База данных уязвимостей

База данных уязвимостей (ББД) — это платформа, предназначенная для сбора, хранения и распространения информации об обнаруженных уязвимостях компьютерной безопасности . В базе данных обычно описывается выявленная уязвимость, оценивается потенциальное влияние на затронутые системы, а также любые обходные пути или обновления для устранения проблемы. VDB присвоит уникальный идентификатор каждой каталогизированной уязвимости, например, номер (например, 123456) или буквенно-цифровое обозначение (например, VDB-2020-12345). Информация в базе данных может быть доступна через веб-страницы, экспорт или API . VDB может предоставлять информацию бесплатно, за плату или за их комбинацию.

История

Первой базой данных об уязвимостях была «Исправленные ошибки безопасности в Multics», опубликованная 7 февраля 1973 года Джеромом Х. Зальцером . Он описал этот список как « список всех известных способов, с помощью которых пользователь может сломать или обойти механизмы защиты Multics ». ^[1] Первоначально этот список сохранялся в некоторой степени конфиденциальным с целью сохранения подробностей об уязвимостях до тех пор, пока не будут доступны решения. Опубликованный список содержал две локальные уязвимости повышения привилегий и три локальные атаки типа «отказ в обслуживании». ^[2]

Типы баз данных уязвимостей

Базы данных основных уязвимостей, такие как база данных ISS X-Force, база данных Symantec/SecurityFocus BID и база данных уязвимостей с открытым исходным кодом (OSVDB). ^[а] собрать широкий спектр публично раскрытых уязвимостей, включая общие уязвимости и риски (CVE). Основная цель CVE, управляемая MITRE , — попытаться объединить общедоступные уязвимости и присвоить им уникальный идентификатор стандартизованного формата. ^[3] Многие базы данных уязвимостей обрабатывают полученные данные от CVE и проводят дальнейшее исследование, предоставляя оценки риска уязвимостей, рейтинги воздействия и необходимые обходные пути. В прошлом CVE имел первостепенное значение для объединения баз данных уязвимостей, чтобы можно было делиться критическими исправлениями и отладками, чтобы запретить хакерам доступ к конфиденциальной информации в частных системах. ^[4] Национальная база данных уязвимостей (NVD), управляемая Национальным институтом стандартов и технологий (NIST), работает отдельно от базы данных CVE, управляемой MITRE, но включает только информацию об уязвимостях из CVE. NVD служит дополнением к этим данным, предоставляя оценку рисков общей системы оценки уязвимостей (CVSS) и общего перечисления платформ данные (CPE).

База данных уязвимостей с открытым исходным кодом предоставляет точный, технический и объективный индекс безопасности уязвимостей. В обширной базе данных зарегистрировано более 121 000 уязвимостей. ОСВБД была основана в августе 2002 года и запущена в марте 2004 года. На начальном этапе вновь выявленные уязвимости исследовались участниками сайта, а пояснения подробно излагались на сайте. Однако по мере того, как потребность в этой услуге росла, потребность в преданном своему делу персонале привела к созданию Фонда открытой безопасности (OSF), который был основан как некоммерческая организация в 2005 году для финансирования проектов безопасности, и в первую очередь OSVDB. ^[5] ОСВДБ закрылась в апреле 2016 года. ^[6]

США Национальная база данных уязвимостей — это комплексная база данных уязвимостей кибербезопасности, созданная в 2005 году, в которой сообщается о CVE. ^[7] NVD — это основной справочный инструмент по кибербезопасности как для частных лиц, так и для отраслей, предоставляющий информационные ресурсы о текущих уязвимостях. В ПНВ хранится более 100 000 записей. Подобно OSVDB, NVD публикует рейтинги воздействия и классифицирует материалы в индекс, чтобы предоставить пользователям понятную систему поиска. ^[8] В других странах есть свои собственные базы данных уязвимостей, такие как Китайская национальная база данных уязвимостей и Российская база данных угроз безопасности данных .

