Продлен сертификат соответствия ФСТЭК России №3509 на Enterprise Security Suite. ФСТЭК России является правопреемницей Государственной технической комиссии СССР, которая была создана в декабре 1973 года. для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический.
UDV DATAPK Industrial Kit
Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS6 V3 или V3.1, размещенного в БДУ ФСТЭК России7. Осуществляется поддержка уязвимостей из банка данных угроз безопасности информации (БДУ) ФСТЭК России. еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России, содержит более 45 000 проверок. быстрое определение уязвимостей: выявление уязвимостей по версиям установленного ПО, база уязвимостей, включающая данные из БДУ ФСТЭК России, NIST NVD, а также баз уязвимостей ОС Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др. Приказ Федеральной службы по техническому и экспортному контролю от 20.06.2023 № 119 "О признании утратившим силу приказа ФСТЭК России от 24 августа 2012 г. № 100".
Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?
Аналитика поможет скорректировать маркетинговые стратегии и увеличить эффективность кампаний. Инструмент покажет срез аудитории по трем параметрам: социально-демографическим характеристикам, географии и интересам. По умолчанию бизнесу будет доступно распределение посетителей сайта по полу и возрасту, топ-5 городам и интересам. Дополнительно доступен расширенный список городов и регионов. Топ интересов покажет, какими темами посетители сайта интересуются больше, чем пользователи рунета в среднем. Для формирования портрета аудитории необходимо установить пиксель VK Рекламы. Инструмент доступен бизнесу не менее чем с 1 тыс. Оба продукта развернуты в среде операционной системы Astra Linux SE версии 1. Применение программного стека позволяет удовлетворять высокие требования организаций к защите данных в системе управления корпоративными материальными ресурсами и работать на максимальных скоростях и нагрузках. Передвижные базовые станции МТС ускорят мобильный интернет к майским праздникам в Москве МТС расширит в Москве к майским праздникам пропускную способность мобильной сети в местах массовых мероприятий. Передвижные базовые станции помогают практически в любом месте оперативно расширить емкость мобильной сети связи при кратном росте нагрузки на сеть во время общественных мероприятий и массового наплыва абонентов.
На первом этапе проекта к новым сервисам планируется подключить 100 тыс. Общая численность персонала составляет порядка 235 тыс. Для организации корпоративных коммуникаций «Россети» выбрали решения платформы VK WorkSpace — электронную почту, мессенджер и видеозвонки для совместной работы. Приобретенное ПО доступно как с десктопных, так и мобильных устройств. Нейросеть Mail. Доступ к проекту предоставлен всем пользователям с 25 апреля. Чтобы воспользоваться сервисом необходимо перейти на специальную страницу , загрузить скан фотографии и сохранить новую версию в Облако Mail. Отреставрированным снимком можно будет поделиться с близкими по ссылке, загрузить в социальные сети или сохранить в семейном архиве. Ограничений на количество обрабатываемых фотографий нет, пользователям станут доступны все функциональности нейросетевой модели. Для обучения нейросети были использованы опубликованные в широком доступе фотографии и видео.
Материалы помогут воссоздать детали и раскрасить снимки более точно, в соответствии с действительностью. При этом заказчики получают прирост производительности систем, работающих на базе Java 8 и 11. Почти половина всех Java-приложений использует их, и при переходе на Axiom JDK Express они получат значительный прирост скорости, а также экономию аппаратных средств без переписывания кода. Инженеры команды Axiom JDK создают платформу Java с 1997 года и обладают глубоким пониманием продукта и бизнес-требований клиентов. Axiom JDK Express предлагает умную оптимизацию, снимая ограничения вычислительных ресурсов как в организации, так и в облаке. Она повышает эффективность старых версий JDK до показателей новых, улучшая сразу три параметра: скорость запуска, производительность и время отклика. Intelion Data Systems приобрел оборудование на 1,4 млрд рублей для проведения собственных блокчейн операций Группа компаний Intelion — один из операторов промышленного майнинга в России запускает деятельность по самостоятельной добыче цифровых активов для целей их последующей реализации на экспорт. Стоимость первой приобретенной партии оборудования для данного направления составила 1,4 млрд руб. Объем налоговых поступлений от эксплуатации первой партии оборудования за 2 года составит более 500 млн. Модель работы в рамках данного направления предполагает частичную продажу вычислительной мощности заинтересованным иностранным покупателям для покрытия операционных расходов, а также накопление цифровых активов на балансе юридического лица, полученных от проведения собственных блокчейн операций для их последующей продажи на экспорт.
