Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ: Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы); Π±Ρ€Π΅ΡˆΡŒ β€” это…

Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠ°Π½ΠΈΠ΅

ΠΊΠ°ΠΊΠΈΠ΅ ΠΎΠ½ΠΈ Π±Ρ‹Π²Π°ΡŽΡ‚ ΠΈ Π·Π°Ρ‡Π΅ΠΌ Π½ΡƒΠΆΠ½Ρ‹ / Π₯Π°Π±Ρ€

Π’ ΠΎΡ‚Ρ‡Π΅Ρ‚Π΅ ΠΏΠΎ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π°ΠΌ пСнтСста ΠΊΠ°ΠΆΠ΄ΠΎΠΉ уязвимости присваиваСтся ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΉ класс опасности. Π­Ρ‚ΠΎ Π½Π΅ ΡΡƒΠ±ΡŠΠ΅ΠΊΡ‚ΠΈΠ²Π½Π°Ρ ΠΎΡ†Π΅Π½ΠΊΠ°, ΠΎΠ½Π° основываСтся Π½Π° общСпринятых ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΈΠΊΠ°Ρ…. О Π½ΠΈΡ… сСгодня ΠΈ ΠΏΠΎΠ³ΠΎΠ²ΠΎΡ€ΠΈΠΌ. РасскаТСм, ΠΊΠ°ΠΊ принято ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ ΠΎΡ†Π΅Π½ΠΈΠ²Π°Ρ‚ΡŒ уязвимости ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм ΠΈ объясним, Π·Π°Ρ‡Π΅ΠΌ это Π½ΡƒΠΆΠ½ΠΎ.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ уязвимости ΠΈ Ρ‡Π΅ΠΌ ΠΎΠ½ΠΈ ΠΎΡ‚Π»ΠΈΡ‡Π°ΡŽΡ‚ΡΡ ΠΎΡ‚ ΡƒΠ³Ρ€ΠΎΠ·  

МногиС ΠΏΡƒΡ‚Π°ΡŽΡ‚ эти понятия, Π° Ρ€Π°Π·Π½ΠΈΡ†Π° Π΅ΡΡ‚ΡŒ. Π£Π³Ρ€ΠΎΠ·Ρ‹ Π² Π˜Π‘ β€” это ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ опасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π²ΠΎΠ·Π½ΠΈΠΊΠ½ΡƒΡ‚ΡŒ Π² ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмС (ИБ), Ссли Π½Π°Ρ€ΡƒΡˆΠΈΡ‚Π΅Π»ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π΅Π΅ уязвимости для Π°Ρ‚Π°ΠΊ.

Π£Π³Ρ€ΠΎΠ· Π² ИБ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ всСго Ρ‚Ρ€ΠΈ. Π­Ρ‚ΠΎ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹:

  1. Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ цСлостности;

  2. Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ доступности;

  3. Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ.

Число уязвимостСй Π½Π΅ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΎ. ΠŸΠΎΡ€ΠΎΠΉ каТСтся, Ρ‡Ρ‚ΠΎ со Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ ΠΈΡ… становится Ρ‚ΠΎΠ»ΡŒΠΊΠΎ большС. Уязвимости β€” это Π½Π΅ΠΊΠΈΠ΅ нСдостатки Π² ПО, ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠΈ, ΠΌΠ΅Ρ€Π°Ρ… ΠΏΠΎ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΈΡŽ бСзопасности ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния чСловСчСского Ρ„Π°ΠΊΡ‚ΠΎΡ€Π° (доступы, пропуски), ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡΠΎΠ²Π΅Ρ€ΡˆΠ°Ρ‚ΡŒ Π² ИБ Π½Π΅ΡΠ°Π½ΠΊΡ†ΠΈΠΎΠ½ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ. Π’ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ быстро прСвращаСтся ΠΈ отсутствиС ΠΈΠ»ΠΈ слабая Π·Π°Ρ‰ΠΈΡ‚Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы.

Эксплуатируя ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΠ³Ρ€ΠΎΠ·Ρƒ. Π’ΠΎ, Ρ‡Ρ‚ΠΎ Π΄Π°Π΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ уязвимости, называСтся источником ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ (threat agent): Ρ…Π°ΠΊΠ΅Ρ€; нСдобросовСстный ΠΈΠ»ΠΈ ошибившийся сотрудник, Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° ΡƒΡ‚Π΅Ρ‡ΠΊΠ° ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈΠ»ΠΈ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ²Ρ€Π΅Π΄ΠΈΠ» Ρ„Π°ΠΉΠ»Ρ‹; процСсс, ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡŽΡ‰ΠΈΠΉ доступ ΠΊ Π΄Π°Π½Π½Ρ‹ΠΌ Π² ΠΎΠ±Ρ…ΠΎΠ΄ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности; ΠΎΠ±ΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΡΡ‚Π²Π° Π½Π΅ΠΏΡ€Π΅ΠΎΠ΄ΠΎΠ»ΠΈΠΌΠΎΠΉ силы (зСмлСтрясСниС, Ρ€Π°Π·Ρ€ΡƒΡˆΠΈΠ²ΡˆΠ΅Π΅ Π·Π΄Π°Π½ΠΈΠ΅).

КакиС Π±Ρ‹Π²Π°ΡŽΡ‚ уязвимости:

  • Уязвимости с риском β€” ΠΏΠΎΠ΄Ρ€Π°Π·ΡƒΠΌΠ΅Π²Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π²ΠΎΠ·Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° систСму Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ использования Ρ‚Π°ΠΊΠΎΠΉ уязвимости.