Различные коммерческие компании также поддерживают свои собственные базы данных уязвимостей, предлагая клиентам услуги по доставке новых и обновленных данных об уязвимостях в машиночитаемом формате, а также через веб-порталы. Примеры включают Exploit Observer от ARP Syndicate, DeepSight от Symantec. ^[9] канал данных портала и уязвимостей, менеджер уязвимостей Secunia (приобретенный Flexera) ^[10] и служба разведки уязвимостей Accenture. ^[11] (ранее iDefense).

Эксплойт-наблюдатель ^[12] использует свою систему агрегирования данных об уязвимостях и эксплойтах (VEDAS) для сбора эксплойтов и уязвимостей из широкого спектра глобальных источников, включая китайские и российские базы данных. ^[13]

Базы данных уязвимостей советуют организациям разрабатывать, расставлять приоритеты и выполнять исправления или другие меры по устранению критических уязвимостей. Однако это часто может привести к созданию дополнительных уязвимостей, поскольку исправления создаются в спешке, чтобы предотвратить дальнейшее использование системы и нарушения. В зависимости от уровня пользователя или организации они гарантируют соответствующий доступ к базе данных уязвимостей, которая предоставляет пользователю информацию об известных уязвимостях, которые могут их затронуть. Ограничение доступа для отдельных лиц объясняется тем, что хакеры не могут быть осведомлены об уязвимостях корпоративных систем, которые потенциально могут быть использованы в дальнейшем. ^[14]

Использование баз данных уязвимостей

Базы данных уязвимостей содержат обширный набор выявленных уязвимостей. Однако немногие организации обладают опытом, персоналом и временем для проверки и устранения всех потенциальных уязвимостей системы, поэтому оценка уязвимостей — это метод количественного определения серьезности нарушения системы. В базах данных уязвимостей существует множество методов оценки, таких как US-CERT и шкала анализа критических уязвимостей Института SANS , но общая система оценки уязвимостей (CVSS) является преобладающим методом для большинства баз данных уязвимостей, включая OSVDB, vFeed. ^[15] и ПНВ. CVSS основан на трех основных показателях: базовом, временном и экологическом, каждый из которых обеспечивает рейтинг уязвимости. ^[16]

База

Эта метрика охватывает неизменные свойства уязвимости, такие как потенциальное воздействие раскрытия конфиденциальной информации, доступность информации и последствия безвозвратного удаления информации.

Временной

Временные метрики обозначают изменчивый характер уязвимости, например, вероятность возможности ее использования, текущее состояние нарушения системы и разработку любых обходных путей, которые могут быть применены. ^[17]

Относящийся к окружающей среде

Этот аспект CVSS оценивает потенциальные потери отдельных лиц или организаций из-за уязвимости. Кроме того, в нем подробно описывается основная цель уязвимости, начиная от персональных систем и заканчивая крупными организациями, а также количество потенциально затронутых лиц. ^[18]

Сложность использования различных систем оценки заключается в том, что нет единого мнения о серьезности уязвимости, поэтому разные организации могут упускать из виду критические уязвимости системы. Ключевое преимущество стандартизированной системы оценки, такой как CVSS, заключается в том, что опубликованные оценки уязвимостей можно быстро оценивать, отслеживать и устранять. Как организации, так и отдельные лица могут определить личное влияние уязвимости на свою систему. Выгоды, получаемые от баз данных уязвимостей для потребителей и организаций, экспоненциальны, поскольку информационные системы становятся все более встроенными, наша зависимость и доверие к ним растут, равно как и возможности для эксплуатации данных. ^[19]

Распространенные уязвимости безопасности, перечисленные в базах данных уязвимостей

Ошибка первоначального развертывания

Хотя функциональность базы данных может показаться безупречной, без тщательного тестирования незначительные недостатки могут позволить хакерам проникнуть в систему кибербезопасности системы. Часто базы данных публикуются без строгого контроля безопасности, поэтому конфиденциальные материалы легко доступны. ^[20]