Данный подход является прецендентом осуществления деятельности по добыче цифровых активов юридическими лицами на территории России с раскрытием всех показателей и отражением цифровых активов на балансе компании. Это позволит оператору промышленного майнинга диверсифицировать свою бизнес-модель, и помимо размещения клиентского оборудования в дата-центрах, самостоятельно добывать цифровые активы, декларируя при этом валютную выручку для целей налогообложения. Поставка оборудования будет проходить во втором квартале 2024 года.
Больше сведений о данном сканере можно найти на сайте RedCheck. Рисунок 4. Выявление уязвимостей производится следующим образом: состояние системных параметров сканируемого программного обеспечения системного и прикладного сравнивается с базой уязвимостей, представленной в виде описаний, которые разработаны в соответствии со спецификацией OVAL. Сканер позволяет выявлять одиночные и множественные бреши. XSpider Сканер защищённости XSpider компании Positive Technologies впервые появился на рынке ещё в 2002 году — причём в это же время была основана сама компания. XSpider предназначен для компаний с количеством узлов до 10 000.
Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию. Рисунок 5. Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve. Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах. Основными особенностями «Ревизора сети» являются: проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных; проверка наличия неустановленных обновлений ОС семейства Windows; проверки учётных записей для узлов сети, подбор паролей; определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей; определение NetBIOS- и DNS-имён проверяемых узлов сети; проверки наличия и доступности общих сетевых ресурсов на узлах сети; сбор дополнительной информации об ОС семейства Windows. Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3. Сканер уязвимости «Ревизор сети» версии 3.
С более подробной информацией о сканере можно ознакомиться на странице разработчика. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. Рисунок 7. Главное меню системы «Сканер-ВС» Помимо этого можно отметить наличие следующих возможностей: Инвентаризация ресурсов сети. Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё. Сетевой и локальный анализ стойкости паролей. Поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика, а также реализация атак типа MitM Man in the Middle, «внедрённый посредник». Анализ беспроводных сетей.
Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам. Больше информации о данном сканере размещено на сайте данного продукта. Обзор зарубежных сканеров уязвимостей F-Secure Radar Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux. F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Рисунок 8.
Окно центра управления в F-Secure Radar Помимо этого Radar предлагает следующие возможности: Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов. Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц. Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах. Инвентаризация приложений на узлах сети. Отслеживание всех изменений в ИТ-инфраструктуре. Больше информации о данном сканере размещено на сайте разработчика. В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует.
GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Рисунок 9. Также можно добавлять собственные шаблоны в планировщик. Nessus Professional Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке.
Может это "недоразумение" будет как-то устранено в новой редакции методики?
Как говорится "поживём - увидим"... Не больше и не меньше. Поэтому давать ей какую-либо оценку пока рано. Откуда такое определение УБИ? Поэтому и вопросов, почему "пользователь" одновременно и "объект воздействия" и "нарушитель", не возникает. Пример: "фишинг", конечно, можно классифицировать как "воздействие на ППО ИС например, почтовый клиент ", но...
А что до "базового вектора", опять-таки пример: "Угроза несанкционированной подмены" сама по себе - это только направление воздействия, атаки, защиты, анализа без конкретики. Оная конкретика, в свою очередь, проявляется при указании "Объекта воздействия" с позиции нарушителя и "Объекта защиты" с нашей позиции , например, О. Впрочем, модуль поведенческого анализа подсказывает, что вас вновь интересует не семантика, а "строгость понятий и определений"... Интересовало просто "Откуда такое определение УБИ? Про "базовый вектор" понял, что нигде это регулятором не определено и оно является вашим вИдением. Толкование угрозы через направление использовалось и ранее.