  • Уязвимости Π±Π΅Π· риска β€” ΠΊΠΎΠ³Π΄Π° эксплуатация уязвимости Π½Π΅ ΠΌΠΎΠΆΠ΅Ρ‚ нанСсти Π·Π½Π°Ρ‡ΠΈΠΌΠΎΠ³ΠΎ Π²Ρ€Π΅Π΄Π°.

Уязвимости ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ эксплуатируСмыми ΠΈ нСэксплуатируСмыми, Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ Ρ‚Π°ΠΊΠΈΠΌΠΈ, для ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π΅Ρ‰Π΅ Π½Π΅ сущСствуСт эксплойт. Однако ΠΈ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, для ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π΅ΡΡ‚ΡŒ эксплойт, ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ Π±Π΅Π· риска. ВсС зависит ΠΎΡ‚ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠΉ ситуации.

Уязвимости ΠΏΡ€ΠΎΡΠ²Π»ΡΡŽΡ‚ΡΡ Π² ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… мСстах:

  • ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΡŒΠ½Π°Ρ срСда ИБ: ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅, устройства (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, носитСли для записи ΠΈ хранСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ), физичСскиС Π²Ρ…ΠΎΠ΄Ρ‹ Π² систСму;

  • пСрсонал;

  • ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности ΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ административныС Ρ€Π΅Π³Π»Π°ΠΌΠ΅Π½Ρ‚Ρ‹;

  • бизнСс-процСссы;

  • локальноС ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½ΠΎΠ΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС.

ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ ΠΈ ΠΎΡ†Π΅Π½ΠΊΠ° уязвимостСй ΠΈ ΡƒΠ³Ρ€ΠΎΠ·: Π·Π°Ρ‡Π΅ΠΌ это всС Π½ΡƒΠΆΠ½ΠΎ?

УязвимостСй ΠΌΠ½ΠΎΠ³ΠΎ, ΠΎΠ½ΠΈ Ρ‡Ρ€Π΅Π·Π²Ρ‹Ρ‡Π°ΠΉΠ½ΠΎ Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·Π½Ρ‹, Π° ΠΈΡ… ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Π²Π°Ρ€ΡŒΠΈΡ€ΡƒΠ΅Ρ‚ΡΡ Π² ΡˆΠΈΡ€ΠΎΠΊΠΈΡ… ΠΏΡ€Π΅Π΄Π΅Π»Π°Ρ…. ΠŸΠΎΡΡ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π²Π΅Ρ€Π½ΠΎ Ρ€Π°ΡΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΈΠΎΡ€ΠΈΡ‚Π΅Ρ‚Ρ‹ ΠΈ спСрва ΡƒΡΡ‚Ρ€Π°Π½ΠΈΡ‚ΡŒ Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ опасныС уязвимости, просто Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΈΡ… ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ ΠΎΡ†Π΅Π½ΠΈΡ‚ΡŒ.

Как ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΡŽΡ‚ уязвимости ΠΈ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹

Π‘ΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΌΠ΅ΠΆΠ΄ΡƒΠ½Π°Ρ€ΠΎΠ΄Π½Ρ‹Π΅ ΠΈ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅, принятыС Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… странах систСмы классификации. Π­Ρ‚ΠΎ ΠΏΠ΅Ρ€Π΅Ρ‡Π½ΠΈ извСстных Π΄Π΅Ρ„Π΅ΠΊΡ‚ΠΎΠ² Π² бСзопасности Π²Ρ‹Ρ‡ΠΈΡΠ»ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… систСм, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‚ экспСртныС Π³Ρ€ΡƒΠΏΠΏΡ‹ ΠΈΠ· бСзопасников, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² ΠΈ заинтСрСсованных прСдставитСлСй отраслСвых ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ.

5 Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ распространСнных классификаций

OWASP Top 10 ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ»Π° Π½Π°Π·Π²Π°Π½ΠΈΠ΅ Π² Ρ‡Π΅ΡΡ‚ΡŒ нСкоммСрчСской ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Open Web Application Security Project, которая сосрСдоточСна Π½Π° обСспСчСнии бСзопасности Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π°. OWASP Π²Π΅Π΄Π΅Ρ‚ ΠΈ рСгулярно обновляСт Ρ‡Π°Ρ€Ρ‚ ΠΈΠ· 10 самых опасных рисков для web-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, составлСнный Π½Π° основС общСдоступной Risk Rating Methodology.

ВОП-10 Π²Π΅Π±-ΡƒΠ³Ρ€ΠΎΠ· с ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ сайта классификации

Π Π΅ΠΉΡ‚ΠΈΠ½Π³ Π½Π΅ ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°Π΅Ρ‚ всС Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, ΠΎΠ½ лишь позволяСт Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΈ ΠΈΠ·ΡƒΡ‡ΠΈΡ‚ΡŒ Π΄Π΅ΡΡΡ‚ΡŒ Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ распространСнных ΠΈ Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… Π½Π° сСгодня Ρ‚ΠΈΠΏΠΎΠ² ΡƒΠ³Ρ€ΠΎΠ·. Π’Π°ΠΊ Ρ‡Ρ‚ΠΎ OWASP Π΄Π°ΠΆΠ΅ Π²Ρ‹Π΄Π²ΠΈΠ½ΡƒΠ»Π° ΠΏΡ€ΠΈΠ·Ρ‹Π²: Β«Don’t stop at 10Β».