SQL-инъекция

Атаки на базы данных являются наиболее распространенной формой нарушений кибербезопасности, зафиксированных в базах данных об уязвимостях. SQL- и NoSQL-инъекции проникают в традиционные информационные системы и платформы больших данных соответственно и интерполируют вредоносные заявления, предоставляя хакерам нерегулируемый доступ к системе. ^[21]

Неправильно настроенные базы данных

Установленные базы данных обычно не могут реализовать важные исправления, предложенные базами данных уязвимостей, из-за чрезмерной рабочей нагрузки и необходимости исчерпывающего тестирования, чтобы гарантировать, что исправления обновляют уязвимость дефектной системы. Операторы баз данных концентрируют свои усилия на устранении основных недостатков системы, что дает хакерам полный доступ к системе посредством игнорируемых исправлений. ^[22]

Неадекватный аудит

Все базы данных требуют, чтобы контрольные записи фиксировали случаи изменения данных или доступа к ним. Когда системы создаются без необходимой системы аудита, использование уязвимостей системы сложно выявить и устранить. Базы данных об уязвимостях пропагандируют важность отслеживания аудита как средства сдерживания кибератак. ^[23]

Защита данных важна для любого бизнеса, поскольку личная и финансовая информация является ключевым активом, а хищение конфиденциальных материалов может дискредитировать репутацию фирмы. Реализация стратегий защиты данных необходима для защиты конфиденциальной информации. Некоторые придерживаются мнения, что именно первоначальная апатия разработчиков программного обеспечения, в свою очередь, приводит к необходимости существования баз данных уязвимостей. Если бы системы разрабатывались с большей тщательностью, они могли бы быть неуязвимы для SQL- и NoSQL-инъекций, что сделало бы ненужными базы данных об уязвимостях. ^[24]