Нормативно не встречал, но в различных объяснениях довольно частно.
Проверить системы сетевого периметра на наличие уязвимостей поможет BI. Для этого специалисты разработали специальные правила сканирования, позволяющие проводить мониторинг системы на наличие выявленных ошибок безопасности. Уязвимости обнаружила команда BI. Сразу после этого мы передали информацию смежным подразделениям. Сообща начали оперативную работу над правилами обнаружения уязвимостей и блокирования атак с их эксплуатацией. Мы автоматически применили созданные правила для наших клиентов еще до появления в публичном доступе информации об уязвимостях. Именно благодаря слаженной работе отделов внутри компании BI.
Банк данных угроз безопасности информации
Актуальность этой задачи была обусловлена и появлением новых видов ПО: операционных систем и серверных платформ, прикладных программ, веб-приложений и ПО для встроенных систем, увеличением числа версий в линейке одного и того же программного продукта, а также ростом частоты обнаружения в этих программах уязвимостей, позволяющих злоумышленнику получить полный контроль над компьютерной системой или доступ к критичной информации. Общий обзор реестров и классификаций уязвимостей CVE, OSVDB, NVD, Secunia Введение Создание реестров и баз данных с информацией об обнаруженных уязвимостях потребовало унифицированного по крайней мере в рамках одной базы данных способа их идентификации и классификации. Каждой обнаруженной уязвимости требовалось присвоить идентификатор, дать ей емкое и краткое описание, определить для нее список уязвимого ПО и его версий. Кроме того, требовалось оценить степень критичности данной уязвимости по ряду различных критериев: простоте обнаружения злоумышленником уязвимого ПО, легкости эксплуатации уязвимости и требуемым для этого привилегиям, а также потенциальным последствиям эксплуатации уязвимости для компьютерной системы. Эта информация могла впоследствии дополняться рекомендациями по устранению уязвимости или предотвращению ее эксплуатации и статусом уязвимости присутствует ли она в актуальной версии ПО или была закрыта соответствующими обновлениями и патчами. Данные об индивидуальных уязвимостях в совокупности с организованным хранением, функциями поиска по базе и автоматического получения уведомлений о новых обнаруженных уязвимостях могут быть полезны широкому кругу специалистов в области информационной безопасности — мы более подробно вернемся к этому вопросу в заключении статьи. Пока же отметим, что конец 90-х и начало 2000-х годов характеризовались появлением целого ряда каталогов и баз данных уязвимостей, поддержкой которых занимались самые разные, независимые друг от друга, организации. Среди них можно можно выделить несколько основных типов: официальные исследовательские организации и группы реагирования на инциденты, создаваемые на основе различных правительственных учреждений и научных заведений; некоммерческие организации, поддерживающие контакты как с независимыми исследователями по компьютерной безопасности, так и производителями ПО для координации усилий по поиску новых уязвимостей; некоммерческие организации, координирующие деятельность отдельных независимых исследователей в области информационной безопасности и имеющие собственный штат специалистов-энтузиастов; коммерческие организации, специализирующиеся на предоставлении услуг в области информационной безопасности и защиты информации; для данных организаций поддержка собственного реестра уязвимостей ПО — не только важный инструмент для собственной деятельности, но и публичная демонстрация компетенции специалистов компании. Появление и развитие независимых друг от друга баз данных и реестров уязвимостей породило известную проблему синхронизации информации между ними, как в части однозначной идентификации уязвимостей ссылаются ли эти две записи в разных источниках на одну и ту же или на разные уязвимости , так и в классификации и оценке уязвимостей, вызванных различиями в системах скорринга. Это создало дополнительную головную боль как для администраторов самих реестров уязвимостей, так и неудобство для их пользователей, и в конечном итоге привело к инициативе MITRE CVE, о которой будет рассказано в одном из последующих разделов. Реестр уязвимостей БДУ ФСТЭК России На территории Российской Федерации одной из основных организаций, отвечающих за обеспечение информационной безопасности в ключевых системах информационной инфраструктуры, включая компьютерные сети органов государственной власти и компьютерные сети критичных объектов инфраструктуры и предприятий, является Федеральная служба по техническому и экспортному контролю — ФСТЭК России.