Π’ΠΏΠ΅Ρ€Π²Ρ‹Π΅ OWASP Top 10 ΠΎΠ±Π½Π°Ρ€ΠΎΠ΄ΠΎΠ²Π°Π»ΠΈ Π² 2004 Π³ΠΎΠ΄Ρƒ, ΠΈ с Ρ‚Π΅Ρ… ΠΏΠΎΡ€ ΠΎΠ½ обновляСтся ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ Ρ€Π°Π· Π² Ρ‚Ρ€ΠΈ Π³ΠΎΠ΄Π°. КаТдая ΡƒΠ³Ρ€ΠΎΠ·Π° Π² Ρ‚ΠΎΠΏΠ΅ сопровоТдаСтся ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½Ρ‹ΠΌ описаниСм, ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°ΠΌΠΈ ΠΈ рСкомСндациями ΠΏΠΎ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ. Π’ послСднСй Π½Π° сСгодняшний дСнь вСрсии Ρ€Π΅ΠΉΡ‚ΠΈΠ½Π³Π° Π΅ΡΡ‚ΡŒ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ‚Π°ΠΊΠΈΠ΅ ошибки, ΠΊΠ°ΠΊ отсутствиС Турналирования ΠΈ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, нСбСзопасная конфигурация, мСТсайтовый скриптинг. 

ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ уязвимостСй CVE. ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ Common Vulnerabilities and Exposures Π˜Π‘-профСссионалы ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Ρ‡Π°Ρ‰Π΅ всСго. ИмСнно Π½Π° Π½Π΅Π΅ ΠΌΡ‹ постоянно ссылаСмся Π² ΠΎΡ‚Ρ‡Π΅Ρ‚Π°Ρ… ΠΏΠΎ ΠΈΡ‚ΠΎΠ³Π°ΠΌ пСнтСстов. 

CVE прСдставляСт собой Π½Π΅Ρ‡Ρ‚ΠΎ Π²Ρ€ΠΎΠ΄Π΅ словаря извСстных ΡƒΠ³Ρ€ΠΎΠ·. КаТдой присваиваСтся ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€, Π³Π΄Π΅ Ρ‚Π°ΠΊΠΆΠ΅ ΡƒΠΊΠ°Π·Π°Π½Ρ‹ Π³ΠΎΠ΄, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ поступило сообщСниС ΠΎΠ± этой уязвимости, ΠΈ Π½ΠΎΠΌΠ΅Ρ€, присвоСнный экспСртами ΠΈΠ· CNA (CVE Numbering Authorities). Π­Ρ‚ΠΎ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Π°Ρ организация, состоящая ΠΈΠ· Π±ΠΎΠ»Π΅Π΅ Ρ‡Π΅ΠΌ 200 экспСртных Π³Ρ€ΡƒΠΏΠΏ, ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‰ΠΈΡ… исслСдоватСлСй, спСциалистов ΠΏΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΡŽ уязвимостСй, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ². НаиболСС авторитСтная ΠΈΠ· Π½ΠΈΡ… β€” Ρ‚Π° ΠΆΠ΅ Mitre.

CVE-запись ΠΎΠ± уязвимости Π² Diagnostic Lab Management System Π² National Vulnerability Database. Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠΈΡ‚ описаниС уязвимости ΠΈ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎ Π½Π΅ΠΉ

Π‘Π°ΠΌΡ‹ΠΌ опасным, Π³Ρ€ΠΎΠΌΠΊΠΈΠΌ уязвимостям Π΄Π°ΡŽΡ‚ собствСнныС ΠΈΠΌΠ΅Π½Π°. НапримСр, CVE-2022-30190, которая позволяСт ΠΏΡ€ΠΎΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Windows Support Diagnostic Tool Ρ‡Π΅Ρ€Π΅Π· Ρ„Π°ΠΉΠ»Ρ‹ MS Office, Π½Π°Π·Π²Π°Π»ΠΈ Follina, Π° критичСская ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ выполнСния ΠΊΠΎΠ΄Π° CVE-2021-44228, найдСнная Π² Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ΅ Apache Log4j, извСстна ΠΊΠ°ΠΊ Log4Shell ΠΈΠ»ΠΈ LogJam. 

ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ нСдостатков бСзопасности CWE. ΠŸΠ΅Ρ€Π΅Ρ‡Π΅Π½ΡŒ Common Weakness Enumeration составлСн Π² Ρ„ΠΎΡ€ΠΌΠ΅ иСрархичСского словаря, Π³Π΄Π΅ пСрСчислСны ошибки Π² ПО, ΠΈΠ·-Π·Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ появлСниС уязвимостСй.

Π˜Π½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€ΠΎΠΌ этого ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° выступило ΠœΠΈΠ½ΠΈΡΡ‚Π΅Ρ€ΡΡ‚Π²ΠΎ нацбСзопасности БША, Π΅Π³ΠΎ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ корпорация Mitre, Π° Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅Ρ‚ большоС сообщСство Π˜Π‘-экспСртов. БоотвСтствСнно, ΠΌΠ½ΠΎΠ³ΠΈΠ΅ экспСрты ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚ эту ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ стандартом описания нСдостатков бСзопасности ПО. ВаТная ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ CWE β€” строгая многоуровнСвая дрСвовидная структура, состоящая ΠΈΠ· Ρ‚ΠΈΠΏΠΎΠ² ΠΈ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ уязвимостСй, снабТСнных Ρ†Π²Π΅Ρ‚ΠΎΠ²ΠΎΠΉ ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²ΠΊΠΎΠΉ. Π­Ρ‚ΠΎΡ‚ классификатор Π½Π΅ Ρ‚Π°ΠΊΠΎΠΉ Π΄ΠΈΠ½Π°ΠΌΠΈΡ‡Π½Ρ‹ΠΉ, ΠΊΠ°ΠΊ OWASP Top 10. ВнСсСниС ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² структуру CWE происходит Ρ€Π΅Π΄ΠΊΠΎ, послС ΡƒΠΉΠΌΡ‹ исслСдований ΠΈ Π±ΡŽΡ€ΠΎΠΊΡ€Π°Ρ‚ΠΈΡ‡Π΅ΡΠΊΠΈΡ… ΠΏΡ€ΠΎΠ²ΠΎΠ»ΠΎΡ‡Π΅ΠΊ.

ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ Π°Ρ‚Π°ΠΊ CAPEC. Common Attack Pattern Enumeration and Classification β€” это классификация, которая появилась Π² процСссС развития CWE ΠΈ схоТа с Π½Π΅ΠΉ ΠΏΠΎ иСрархичСской структурС, ΠΎΠ΄Π½Π°ΠΊΠΎ содСрТит большС контСкста ΠΈ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.

Π’ CAPEC систСматизированы Ρ‚Π°ΠΊ Π½Π°Π·Ρ‹Π²Π°Π΅ΠΌΡ‹Π΅ ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² ΠΈ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² Π°Ρ‚Π°ΠΊ, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… описаны ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ. Π’ Π½ΠΈΡ… Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹: описаниС Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ эксплуатируСтся ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, послСдствия, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹ ΠΏΡ€ΠΈ Π΅Π΅ эксплуатации, ΠΌΠ΅Ρ€Ρ‹ Π·Π°Ρ‰ΠΈΡ‚Ρ‹.

CAPEC ссылаСтся ΠΈ Π½Π° CVE, Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ Π΅Π΅ ΠΌΠΎΠΆΠ½ΠΎ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‰ΠΈΠΌ классификатором ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²Π½ΠΎΠΉ Ρ‚ΠΎΡ‡ΠΊΠΎΠΉ для поиска Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠΉ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅.

ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ основных уязвимостСй Π˜Π‘ΠŸΠ”Π½. ΠœΡ‹ ΡƒΠΆΠ΅ рассмотрСли ΠΎΠ΄Π½Ρƒ, ΠΏΠΎ сути Π°ΠΌΠ΅Ρ€ΠΈΠΊΠ°Π½ΡΠΊΡƒΡŽ Π³ΠΎΡΡƒΠ΄Π°Ρ€ΡΡ‚Π²Π΅Π½Π½ΡƒΡŽ ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ уязвимостСй, Π½ΠΎ Π΅ΡΡ‚ΡŒ ΠΈ российский Π°Π½Π°Π»ΠΎΠ³. Π­Ρ‚Π° классификация ΡƒΠ·ΠΊΠΎΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ. Она Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π° ЀБВЭК для упорядочивания уязвимостСй ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… вСдСтся ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ….

Π­Ρ‚Π° классификация являСтся основой для составлСния ΠΌΠ½ΠΎΠ³ΠΈΡ… Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ², связанных с ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, Π΅Π΅ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ рСгулятор. Π’ Ρ‚ΠΎ ΠΆΠ΅ врСмя, классификация основных уязвимостСй Π˜Π‘ΠŸΠ”Π½ Π½Π΅ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ тСхничСских подробностСй уязвимостСй ΠΈ содСрТит достаточно ΠΎΠ±Ρ‰ΠΈΠ΅ описания. Π’ΠΏΡ€ΠΎΡ‡Π΅ΠΌ, для Π½ΡƒΠΆΠ΄ рСгулятора этого Π±ΠΎΠ»Π΅Π΅, Ρ‡Π΅ΠΌ достаточно.

Помимо пяти пСрСчислСнных ΠΌΠΎΠΆΠ½ΠΎ Π²ΡΠΏΠΎΠΌΠ½ΠΈΡ‚ΡŒ ΠΈ ΠΏΠ°Ρ€Ρƒ Π½Π΅ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹Ρ… классификаций. НапримСр, компания QIWI совмСстно с ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠΌ Vulners Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ уязвимостСй Π½Π° основС Π³Ρ€Π°Ρ„Π° связанной ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ. БущСствуСт ΠΈ классификация логичСских уязвимостСй Π½Π° основС ΠΌΠ΅Ρ‚ΠΎΠ΄Π° Π³Ρ€ΡƒΠΏΠΏΠΎΠ²ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ с использованиСм апостСриорной эмпиричСской ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ (Ρ‡Ρ‚ΠΎ Π±Ρ‹ это Π½ΠΈ Π·Π½Π°Ρ‡ΠΈΠ»ΠΎ). Π’Π°ΠΊΠΈΠ΅ Π²Π΅Ρ‰ΠΈ Ρ€Π΅Π΄ΠΊΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π½Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ ΠΈ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ скорСС Π½Π°ΡƒΡ‡Π½Ρ‹ΠΉ, акадСмичСский интСрСс.

Как ΠΎΡ†Π΅Π½ΠΈΠ²Π°ΡŽΡ‚ уязвимости

ВрСмя ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΎΡ‚ упорядочивания ΠΊ ΠΏΡ€ΠΈΠΎΡ€ΠΈΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π°ΠΉΠ΄Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ. Для этого уязвимости Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΎΡ†Π΅Π½ΠΈΡ‚ΡŒ. Если классификации ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹, Ρ‚ΠΎ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΎΡ†Π΅Π½ΠΊΠΈ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠΉ уязвимости сильно зависят ΠΎΡ‚ IT-Π»Π°Π½Π΄ΡˆΠ°Ρ„Ρ‚Π°, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΎΠ½Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π°.

