Насколько «дыра» широка?

Анализируем риски, связанные с наличием уязвимостей в информационной системе...

Сергей Гордейчик

Анализируем риски, связанные с наличием уязвимостей в информационной системе

Информация о степени риска, связанной с тем или иным уязвимым местом в компьютерной системе, является важным параметром для выполнения ряда повседневных задач специалиста по информационной безопасности. На основании этих данных проводится анализ рисков, связанных с уязвимостью в конкретной сети или информационной системе, и соответственно принимается решение о целесообразности и оперативности устранения проблемы. В случае подозрения на возникновение инцидента в зависимости от степени риска уязвимости оцениваются средства, выделяемые для его расследования. При настройке системы обнаружения атак или сканера системы безопасности специалист по степени риска уязвимости принимает решение об использовании или отключении сигнатуры с целью повышения производительности или снижения уровня ложных срабатываний и т. д. и т. п.

Системы оценки уязвимостей

Как правило, степень риска присваивается уязвимости производителем системы, в которой изъян был обнаружен, либо компанией, выпускающей средства защиты (сканеры уязвимостей, системы обнаружения атак и т. д.). В этом случае используется привычная по правилам дорожного движения схема: низкая степень риска (зеленый), средняя степень риска (желтый), высокая степень риска (красный). Иногда выделяется дополнительный, четвертый уровень риска — критические уязвимости.

Такого подхода придерживаются многие производители, например, Microsoft в своих уведомлениях об обновлениях программного обеспечения использует четыре уровня критичности уязвимостей, приведенные в табл. 1.

Этот простой подход не всегда удовлетворяет требованиям администратора. Степень риска, связанная с уязвимостью, с течением времени может меняться. Одно дело — критическая уязвимость, о деталях эксплуатации которой известно только специалистам компании-разработчика, а другое — важная уязвимость, программа использования которой общедоступна.

Чтобы учесть факторы, связанные с вероятностью эксплуатации уязвимости, можно ввести в стандартную «светофорную» модель дополнительные условия. Например, SANS при анализе уязвимостей (SANS Critical Vulnerability Analysis) присваивает критический уровень тем уязвимостям, для которых существует общедоступная программа, использующая эти уязвимости, или использование которых не требует специальных навыков. В противном случае даже потенциально весьма опасная проблема будет иметь высокий, а не критический уровень риска. Кроме простоты эксплуатации при оценке уязвимости по методике SANS учитывается распространенность уязвимых систем.

Группа PSS компании Microsoft применяет методику оценки риска (см. табл. 2), связанного с вредоносным программным обеспечением (т. е., по сути, с атаками, использующими уязвимость), учитывающую наличие обновления, устраняющего ошибку, количество векторов, которые может применять атакующий, распространенность уязвимых систем.

Например, «критически опасный червь» должен распространяться через лазейку в программном обеспечении Microsoft, для которой отсутствует обновление, используя два и более вектора атаки в широко распространенных системах.

Перечисленные методы дают трех- или четырехуровневую оценку, что затрудняет их применение при качественном или количественном анализе рисков. Методика, используемая US-CERT, предполагает присвоение уязвимости степени риска в виде весового значения от 0 до 180, в зависимости от приведенных ниже критериев.

• Насколько доступна информация об уязвимости?
• Зарегистрированы ли случаи использования уязвимости?
• Подвержены ли опасности критичные для сети Internet-узлы?
• Какое количество узлов сети уязвимо?
• Каковы последствия использования уязвимости?
• Насколько легко воспользоваться уязвимостью?
• Каковы условия использования уязвимости?

К сожалению, связь между условиями, их возможными весами и результирующей степенью риска формально не определена, что оставляет большой простор для расхождений в оценках одной и той же уязвимости. Кроме того, перечисленные методики дают значение риска для Internet в целом, а не для конкретной информационной системы или корпоративной сети.

Резюмируя сказанное, можно сформулировать требования к методике оценки уязвимости следующим образом:

• должна присутствовать возможность оценки степени риска уязвимости в зависимости от возможности ее эксплуатации;
• результатом применения методики должно быть числовое значение, подходящее для использования при анализе рисков;
• методика должна иметь возможность адаптации к конкретной информационной системе;
• параметры, используемые при расчете, должны допускать минимум разночтений;
• механизм расчета результирующего значения должен быть прост и понятен.

Common Vulnerability Scoring System

Подобные соображения были заложены в основу общей системы оценки уязвимостей Common Vulnerability Scoring System (CVSS). Система CVSS предполагает разбиение характеристик уязвимости на три группы: базовые, временные и связанные со средой. Для каждой из групп определен четкий набор параметров, имеющих предопределенный набор возможных значений. В результате применения методики для каждой из групп получается число в диапазоне от нуля до десяти.