К полномочиям данной организации, в числе прочего, относится лицензирование деятельности различных организаций по осуществлению мероприятий или оказанию услуг в области защиты государственной тайны, по созданию средств защиты информации, по технической защите конфиденциальной информации, а также по разработке и производству средств защиты конфиденциальной информации. Кроме того ФСТЭК России выдает сертификаты на различные средства защиты информации антивирусные средства, системы обнаружения вторжений, межсетевые экраны и аналогичные средства обеспечения информационной безопасности , которые прошли специальные проверки и допускаются для использования в информационных системах органов государственной власти и организаций с государственным участием. Данный реестр уязвимостей в первую очередь ориентирован на сбор и хранение информации об угрозах и уязвимостях ПО, используемого в государственных организациях Российской Федерации, включая информационные системы и системы управления критичными производственными процессами. Пополняется реестр ФСТЭК России путем мониторинга общедоступных источников информации — информационных бюллетеней российских и иностранных компаний, производящих ПО, а также реестров и информационных бюллетеней исследовательских организаций и компаний, предоставляющих услуги в области информационной безопасности. На конец августа 2018 года в базе данных БДУ ФСТЭК России содержалось чуть менее 19 тысяч записей, и реестр продолжает активно пополняться по мере публикации информации об уязвимостях в других общедоступных базах данных. Все хранящиеся в БДУ ФСТЭК России записи имеют единообразный формат и включают: текстовое описание уязвимости, дату обнаружения уязвимости, названия, версии и производителей уязвимого ПО, информацию о типе ошибки, классе уязвимости и текущем ее статусе потенциально возможная либо подтвержденная производителями ПО или независимыми исследователями уязвимость, устранена ли уязвимость в новых версиях ПО. Также записи содержат оценку критичности уязвимости и сопутствующий вектор CVSS, пометку о наличии известных готовых сценариев эксплуатации уязвимости и возможного результата эксплуатации уязвимости, указание уязвимых аппаратных платформ или операционных систем, список возможных методов противодействия уязвимости и ссылки на источники дополнительной информации по уязвимости включая идентификаторы данной уязвимости в иных реестрах и базах данных. Кроме того, пользовательский интерфейс для выборки из базы БДУ ФСТЭК России отличается большей гибкостью настроек поиска и фильтрации результатов в сравнении с интерфейсами указанных иностранных баз данных. Все содержимое реестра БДУ ФСТЭК России предоставляется для скачивания в форматах XLSX и XML, что обеспечивает получение информации как виде, удобном для обработки человеком посредством популярных офисных приложений семейства MS Excel , так и в машиночитаемом варианте для различных автоматизированных средств например, сканеров безопасности и систем обнаружения атак. Для подписки на обновления базы данных доступны каналы RSS и Atom.