КаТдой уязвимости ΠΏΡ€ΠΈΡΠ²Π°ΠΈΠ²Π°ΡŽΡ‚ Ρ€Π°Π½Π³ ΠΈΠ»ΠΈ ΠΎΡ†Π΅Π½ΠΊΡƒ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΠΈ Π½Π° основС Ρ‚Π°ΠΊΠΈΡ… Ρ„Π°ΠΊΡ‚ΠΎΡ€ΠΎΠ², ΠΊΠ°ΠΊ:

  1. КакиС систСмы Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΡ‚Ρ‹.

  2. КакиС Π΄Π°Π½Π½Ρ‹Π΅ Π² опасности.

  3. КакиС бизнСс-Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ находятся ΠΏΠΎΠ΄ ΡƒΠ³Ρ€ΠΎΠ·ΠΎΠΉ.

  4. Насколько Π»Π΅Π³ΠΊΠΎ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ ΠΈ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ ИБ.

  5. ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΡƒΡ‰Π΅Ρ€Π± Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ уязвимости.

Π˜ΡΡ…ΠΎΠ΄Ρ ΠΈΠ· этого Π½Π°Π±ΠΎΡ€Π° Ρ„Π°ΠΊΡ‚ΠΎΡ€ΠΎΠ², ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² тСстовой вСрсии ПО Π½Π΅ Ρ‚Π°ΠΊ ΡΡ‚Ρ€Π°ΡˆΠ½Π°, ΠΊΠ°ΠΊ такая ΠΆΠ΅ Π² ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ²ΠΎΠΉ. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² старой вСрсии ПО, для ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΡƒΠΆΠ΅ Π΅ΡΡ‚ΡŒ ΠΏΠ°Ρ‚Ρ‡, оцСниваСтся ΠΊΠ°ΠΊ Π±ΠΎΠ»Π΅Π΅ лСгкая, Ρ‡Π΅ΠΌ Ρ‚Π°ΠΊΠΎΠΉ ΠΆΠ΅ нСдостаток Π² новСйшСй ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅.

ΠŸΡ€ΠΈ этом Π² Ρ†Π΅Π»ΠΎΠΌ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ исполнСния ΠΊΠΎΠ΄Π° Π² популярном MS Word опаснСС, Ρ‡Π΅ΠΌ подобная Π΄Ρ‹Ρ€Π° Π² ΠΊΠ°ΠΊΠΎΠΌ-Π½ΠΈΠ±ΡƒΠ΄ΡŒ Ρ€Π΅Π΄ΠΊΠΎΠΌ тСкстовом Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΎΡ€Π΅, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΎΠ½Π° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ большС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. Однако Ссли компания ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π½Π΅ Word, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ это Ρ€Π΅Π΄ΠΊΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅, Ρ‚ΠΎ подобная ошибка Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΡ†Π΅Π½Π΅Π½Π° ΠΊΠ°ΠΊ критичСски опасная. ΠŸΠΎΠ²Ρ‚ΠΎΡ€ΠΈΠΌ, Ρ‡Ρ‚ΠΎ ΠΌΠ½ΠΎΠ³ΠΎΠ΅ зависит ΠΎΡ‚ контСкста.

Π‘Ρ‹Π²Π°ΡŽΡ‚ случаи, ΠΊΠΎΠ³Π΄Π° нСпонятно, ΠΊΠ°ΠΊ ΠΎΡ†Π΅Π½ΠΈΠ²Π°Ρ‚ΡŒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ. ΠžΠ±Ρ‹Ρ‡Π½ΠΎ это связано с ошибками ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, слабый ΠΏΠ°Ρ€ΠΎΠ»ΡŒ Π½Π° критичСском сСрвисС). Π’Π°ΠΊΠΈΠ΅ кСйсы слоТно ΠΎΡ†Π΅Π½ΠΈΡ‚ΡŒ Π² соотвСтствии с общСпринятым стандартом. Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ ΠΎΠ½ Π΅ΡΡ‚ΡŒ ΠΈ ΡˆΠΈΡ€ΠΎΠΊΠΎ примСняСтся.

Π‘Ρ‚Π°Π½Π΄Π°Ρ€Ρ‚ CVSS

Common Vulnerability Scoring System Π±Π΅Π· Π»ΠΎΠΆΠ½ΠΎΠΉ скромности пСрСводится ΠΊΠ°ΠΊ общая систСма ΠΎΡ†Π΅Π½ΠΊΠΈ уязвимостСй. Π­Ρ‚ΠΎ отраслСвой стандарт, ΠΏΠΎ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌΡƒ ΠΎΡ†Π΅Π½ΠΈΠ²Π°ΡŽΡ‚ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΡŒ Π΄Ρ‹Ρ€ Π² бСзопасности ИБ.

ΠšΡ€Π°Ρ‚ΠΊΠ°Ρ история CVSS

Π’ Π½Π°Ρ‡Π°Π»Π΅ Π½ΡƒΠ»Π΅Π²Ρ‹Ρ… ΠšΠΎΠ½ΡΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ Π‘ΠΎΠ²Π΅Ρ‚ ΠΏΠΎ Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π΅ БША (NIAC) ΠΏΡ€ΠΎΠ²Π΅Π» исслСдования, благодаря ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Π² 2005 Π³ΠΎΠ΄Ρƒ появился ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ стандарт с ΠΌΠ΅Ρ‚ΠΎΠ΄Π°ΠΌΠΈ ΠΎΡ†Π΅Π½ΠΊΠΈ ПО-уязвимостСй. Π—Π°Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Π΅ Ρ‚ΠΎΠ³Π΄Π° ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ основы расчСта ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ ΠΈ сСгодня. Из-Π·Π° Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΏΠ΅Ρ€Π²ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ CVSS ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π»Π° Π΅Ρ‰Π΅ молодая экспСртная Π³Ρ€ΡƒΠΏΠΏΠ°  CVSS-SIG, вскорС Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ стали ΠΆΠ°Π»ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π½Π° многочислСнныС нСдостатки стандарта.