Расчет базовых характеристик

Базовые характеристики уязвимости включают параметры, не изменяющиеся с течением времени. Сюда входят такие параметры, как вектор эксплуатации (Access Vector), сложность использования (Access Complexity), требования к аутентификации (Authentication), последствия использования уязвимости с точки зрения целостности, доступности или конфиденциальности (CIA Impact) с учетом подверженности уязвимости различных свойств информации (Impact Bias).

При оценке вектора эксплуатации определяется, является ли данная уязвимость локальной (Local) или удаленной (Remote). Сложность доступа может быть высокой: (High) (например, требуется вмешательство пользователя) или низкой (Low). Параметр «аутентификация» может принимать два значения: для использования уязвимости требуется аутентификация (Required) либо не требуется (Not Required). В том случае если уязвимость может эксплуатироваться только локально, но не требует дополнительной аутентификации, значение данного критерия приравнивается к единице (аутентификации не требуется).

При оценке последствий эксплуатации учитывается возможное влияние уязвимости на целостность, доступность и конфиденциальность по трехбалльной шкале: влияние отсутствует (None), частичное влияние (Partial), полное нарушение одного из свойств информационной системы (Complete).

Параметр Impact Bias может принимать одно из трех значений:

Normal — уязвимость в равной степени распространяется на все свойства информационной системы;

Confidentiality — уязвимость в большей степени затрагивает конфиденциальность;

Integrity — уязвимость в большей степени затрагивает целостность;

Availability — уязвимость в большей степени затрагивает доступность.

Данный параметр введен для возможности назначения приоритетов того или иного свойства информационной системы с точки зрения выполняемых системой функций. Например, если уязвимость в шифрующей файловой системе в равной степени затрагивает (полностью нарушает) и конфиденциальность, и доступность данных, конфиденциальности должен быть отдан приоритет.

Каждому из полученных значений присваивается весовой коэффициент в соответствии с приведенными ниже правилами.

AccessVector   = case AccessVector of
            local:      0.7 
            remote:      1.0
AccessComplexity = case AccessComplexity of
            high:       0.8
            low:       1.0
Authentication  = case Authentication of
            required:     0.6
            not-required:   1.0
ConfImpact    = case ConfidentialityImpact of
            none:       0
            partial:     0.7
            complete:     1.0
ConfImpactBias  = case ImpactBias of
            normal:      0.333
            confidentiality: 0.5
            integrity:    0.25
            availability:   0.25
IntegImpact   = case IntegrityImpact of
            none:       0
            partial:     0.7
            complete:     1.0
IntegImpactBias = case ImpactBias of
            normal:      0.333
            confidentiality: 0.25
            integrity:    0.5
            availability:   0.25
AvailImpact   = case AvailabilityImpact of
            none:       0
            partial:     0.7
            complete:     1.0
AvailImpactBias = case ImpactBias of
            normal:      0.333
            confidentiality: 0.25
            integrity:    0.25
            availability:   0.5

На основании этих данных происходит расчет базового значения по формуле:

BaseScore = round_to_1_decimal(10 * AccessVector
                * AccessComplexity
                * Authentication
                * ((ConfImpact * ConfImpactBias)
                + (IntegImpact * IntegImpactBias)
                + (AvailImpact *
 AvailImpactBias)))

Базовая оценка уязвимости представляет собой значение, сходное с возможными последствиями эксплуатации уязвимости (Single Loss Expectancy, SLE) в классической методике анализа рисков без учета ценности ресурса. Этот параметр может присваиваться уязвимости производителем системы при выпуске обновления.

Вероятность атаки

При оценке характеристик уязвимости, изменяющихся с течением времени, используются такие параметры, как возможность использования (Exploitability), наличие возможности устранения уязвимости (Remediation Level) и достоверность информации об уязвимости (Report Confidence).

Возможность эксплуатации оценивается по наличию информации об использовании уязвимости или соответствующих программ. Этот параметр может принимать следующие значения:

• Unproven. Метод использования не описан или носит теоретический характер.
• Proof of Concept. Существует код (или информация), доказывающий возможность использования уязвимости, но его нельзя задействовать для атак без модификаций.
• Functional. Существует работоспособная программа, использующая уязвимость.
• High. Существует червь либо полностью автоматическая программа, использующая уязвимость.

Возможность устранения уязвимости оценивается в зависимости от наличия официального (Official Fix) и временного (Temporary Fix) исправления, устраняющего уязвимость. При наличии рекомендаций по снижению степени риска данный параметр принимает значение Workaround.

16.03.2006г