Отметим, что некоммерческое использование и распространение материалов из БДУ ФСТЭК России доступно без ограничений, а применение полученных данных для различных коммерческих систем и продуктов возможно при согласовании с федеральной службой. Преимущественно данные записи описывают уязвимости ПО, созданного российскими компаниями, такими как, 1С или «Лаборатория Касперского» но есть и исключения из этого правила. Данное обстоятельство, а также удобный для человеческого восприятия формат и подробное описание различных аспектов уязвимости статус, наличие эксплойтов и т. Кроме того, поскольку реестр БДУ ФСТЭК России ориентирован на сбор и хранение информации об уязвимостях ПО, используемого в российских организациях и компаниях включая компании с государственным участием и бюджетные организации , отечественным производителям ПО и системным администраторам российских организаций разумно ориентироваться именно на данный реестр уязвимостей в процессах оценки информационной безопасности создаваемых программных продуктов и поддержания защищенного состояния своих компьютерных сетей. К возможным недостаткам БДУ ФСТЭК России можно отнести меньшее общее количество покрытых реестром уязвимостей в сравнении как с базами CVE List и NVD, так и с базами данных уязвимостей, созданных коммерческими компаниями , а также отсутствие какой-либо агрегации отдельных записей которая характерна для такой базы данных, как Vulnerability Notes Database. С другой стороны, следует понимать, что иностранные реестры известных уязвимостей зачастую содержат большое количество записей, мало полезных для практического применения, в частности: информацию об очень старых более 15 лет уязвимостях устаревшего ПО и информацию об уязвимостях редкого и мало распространенного как в России, так и в мире в целом программного обеспечения. Данный стандарт непосредственно определяет как формат идентификаторов и содержимого записей об отдельных обнаруженных уязвимостях, так и процесс резервирования идентификаторов для новых обнаруженных уязвимостей и пополнения соответствующих баз данных.
Или меня внезапно причислили к рупорам регулятора?
Спасибо, конечно, но после "Догмы" образ Метатрона вообще не импонирует... С одной стороны, "Угроза"! Короче, поглядим, что там будет в новой редакции Методики... Видимо под "смысловой нагрузкой сообщения в целом" имеется в виду "выражение законченной мысли", а, следовательно, под "семантикой" предлагается понимать "предложение". Вот почему в начале документов, как правило, приводят термины и определения сейчас понятия , чтобы через объяснение применяемых понятий широком смысле, узком смысле, каком-то уникальном смысле способствовать более точному пониманию смысла изложенного в документе текста в целом. А какие ещё бывают виды векторов кроме "базового"? Чем принципиальное описание отличается от не принципиального? Количеством листов 20 для всех?
Или для принципиального описания каждой УБИ будет определяться индивидуально? Кто это будет определять регулятор для всех или каждый на своем месте сам? А размер шрифта 12, 14 или 16? Интервал 1,5 или 1?... Уже говорил ранее, что изложенное вами объяснение УБИ через направление мне понятно.
Особенности банка данных угроз ФСТЭК России для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства; необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн, испытательным лабораториям и органам сертификации СЗИ; база существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы то есть это просто список без градации угроз по каким-либо параметрам.
Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС; получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации; дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать, что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО; если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК. К однозначным плюсам электронной базы можно отнести: постоянное включение новых уязвимостей, что дает возможность максимально обезопасить информационные системы от несанкционированного доступа; беспроблемный и бесплатный доступ; принятие заявок на пополнение Банка от разных категорий пользователей; упрощение процесса проработки актуальных угроз; наличие детальных сведений о потенциале нарушителя и прописанные характеристики, которые нарушаются при возникновении каждой УБ; наличие фильтров поиска — можно быстро найти угрозы по нескольким параметрам: наименованию слову или словосочетанию , источнику, последствиям реализации нарушению конфиденциальности, доступности, целостности ; возможность скачивания информации; детализация УБ — перейдя в паспорт угрозы, можно увидеть уникальный идентификатор, объекты воздействия, источники и т. К недостаткам можно отнести отсутствие опции группировки УБ с учетом структурно-функциональных параметров конкретной ИС и, как следствие, необходимость тратить массу времени на отсеивание «лишних» угроз из более чем двухсот, указанных в базе. Еще один минус заключается в сложности используемых формулировок.
