уязвимостей провозглашают важность отслеживания аудита как средства сдерживания кибератак. [21]
Защита данных имеет важное значение для любого бизнеса, поскольку личная и финансовая информация является ключевым активом, а похищение конфиденциальных материалов может дискредитировать репутацию компании. Внедрение стратегий защиты данных является обязательным условием для защиты конфиденциальной информации. Некоторые придерживаются мнения, что именно изначальная апатия разработчиков программного обеспечения, в свою очередь, обусловливает необходимость существования баз данных уязвимостей. Если бы системы разрабатывались с большим усердием, они могли быть недоступны для инъекций SQL и NoSQL, что сделало бы базы данных уязвимостей избыточными. [22]
Заметки
- ^ OSVDB была закрыта в апреле 2016 г .; их место занял платный сервис VulnDB
Рекомендации
- ^ Saltzer, JH "Исправленные ошибки безопасности в Multics" . www.semanticscholar.org . Проверено 29 сентября 2020 .
- ^ «ИСПОЛЬЗУЕМЫЕ ОШИБКИ БЕЗОПАСНОСТИ В MULTICS» (PDF) .
- ^ «Общие уязвимости и воздействия (CVE)» . Cve.mitre.org . Проверено 1 ноября 2015 года .
- ^ Юнь-Хуа, G; Пей, Л. (2010). «Разработка и исследование баз данных уязвимостей»: 209–212. Цитировать журнал требует
|journal=
( помощь ) - ^ Карлссон, М (2012). «История редактирования национальной базы данных уязвимостей и аналогичных баз данных об уязвимостях». Цитировать журнал требует
|journal=
( помощь ) - ^ «OSVDB отключен навсегда» . Проверено 25 января 2021 .
- ^ «Объяснение национальной базы данных уязвимостей» . resources.whitesourcesoftware.com . Проверено 1 декабря 2020 .
- ^ «Первичные ресурсы ПНВ» . Национальная база данных уязвимостей . Проверено 1 ноября 2015 года .
- ^ «DeepSight Technical Intelligence | Symantec» . www.symantec.com . Проверено 5 декабря 2018 .
- ^ «Менеджер уязвимостей Secunia» .
- ^ «Accenture Vulnerability Intelligence» (PDF) .
- ^ Эриксон, Дж (2008). Хакерство - Искусство эксплуатации (1-е изд.). Сан-Франциско: Пресса без крахмала. ISBN 1593271441.
- ^ vFeed. «vFeed Correlated Vulnerability and Threat Intelligence» .
- ^ Первый. «Общая система оценки уязвимостей (CVSS-SIG)» . Проверено 1 ноября 2015 года .
- ^ Mell, P; Романоски, С (2006). «Общая система оценки уязвимостей». Журнал IEEE Security and Privacy Magazine . 4 (6): 85–89.
- ^ Хайден, Л. (2010). Метрики ИТ-безопасности (1-е изд.). Нью-Йорк: Макгроу Хилл.
- ^ Чандрамули, Р. Гранс, Т; Kuhn, R; Ландау, S (2006). «Общая система оценки уязвимостей»: 85–88. Цитировать журнал требует
|journal=
( помощь ) - ^ «Наиболее значительные риски 2015 года и способы их снижения» (PDF) . Imperva . Проверено 2 ноября 2015 года .
- ^ Натараджан, К; Субрамани, S (2012). «Создание безопасного алгоритма без Sql-инъекций для обнаружения и предотвращения атак с использованием Sql-инъекций». Технологии процедур . 4 : 790–796.
- ^ «База данных уязвимостей - 1000 основных недостатков». Сетевая безопасность . 8 (6). 2001 г.
- ^ Афьюни, Х (2006). Безопасность и аудит баз данных (1-е изд.). Бостон: Технология курса Томсона.
- ^ Сирохи, Д. (2015). Трансформационные аспекты киберпреступности . Индия: Vij Books. С. 54–65.
Смотрите также
- Китайская национальная база данных уязвимостей
- Распространенные уязвимости и подверженности
- База данных угроз безопасности данных
- Примечания об уязвимостях для Японии
- Национальная база данных уязвимостей
- База данных уязвимостей с открытым исходным кодом