См. также

Примечания

^ ОСВДБ была закрыта в апреле 2016 года; их место занял платный сервис VulnDB

Ссылки

^ Зальцер, Дж. Х. (7 февраля 1973 г.). «Устраненные ошибки безопасности в Multics» (PDF) . Массачусетский технологический институт . S2CID 15487834 . Архивировано (PDF) оригинала 26 февраля 2024 года . Проверено 21 мая 2024 г.
^ «УСТРАНЕННЫЕ ОШИБКИ БЕЗОПАСНОСТИ В MULTICS» (PDF) . Архивировано (PDF) из оригинала 26 февраля 2024 г. Проверено 21 мая 2024 г.
^ «Распространенные уязвимости и риски (CVE)» . Cve.mitre.org . Архивировано из оригинала 20 августа 2011 года . Проверено 1 ноября 2015 г.
^ Юн-Хуа, Гу; Пей, Ли (2010). «Проектирование и исследование базы данных уязвимостей». 2010 Третья Международная конференция по информации и вычислительной технике . стр. 209–212. дои : 10.1109/ICIC.2010.147 . ISBN 978-1-4244-7081-5 . S2CID 13308368 .
^ Карлссон, Матиас (2012). История редактирования национальной базы данных уязвимостей и аналогичных баз данных уязвимостей (PDF) (Диссертация). Архивировано (PDF) из оригинала 14 ноября 2022 г. Проверено 21 мая 2024 г.
^ «ОСВДБ отключена навсегда» . 7 апреля 2016 г. Архивировано из оригинала 28 января 2021 г. Проверено 25 января 2021 г.
^ «Объяснение национальной базы данных уязвимостей» . resources.whitesourcesoftware.com . Архивировано из оригинала 21 мая 2024 г. Проверено 1 декабря 2020 г.
^ «Основные ресурсы ПНВ» . Национальная база данных уязвимостей . Архивировано из оригинала 6 апреля 2018 года . Проверено 1 ноября 2015 г.
^ «Технический интеллект DeepSight | Symantec» . Симантек . Архивировано из оригинала 24 ноября 2018 г. Проверено 5 декабря 2018 г.
^ «Менеджер уязвимостей Secunia» . Архивировано из оригинала 6 декабря 2018 г. Проверено 5 декабря 2018 г.
^ «Информация об уязвимостях Accenture» (PDF) . Архивировано (PDF) из оригинала 6 декабря 2018 г. Проверено 5 декабря 2018 г.
^ «Аналитика эксплойтов и уязвимостей от ARP Syndicate» . Эксплойт наблюдатель . Проверено 31 мая 2024 г.
^ Сингх, Аюш (18 мая 2024 г.). «Около 1000 уязвимостей кибербезопасности, которые можно использовать, которые MITRE и NIST «могли» пропустить, но не Китай или Россия» . Блог ARP Syndicate . Проверено 31 мая 2024 г.
^ Эриксон, Дж (2008). Хакерство - Искусство эксплуатации (1-е изд.). Сан-Франциско: Пресса без крахмала. ISBN 978-1-59327-144-2 .
^ vFeed. «VFeed, связанная с уязвимостями и аналитикой угроз» . Архивировано из оригинала 27 октября 2016 г. Проверено 27 октября 2016 г.
^ Первый. «Общая система оценки уязвимостей (CVSS-SIG)» . Архивировано из оригинала 8 марта 2022 года . Проверено 1 ноября 2015 г.
^ Мелл, Питер; Скарфон, Карен; Романоский, Саша (ноябрь 2006 г.). «Общая система оценки уязвимостей». Безопасность IEEE Конфиденциальность . 4 (6): 85–89. дои : 10.1109/MSP.2006.145 . S2CID 14690291 .
^ Хайден, Л. (2010). Метрики ИТ-безопасности (1-е изд.). Нью-Йорк: МакГроу Хилл.
^ Питер Мелл; Карен Скарфон; Саша Романоски (ноябрь – декабрь 2006 г.). «Общая система оценки уязвимостей» (PDF) . Безопасность и конфиденциальность IEEE . Том. 4, нет. 6. С. 85–88. дои : 10.1109/MSP.2006.145 . Архивировано (PDF) из оригинала 25 февраля 2024 г. Получено 21 мая 2024 г. - через Форум групп реагирования на инциденты и безопасности.
^ «Наиболее значительные риски 2015 года и способы их смягчения» (PDF) . Имперва . Архивировано (PDF) из оригинала 30 сентября 2015 г. Проверено 2 ноября 2015 г.
^ Натараджан, Канчана; Субрамани, Сарала (2012). «Создание бесплатного безопасного алгоритма внедрения SQL-кода для обнаружения и предотвращения атак с использованием SQL-инъекций» . Технология Процедиа . 4 : 790–796. дои : 10.1016/j.protcy.2012.05.129 .
^ «База данных уязвимостей - 1000 главных недостатков». Сетевая безопасность . 8 (6). 2001.
^ Афьюни, Х (2006). Безопасность и аудит баз данных (1-е изд.). Бостон: Технология курса Томсона.
^ Сирохи, Д. (2015). Трансформационные аспекты киберпреступности . Индия: Vij Books. стр. 54–65.

[3] ОСВДБ была закрыта в апреле 2016 года; их место занял платный сервис VulnDB

[1] Зальцер, Дж. Х. (7 февраля 1973 г.). «Устраненные ошибки безопасности в Multics» (PDF) . Массачусетский технологический институт . S2CID 15487834 . Архивировано (PDF) оригинала 26 февраля 2024 года . Проверено 21 мая 2024 г.

[2] «УСТРАНЕННЫЕ ОШИБКИ БЕЗОПАСНОСТИ В MULTICS» (PDF) . Архивировано (PDF) из оригинала 26 февраля 2024 г. Проверено 21 мая 2024 г.

[4] «Распространенные уязвимости и риски (CVE)» . Cve.mitre.org . Архивировано из оригинала 20 августа 2011 года . Проверено 1 ноября 2015 г.

[5] Юн-Хуа, Гу; Пей, Ли (2010). «Проектирование и исследование базы данных уязвимостей». 2010 Третья Международная конференция по информации и вычислительной технике . стр. 209–212. дои : 10.1109/ICIC.2010.147 . ISBN 978-1-4244-7081-5 . S2CID 13308368 .