Также записи содержат оценку критичности уязвимости и сопутствующий вектор CVSS, пометку о наличии известных готовых сценариев эксплуатации уязвимости и возможного результата эксплуатации уязвимости, указание уязвимых аппаратных платформ или операционных систем, список возможных методов противодействия уязвимости и ссылки на источники дополнительной информации по уязвимости включая идентификаторы данной уязвимости в иных реестрах и базах данных. Кроме того, пользовательский интерфейс для выборки из базы БДУ ФСТЭК России отличается большей гибкостью настроек поиска и фильтрации результатов в сравнении с интерфейсами указанных иностранных баз данных. Все содержимое реестра БДУ ФСТЭК России предоставляется для скачивания в форматах XLSX и XML, что обеспечивает получение информации как виде, удобном для обработки человеком посредством популярных офисных приложений семейства MS Excel , так и в машиночитаемом варианте для различных автоматизированных средств например, сканеров безопасности и систем обнаружения атак. Для подписки на обновления базы данных доступны каналы RSS и Atom. Отметим, что некоммерческое использование и распространение материалов из БДУ ФСТЭК России доступно без ограничений, а применение полученных данных для различных коммерческих систем и продуктов возможно при согласовании с федеральной службой. Преимущественно данные записи описывают уязвимости ПО, созданного российскими компаниями, такими как, 1С или «Лаборатория Касперского» но есть и исключения из этого правила. Данное обстоятельство, а также удобный для человеческого восприятия формат и подробное описание различных аспектов уязвимости статус, наличие эксплойтов и т. Кроме того, поскольку реестр БДУ ФСТЭК России ориентирован на сбор и хранение информации об уязвимостях ПО, используемого в российских организациях и компаниях включая компании с государственным участием и бюджетные организации , отечественным производителям ПО и системным администраторам российских организаций разумно ориентироваться именно на данный реестр уязвимостей в процессах оценки информационной безопасности создаваемых программных продуктов и поддержания защищенного состояния своих компьютерных сетей. К возможным недостаткам БДУ ФСТЭК России можно отнести меньшее общее количество покрытых реестром уязвимостей в сравнении как с базами CVE List и NVD, так и с базами данных уязвимостей, созданных коммерческими компаниями , а также отсутствие какой-либо агрегации отдельных записей которая характерна для такой базы данных, как Vulnerability Notes Database. С другой стороны, следует понимать, что иностранные реестры известных уязвимостей зачастую содержат большое количество записей, мало полезных для практического применения, в частности: информацию об очень старых более 15 лет уязвимостях устаревшего ПО и информацию об уязвимостях редкого и мало распространенного как в России, так и в мире в целом программного обеспечения. Данный стандарт непосредственно определяет как формат идентификаторов и содержимого записей об отдельных обнаруженных уязвимостях, так и процесс резервирования идентификаторов для новых обнаруженных уязвимостей и пополнения соответствующих баз данных. Уже в 2000 году инициатива MITRE по созданию единого стандарта для регистрации и идентификации обнаруженных уязвимостей ПО получила широкую поддержку со стороны ведущих производителей программного обеспечения и исследовательских организаций в области информационной безопасности. В настоящее время по данным на март 2018 года поддержкой и администрированием реестра уязвимостей CVE занимается группа из 84 организаций по всему миру, в число которых входят ведущие производители программного обеспечения, телекоммуникационного оборудования и интернет-сервисов, такие как Apple, Cisco, Facebook, Google, IBM, Intel, Microsoft, Oracle и ряд компаний, специализирующихся в области информационной безопасности, например, F5 Networks, McAfee, Symantec, «Лаборатория Касперского» и др. При этом, хотя сами базы данных различаются на уровне функциональных возможностей, предоставляемых пользователям, сами списки записей об уязвимостях фактически идентичны друг другу. Формально CVE List выступает изначальным источником записей для базы данных NVD, а специалисты, отвечающие за поддержку базы NVD, производят уточненный анализ и сбор доступной информации по уязвимостям, зарегистрированным в CVE List например, собирают ссылки на сторонние источники информации об уязвимости и мерах по ее устранению или предотвращению эксплуатации. Для каждой из обнаруженных уязвимостей запись в базе содержит краткое описание типа и причин уязвимости, уязвимые версии ПО, оценку критичности уязвимости в соответствии