Журнал "Information Security/ Информационная безопасность" #1, 2024

l ПО с открытым исходным кодом, в том числе встроенного или в составе репозиториев отечественных ОС. 2. Сравнивать результаты сканирова- ния в разных режимах: агент/безагент, с привилегированными учетными дан- ными/без учетных данных. 3. Использовать сканеры с базой уязвимостей в открытом формате OVAL, что облегчит разбор спорных детектов. Оценка уязвимостей Оценки по CVSS по базовым метрикам (Base Score), полученные из разных источников, могут существенно разли- чаться, часто эта ситуация проявляется в случаях уязвимостей ядра Linux. Экс- перты при формировании универсаль- ного описания могут повышать ее оцен- ки, разработчики, наоборот, понижать. Рассмотрим конкретную уязвимость BDU:2022-05539 (CVE-2022-39842): RCE- уязвимость функции pxa3xx_gcu_write ядра операционной системы Linux. Ее CVSS v.3 Base score в БДУ ФСТЭК России равен 9.8 (критический), а раз- работчики ОС оценили критичность этой уязвимости в своих дистрибутивах в широком диапазоне с преобладанием средних значений 6.1–6.5. Существует единство мнений, что в реальных условиях эксплуатации оценка по CVSS Base Score должна пересчиты- ваться. Большим шагом в этом направле- нии является утвержденная ФСТЭК Рос- сии Методика оценки уровня критичности уязвимостей…, в то же время ее приме- нение может быть технически сложным. Оценки, связанные с определением доли уязвимых компонентов разного типа от общего числа, позволяют вполне досто- верно оценить защищенность ИС в сред- нем, но могут серьезно понизить оценку единичной, но сверхкритичной RCE-уязви- мости на сверхважном активе. Кроме того, для определения критичности по методике ФСТЭК нужно "в моменте" полу- чить результаты сканирования всей ИС – в больших сетях это достаточно сложно, есть проблема устаревания результатов сканирования, что опять-таки может при- вести к неверным оценкам. В целом многие методики оценки уязвимостей, реализованные в том числе и в некоторых сканерах (VM-решениях), – это "надстройки над CVSS", в которых заложена концепция усреднения субъ- ективных экспертных оценок отдельных метрик CVSS, которая потенциально может привести к пониженной оценке уязвимостей с большими возможностями эксплуатации. Общая рекомендация в оценке кри- тичности звучит так: не ограничиваться только интегральной оценкой CVSS, но учитывать и отдельные метрики CVSS, другие атрибуты уязвимостей. Наиболее правильным будет формирование опре- деления критичности на основе анализа рисков и угроз, связанных с эксплуата- цией уязвимостей. Одним из простых и доступных вари- антов переопределения оценки CVSS является ее пересчет на основе весовых коэффициентов, основанных на типе уязвимости (варианте эксплуатации). В частности, многочисленные эксперт- ные "топы" (списки часто используемых уязвимостей) позволяют установить сле- дующий рейтинг типов уязвимостей. 1. Remote Code Execution (удаленное выполнение кода). 2. Elevation of Privilege (повышение привилегий). 3. Authentication Bypass (обход аутен- тификации). 4. Security Feature Bypass (обход функ- ций безопасности). Существуют более сложные матема- тические модели и открытые проекты, такие как Vulristics, которые производят оценку уязвимостей на основе общедо- ступной информации об их атрибутах и эксплойтах. Установка приоритетов устранения Многие эксперты отмечают, что оценка CVSS и "границы" категорий критичности установлены таким образом, что для большого количества уязвимостей опре- деляется критический или высокий уро- вень, особенно это характерно, когда оценка производится по СVSS v.2. В частности, на дату публикации мате- риала в БДУ ФСТЭК России больше половины (55,9%) всех опубликованных уязвимостей имеет критическую и высо- кую степень опасности. Это приводит к тому, что приоритетному исправлению могут подлежать большинство детекти- рованных уязвимостей, что не выглядит логичным. В то же время если мы проанализиру- ем списки наиболее часто эксплуати- руемых уязвимостей, например Top Rou- tinely Exploited Vulnerabilities (CSA), Qualys Top 20 Most Exploited Vulnerabilities, Kaspersky threads, то увидим, что в них с регулярным постоянством попадают достаточно "старые" уязвимости не с самой высокой оценкой по Base Score, например CVE-2017-11882: Microsoft Office Memory Corruption Vulnerability, CVE-2017- 8570: Microsoft Office Remote Code Execution Vulnerability, кото- рые имеют Base Score = 7.8. Таким образом, целесообразно допол- нить основанный на CVSS принцип прио- ритизации уязвимостей дополнительны- ми правилами, смысл которых будет заключаться в попытке выявления наи- более "эксплуатабельных" уязвимостей. Сканеры (VM-решения) и экспертные базы предоставляют достаточное коли- чество атрибутов уязвимостей для орга- низации подобного рода фильтрации. Примером может являться правило: критической считать любую уязвимость со следующими атрибутами: l тип уязвимости – Remote Code Execu- tion, Elevation of Privilege, Authentication Bypass; l CVSS вектор атаки (AV) = N (сетевой); l CVSS влияние на другие компоненты системы (S) = С (оказывает); l CVSS доступность средств эксплуата- ции (E) = H (высокая). В завершение можно отметить тенден- цию в западных VM-решениях, которые все больше становятся продуктами "для узкого круга лиц". При декларируемом выборе варианта приоритизации: с высо- ким рейтингом CVSS, с наиболее доступ- ными эксплойтами, на основании прогно- зирования атак, нейронных сетей и т.д., модели оценки уязвимостей в них скрыты, списки наиболее критичных уязвимостей приводятся без обоснования. Кроме того, включение функционала VM только в доро- гие Enterprise-редакции или лицензионные бандлы серьезно ограничивает их приме- нение даже на внутренних рынках. В России, с ее бурно растущей номен- клатурой отечественного ПО, форми- рующейся культурой безопасной разра- ботки, мы должны стремиться к другому результату – внедрению VM в макси- мально возможное число организаций на основе использования отечественных сканеров с открытыми базами проверок и метриками оценки и приоритизации уязвимостей, а также активной и коор- динирующей роли регулятора в этом процессе. l • 25 Управление Уязвимостями www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АЛТЭКС-СОФТ см. стр. 70 NM Реклама Изображение: АЛТЭКС-СОФТ