Π’ CVSS стали Π²Π½ΠΎΡΠΈΡ‚ΡŒ ΠΏΡ€Π°Π²ΠΊΠΈ ΠΈ Π² 2007 выпустили Π²Ρ‚ΠΎΡ€ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ с ΠΈΠ·ΠΌΠ΅Π½Π΅Π½Π½ΠΎΠΉ Ρ„ΠΎΡ€ΠΌΡƒΠ»ΠΎΠΉ расчСта. ΠŸΡ€ΠΎΡˆΠ»ΠΎ сСмь Π»Π΅Ρ‚, ΠΏΡ€Π΅ΠΆΠ΄Π΅ Ρ‡Π΅ΠΌ Π°Π²Ρ‚ΠΎΡ€ΠΈΡ‚Π΅Ρ‚Π½Ρ‹Π΅ ΠΠ°Ρ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΉ институт стандартов ΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ (NIST) ΠΈ ΠœΠ΅ΠΆΠ΄ΡƒΠ½Π°Ρ€ΠΎΠ΄Π½Ρ‹ΠΉ союз элСктросвязи (ITU) выпустили Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΡŽ этой вСрсии.

Π’Ρ€Π΅Ρ‚ΡŒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ CVSS NIAC ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π» Π² 2015 Π³ΠΎΠ΄Ρƒ. Π’ Π΅Π΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ участвовали экспСрты Microsoft, IBM Internet Security Systems, Cisco, eBay, CERT/CC, Qualys, Symantec, DHS/MITRE. Π•Π΅ Π΄ΠΎ сих ΠΏΠΎΡ€ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ FIRST, хотя Π² 2019 Π³ΠΎΠ΄Ρƒ Π²Ρ‹ΡˆΠ΅Π» Π°ΠΏΠ΄Π΅ΠΉΡ‚: CVSS 3.1.

ΠœΠ΅Ρ‚Ρ€ΠΈΠΊΠΈ Π² CVSS

CVSS позволяСт Π²Ρ‹Ρ‡ΠΈΡΠ»ΠΈΡ‚ΡŒ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΡŒ риска ΠΏΠΎ Π΄Π΅ΡΡΡ‚ΠΈΠ±Π°Π»Π»ΡŒΠ½ΠΎΠΉ шкалС. Π§Π΅ΠΌ большС число, Ρ‚Π΅ΠΌ Π²Ρ‹ΡˆΠ΅ ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΈ быстрСС Π½ΡƒΠΆΠ½ΠΎ Π½Π° Π½Π΅Π΅ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ.

Π‘Ρ‚Π΅ΠΏΠ΅Π½ΠΈ опасности ΠΏΠΎ шкалС:

  • низкая β€” ΠΎΡ‚ 0,1 Π΄ΠΎ 3,9 Π±Π°Π»Π»ΠΎΠ²;

  • срСдняя β€” ΠΎΡ‚ 4 Π΄ΠΎ 6,9;

  • высокая β€” ΠΎΡ‚ 7 Π΄ΠΎ 8,9,

  • критичСская β€” ΠΎΡ‚ 9 Π΄ΠΎ 10.

Π‘Π°Π»Π»Ρ‹ Π½Π°Ρ‡ΠΈΡΠ»ΡΡŽΡ‚ΡΡ исходя ΠΈΠ· Π±Π°Π·ΠΎΠ²Ρ‹Ρ… ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊ, ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ аспСкты уязвимости:

  • Π’Π΅ΠΊΡ‚ΠΎΡ€ Π°Ρ‚Π°ΠΊΠΈ (AV) β€” Π²Ρ‹Ρ€Π°ΠΆΠ°Π΅Ρ‚ Β«ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΡΡ‚ΡŒΒ» Π°Ρ‚Π°ΠΊΠΈ ΠΈ способ эксплуатации уязвимости.

  • Π‘Π»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ (AC) β€” Π³ΠΎΠ²ΠΎΡ€ΠΈΡ‚ ΠΎ слоТности выполнСния Π°Ρ‚Π°ΠΊΠΈ ΠΈ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊΠΈΠ΅ Ρ„Π°ΠΊΡ‚ΠΎΡ€Ρ‹ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ для Π΅Π΅ успСха (наряду с взаимодСйствиСм с ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ, ΡΠ»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ Ρ€Π°Π½Π΅Π΅ Π±Ρ‹Π»Π° Ρ‡Π°ΡΡ‚ΡŒΡŽ ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊΠΈ слоТности доступа).

  • ВзаимодСйствиС с ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ (ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠΉ интСрфСйс) β€” опрСдСляСт, Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Π»ΠΈ Π°Ρ‚Π°ΠΊΠ° Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ участия Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊΠ° ΠΈΠ»ΠΈ Π΅Π΅ ΠΌΠΎΠΆΠ½ΠΎ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ.

  • Π’Ρ€Π΅Π±ΡƒΠ΅ΠΌΡ‹Π΅ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ (PR) β€” Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΡƒΠ΅Ρ‚ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΉ для ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ (это замСняСт ΠΏΡ€Π΅ΠΆΠ½ΡŽΡŽ ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊΡƒ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ).

