В статье анализируются два предполагаемых стандарта Национального института стандартов и технологий США (NIST), предназначенных для унифицированного анализа защищенности компьютерных систем: «Общая система оценки злоупотреблений» (Common Misuse Scoring System — CMSS) и «Общая система оценки конфигураций» (Common Configuration Scoring System — CCSS). Статья продолжает тематику статей [1–3], опубликованных в предыдущих номерах, рассматривая системы оценки злоупотреблений и конфигураций, созданных на основе «Общей системы оценки уязвимостей» (Common Vulnerability Scoring System — CVSS).
1. Введение
В настоящее время с увеличением сложности компьютерных систем увеличивается и вероятность наличия в них скрытых уязвимостей. Эти уязвимости могут быть как простыми, так и сложными в использовании, принести большой вред системе или наоборот, никак не повлиять на нее. Поэтому для анализа защищенности информационной системы организации важно иметь возможность оценить, насколько легко злоумышленнику использовать ту или иную уязвимость и какое влияние на систему может иметь ее использование. Эти данные могут применяться при количественной оценке рисков, чтобы определить, какие уязвимости важно устранить в первую очередь с учетом ограниченности ресурсов.
Для стандартизации методов оценки уязвимостей Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST) было разработано три спецификации, направленных на разные категории уязвимостей:
- Общая система оценки уязвимостей CVSS [4, 5];
- Система оценки злоупотреблений CMSS [6];
- Система оценки конфигураций CCSS [7, 8].
Общая система оценки уязвимостей CVSS, рассмотренная авторами в статьях [2, 3], предназначена для оценивания уязвимостей, связанных с дефектами программного обеспечения (ПО) — ошибками при проектировании или кодировании.
Система оценки злоупотреблений CMSS предназначена для оценивания уязвимостей, связанных с неправильным использованием особенностей программного обеспечения [6]. Например, почтовая программа может иметь функцию воспроизведения HTML-содержимого в сообщении. Атакующий может отправить сообщение, содержащее ссылку, которая при представлении в HTML выглядит безобидной для пользователя, но при инициировании ведет на подставной сайт. Это является злоупотреблением, так как данная функция не предполагала перенаправления пользователей на подставные сайты.
Система оценки конфигураций CCSS предназначена для оценивания уязвимостей, связанных с неправильными настройками конфигурации, которые негативно влияют на безопасность системы [7, 8].
Цель данной статьи, проанализировать системы оценки злоупотреблений и конфигураций (CMSS и CCSS), выявить их отличие от системы оценки уязвимостей CVSS, а также показать примеры применения данных стандартов.
< ... >