[6] Карлссон, Матиас (2012). История редактирования национальной базы данных уязвимостей и аналогичных баз данных уязвимостей (PDF) (Диссертация). Архивировано (PDF) из оригинала 14 ноября 2022 г. Проверено 21 мая 2024 г.

[7] «ОСВДБ отключена навсегда» . 7 апреля 2016 г. Архивировано из оригинала 28 января 2021 г. Проверено 25 января 2021 г.

[8] «Объяснение национальной базы данных уязвимостей» . resources.whitesourcesoftware.com . Архивировано из оригинала 21 мая 2024 г. Проверено 1 декабря 2020 г.

[9] «Основные ресурсы ПНВ» . Национальная база данных уязвимостей . Архивировано из оригинала 6 апреля 2018 года . Проверено 1 ноября 2015 г.

[10] «Технический интеллект DeepSight | Symantec» . Симантек . Архивировано из оригинала 24 ноября 2018 г. Проверено 5 декабря 2018 г.

[11] «Менеджер уязвимостей Secunia» . Архивировано из оригинала 6 декабря 2018 г. Проверено 5 декабря 2018 г.

[12] «Информация об уязвимостях Accenture» (PDF) . Архивировано (PDF) из оригинала 6 декабря 2018 г. Проверено 5 декабря 2018 г.

[13] «Аналитика эксплойтов и уязвимостей от ARP Syndicate» . Эксплойт наблюдатель . Проверено 31 мая 2024 г.

[14] Сингх, Аюш (18 мая 2024 г.). «Около 1000 уязвимостей кибербезопасности, которые можно использовать, которые MITRE и NIST «могли» пропустить, но не Китай или Россия» . Блог ARP Syndicate . Проверено 31 мая 2024 г.

[15] Эриксон, Дж (2008). Хакерство - Искусство эксплуатации (1-е изд.). Сан-Франциско: Пресса без крахмала. ISBN 978-1-59327-144-2 .

[16] vFeed. «VFeed, связанная с уязвимостями и аналитикой угроз» . Архивировано из оригинала 27 октября 2016 г. Проверено 27 октября 2016 г.

[17] Первый. «Общая система оценки уязвимостей (CVSS-SIG)» . Архивировано из оригинала 8 марта 2022 года . Проверено 1 ноября 2015 г.

[18] Мелл, Питер; Скарфон, Карен; Романоский, Саша (ноябрь 2006 г.). «Общая система оценки уязвимостей». Безопасность IEEE Конфиденциальность . 4 (6): 85–89. дои : 10.1109/MSP.2006.145 . S2CID 14690291 .

[19] Хайден, Л. (2010). Метрики ИТ-безопасности (1-е изд.). Нью-Йорк: МакГроу Хилл.

[20] Питер Мелл; Карен Скарфон; Саша Романоски (ноябрь – декабрь 2006 г.). «Общая система оценки уязвимостей» (PDF) . Безопасность и конфиденциальность IEEE . Том. 4, нет. 6. С. 85–88. дои : 10.1109/MSP.2006.145 . Архивировано (PDF) из оригинала 25 февраля 2024 г. Получено 21 мая 2024 г. - через Форум групп реагирования на инциденты и безопасности.

[21] «Наиболее значительные риски 2015 года и способы их смягчения» (PDF) . Имперва . Архивировано (PDF) из оригинала 30 сентября 2015 г. Проверено 2 ноября 2015 г.

[22] Натараджан, Канчана; Субрамани, Сарала (2012). «Создание бесплатного безопасного алгоритма внедрения SQL-кода для обнаружения и предотвращения атак с использованием SQL-инъекций» . Технология Процедиа . 4 : 790–796. дои : 10.1016/j.protcy.2012.05.129 .

[23] «База данных уязвимостей - 1000 главных недостатков». Сетевая безопасность . 8 (6). 2001.

[24] Афьюни, Х (2006). Безопасность и аудит баз данных (1-е изд.). Бостон: Технология курса Томсона.

[25] Сирохи, Д. (2015). Трансформационные аспекты киберпреступности . Индия: Vij Books. стр. 54–65.

[1]

[2]

[а]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]