  • ΠžΠ±Π»Π°ΡΡ‚ΡŒ дСйствия (S) β€” опрСдСляСт, ΠΌΠΎΠΆΠ΅Ρ‚ Π»ΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΏΠΎΠ²Π»ΠΈΡΡ‚ΡŒ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ Π·Π° ΠΏΡ€Π΅Π΄Π΅Π»Π°ΠΌΠΈ Π΅Π³ΠΎ области/полномочия бСзопасности.

  • ΠšΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ (C) β€” опрСдСляСт, ΠΌΠΎΠ³ΡƒΡ‚ Π»ΠΈ Π½Π΅Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π»ΠΈΡ†Π° ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ Π΄Π°Π½Π½Ρ‹ΠΌ ΠΈ Π² ΠΊΠ°ΠΊΠΎΠΉ стСпСни.

  • Π¦Π΅Π»ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ (I) β€” измСряСт влияниС Π½Π° Π΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€Π½ΠΎΡΡ‚ΡŒ Π΄Π°Π½Π½Ρ‹Ρ….

  • Π”ΠΎΡΡ‚ΡƒΠΏΠ½ΠΎΡΡ‚ΡŒ (A) β€” относится ΠΊ влиянию Π½Π° Π΄ΠΎΡΡ‚ΡƒΠΏΠ½ΠΎΡΡ‚ΡŒ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ»ΠΈ услуг для Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Π­Ρ‚ΠΈ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ Π΄Π°ΡŽΡ‚ всСстороннСС прСдставлСниС ΠΎΠ± уязвимости. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, для ПО с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, поставляСмого нСсколькими поставщиками, ΠΎΡ†Π΅Π½ΠΊΠΈ CVSS ΠΌΠΎΠ³ΡƒΡ‚ Ρ€Π°Π·Π»ΠΈΡ‡Π°Ρ‚ΡŒΡΡ Π² зависимости ΠΎΡ‚ поставляСмой вСрсии, способа поставки, ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ ΠΈ Π΄Π°ΠΆΠ΅ способа компиляции ПО. 

ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ CVSS

Уязвимости Π² извСстных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°Ρ… ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΎΡ†Π΅Π½ΠΊΡƒ. Π˜Π½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡ ΠΎ ΠΊΠ°ΠΆΠ΄ΠΎΠΉ раскрытой уязвимости ΠΈΠ· CVE поступаСт Π² NIST. ЭкспСрты института Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ всС аспСкты уязвимости ΠΈ ΠΏΡ€ΠΈΡΠ²Π°ΠΈΠ²Π°ΡŽΡ‚ Π΅ΠΉ ΡΡ‚Π΅ΠΏΠ΅Π½ΡŒ опасности. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ спСциалисты ΠΏΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠΏΠΈΡ€Π°Ρ‚ΡŒΡΡ Π² своих исслСдованиях. ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊ CVSS Π·Π°ΠΊΡ€Π΅ΠΏΠ»Π΅Π½ΠΎ Π² стандартах PCI DSS ΠΈ БВО Π‘Π  Π˜Π‘Π‘Π‘, Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡΠΊΠ°Π·Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ эта ΠΎΡ†Π΅Π½ΠΊΠ° ΠΈΠΌΠ΅Π΅Ρ‚ ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ силу.

ΠœΡ‹ Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠΌ ΠΎΡ†Π΅Π½ΠΊΡƒ уязвимостСй ΠΏΠΎ шкалС CVSS, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π²ΠΎ врСмя пСнтСстов. Как ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, для расчСтов ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΊΠ°Π»ΡŒΠΊΡƒΠ»ΡΡ‚ΠΎΡ€, ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π½Ρ‹ΠΉ Π½Π° сайтС Π€ΠΎΡ€ΡƒΠΌΠ° Π³Ρ€ΡƒΠΏΠΏ бСзопасности ΠΈ рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ (FIRST) ΠΈΠ»ΠΈ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΎΡ‚ NVD β€” CVSS v3 Calculator.


ΠŸΠΎΡΡ‚ΠΎΠΌΡƒ ΠΈ ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊΠΈ CVSS, ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ пСрСчислСнныС систСмы стоит ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠΌΠ΅Π½Π½ΠΎ Π² качСствС Π±Π°Π·ΠΎΠ²Ρ‹Ρ… инструмСнтов. Они β€” унифицированная основа для Ρ€Π°Π±ΠΎΡ‚Ρ‹, Π° Π½Π΅ Π·Π°ΠΌΠ΅Π½Π° ΠΏΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ Ρ‡ΡƒΡ‚ΡŒΡ ΠΎΠΏΡ‹Ρ‚Π½ΠΎΠ³ΠΎ бСзопасника.

5. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π² ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСмах.

5.1 ΠŸΠΎΠ½ΡΡ‚ΠΈΠ΅ уязвимости ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π² ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСмах. ΠŸΡ€ΠΈΡ‡ΠΈΠ½Ρ‹ возникновСния уязвимости ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.

 Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ β€” это любая характСристика ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы, использованиС ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π½Π°Ρ€ΡƒΡˆΠΈΡ‚Π΅Π»Π΅ΠΌ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹.