со стандартом CVSS Common Vulnerability Scoring System и ссылки на внешние источники с информацией об уязвимости — чаще всего, таковыми выступают информационные бюллетени на сайтах производителей программного обеспечения или исследовательских организаций. Также возможно автоматическое получение обновлений в машиночитаемом виде через специальный data feed CVE Change Log он позволяет как отслеживать появление новых идентификаторов CVE, так и изменения в записях для уже существующих. При обнаружении новой уязвимости производителем ПО или исследовательской организацией или подтверждении наличия уязвимости вендором ПО в ответ на сообщение от частных исследователей или организаций, не входящих в CVE Numbering Authorities под нее оперативно регистрируется новый идентификатор CVE и создается запись в базе, после чего происходит периодическое обновление информации. При этом уникальность регистрируемого идентификатора обеспечивается иерархической структурой CNAs как показано на рисунке , в которой корневые организации Root CNA делят и распределяют между подчиненными организациями Sub CNA диапазон доступных в этом году идентификаторов CVE. Каждая из соответствующих подчиненных организаций в свою очередь распоряжается предоставленным диапазоном идентификаторов для создания записей об обнаруженных уязвимостях в своих собственных продуктах, либо обнаруженных уязвимостях в продуктах третьей стороны, при условии, что она не является участником CVE Numbering Authorities. Рисунок 1: Иерархическая структура CNAs Сильной стороной самого стандарта CVE является его повсеместная поддержка в современных программных продуктах и сервисах, направленных на обеспечение информационной безопасности. Некоторым естественным ограничением баз данных CVE List и NVD является отсутствие в записях об уязвимостях какой-либо информации о точном месте локализации уязвимости в коде уязвимого ПО и возможных векторах атак, посредством которых возможна эксплуатация данной уязвимости. В некоторых случаях данная информация может быть найдена по ссылкам на внешние ресурсы, однако в большинстве случаев производители и вендоры ПО избегают публикации данной информации, причем не только на период разработки и внедрения патчей, закрывающих обнаруженную уязвимость, но и в последующем. Частично такая политика объясняется нежеланием участников CVE Numbering Authorities предоставлять подобную информацию потенциальным злоумышленникам, особенно в свете того, что уязвимое программное обеспечение может быть широко распространено по всему миру, а эксплуатирующие его организации часто не имеют возможностей или не придают должного значения своевременной установке обновлений. Иным же из подобных инициатив в области информационной безопасности, например, базе данных уязвимостей OSVDB Open Sourced Vulnerability Database — повезло гораздо меньше. База OSVDB была запущена в 2004 году, по результатам конференций по компьютерной безопасности Blackhat и DEF CON и строилась вокруг ключевой идеи: организовать такой реестр уязвимостей, который содержал бы полную и подробную информацию обо всех обнаруженных уязвимостях, и поддержка которого не была бы аффилирована ни с одним из производителей программного обеспечения. Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее специалисты занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации.
Особенности банка данных угроз ФСТЭК России
- Уязвимость BDU:2023-00291
- Возможности
- Возможности
- Код Безопасности - лидер в области средств защиты информации
Читайте также
- Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности
- Новый раздел банка данных угроз: что важно знать
- 11–13 февраля 2025
- Сканеры уязвимостей сети — обзор мирового и российского рынков
Новая методика оценки УБИ — Утверждено ФСТЭК России
Продлен сертификат соответствия ФСТЭК России №3509 на Enterprise Security Suite. В течение 2015 года ФСТЭК России планирует осуществлять мониторинг и анализ функционирования банка данных угроз безопасности. Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (). еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России, содержит более 45 000 проверок. Традиционно ФСТЭК России организовал конференцию «Актуальные вопросы защиты информации», а «Конфидент» выступил Генеральным партнером. ПО для хранения и обработки данных Tarantool успешно прошло испытания в системе сертификации ФСТЭК России.
Банк угроз ФСТЭК: использовать нельзя игнорировать
Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS6 V3 или V3.1, размещенного в БДУ ФСТЭК России7. О банке данных угроз безопасности информации ФСТЭК России регулярно пишут разные авторы. Поддержка БДУ ФСТЭК России и других сторонних баз уязвимостей.