Π’ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ бСзопасности Ρ‚Π΅Ρ€ΠΌΠΈΠ½ Β«ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΒ» (Π°Π½Π³Π». vulnerability) ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для обозначСния нСдостатка Π² систСмС, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ, ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΠΎ Π½Π°Ρ€ΡƒΡˆΠΈΡ‚ΡŒ Π΅Ρ‘ Ρ†Π΅Π»ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ ΠΈ Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΡƒΡŽ Ρ€Π°Π±ΠΎΡ‚Ρƒ. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠΌ ошибок программирования, нСдостатков, Π΄ΠΎΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠΈ систСмы, Π½Π΅Π½Π°Π΄Π΅ΠΆΠ½Ρ‹Ρ… ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ, вирусов ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ, скриптовых ΠΈ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΉ. НСкоторыС уязвимости извСстны Ρ‚ΠΎΠ»ΡŒΠΊΠΎ тСорСтичСски, Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΆΠ΅ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ ΠΈ ΠΈΠΌΠ΅ΡŽΡ‚ извСстныС эксплойты.

ΠΊΠΎΡ€ΠΎΡ‡ уязвимости ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ Π΄ΠΎΠΏΡƒΡ‰Π΅Π½Ρ‹ случайно ΠΈ Π·Π°Π»ΠΎΠΆΠ΅Π½Ρ‹ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ, Π½ΠΎ ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ  ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ являСтся Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠΌ чСловСчСской халатности ΠΈ\ΠΈΠ»ΠΈ Π½Π΅Π²Π½ΠΈΠΌΠ°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ.

5.2 ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ уязвимостСй ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.

ΠΈΠ· башки:ΠœΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΌΠΈ, уязвимости Π‘ΠšΠ£Π”, Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Ρ‹, отсутствиС видСонаблюдСния, ΠΏΡ€ΠΎΡ‚ΠΈΠ²ΠΎΠΏΠΎΠΆΠ°Ρ€Π½ΠΎΠΉ ΠΎΡ…Ρ€Π°Π½Ρ‹, дырявоС ПО ΠΈ Ρ‚Π΄

  • уязвимости уровня сСти β€”  ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΠΈ сСтСвых ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ²;

  • уязвимости уровня ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы;

  • уязвимости уровня Π±Π°Π· Π΄Π°Π½Π½Ρ‹Ρ… β€” уязвимости ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Ρ… Π‘Π£Π‘Π” ;

  • уязвимости уровня ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ  β€” относятся уязвимости ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния.

  • ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ со стороны пСрсонала

ΠšΠ°Π΄Ρ€ΠΎΠ²Ρ‹Π΅:

  1. НСдостаточноС ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅

  2. Π½Π΅ΠΎΡΠ²Π΅Π΄ΠΎΠΌΠ»Π΅Π½Π½ΠΎΡΡ‚ΡŒ пСрсонала

  3. Π½Π΅ΠΌΠΎΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΡΡ‚ΡŒ пСрсонала

  4. отсутствиС ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°

ЀизичСская Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ:

  1. Π½Π΅Π±Ρ€Π΅ΠΆΠ½ΠΎΠ΅ использованиС ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² физичСского контроля доступа

  2. отсутствиС Π΄Π²Π΅Ρ€Π΅ΠΉ/ΠΎΠΊΠΎΠ½ ΠΈ ΠΏΡ€.

  3. ΠŸΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½ΠΎΡΡ‚ΡŒ оборудования Π·Π°Ρ‚ΠΎΠΏΠ»Π΅Π½ΠΈΡŽ/Ρ‚Π΅ΠΌΠΏΠ΅Ρ€Π°Ρ‚ΡƒΡ€Π°ΠΌ/ΠΏΡ‹Π»ΠΈ/ΠΏΠ΅Ρ€Π΅ΠΏΠ°Π΄Π°ΠΌ напряТСния

Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ коммуникациями ΠΈ опСрациями:

  1. Π‘Π»ΠΎΠΆΠ½Ρ‹ΠΉ интСрфСйс, приводящий ΠΊ ошибкам ΠΏΡ€ΠΈ использовании

  2. ΠŸΠ»ΠΎΡ…ΠΎΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ

  3. ΠŸΠ»ΠΎΡ…ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΡΠ΅Ρ‚ΡŒΡŽ

  4. отсутствиС Ρ€Π΅Π·Π΅Ρ€Π²Π½ΠΎΠ³ΠΎ копирования

  5. ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΉ ПО

  6. ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈ Ρ€Π°Π·Π³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ ΠΏΡ€Π°Π²/обязанностСй

  7. ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ раздСлСния тСстового ΠΈ Π±ΠΎΠ΅Π²ΠΎΠ³ΠΎ оборудования

  8. НСконтроллируСмоС ΠΊΠΎΠΏΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅

ΠšΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ доступа:

  1. ΠΏΠ»ΠΎΡ…ΠΎΠ΅ Ρ€Π°Π·Π΄Π΅Π»Π΅Π½ΠΈΠ΅ доступа Π² сСтях

  2. отсутствиС ΠΌΠ΅Π°Π½ΠΈΠ·ΠΌΠΎΠ² Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ/ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ

  3. ΠŸΠ»ΠΎΡ…Π°Ρ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ контроля доступа

  4. ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ Π²Ρ‹Ρ…ΠΎΠ΄Π° ΠΈΠ· систСмы ΠΏΡ€ΠΈ ΡƒΡ…ΠΎΠ΄Π΅ ΠΎΡ‚ ΠΊΠΎΠΌΠΏΠ°

  5. Π½Π΅Ρ‚ ΠΈΠ»ΠΈ ΠΌΠ°Π»ΠΎ тСстирования ПО

  6. Π½Π΅Ρ‚ контроля ΠΏΡ€Π°Π² доступа

  7. ΠŸΠ»ΠΎΡ…ΠΎΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ

ИБ:

  1. ΠŸΠ»ΠΎΡ…ΠΈΠ΅ ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠΊΠ»ΡŽΡ‡ΠΈ

  2. отсутствиС контроля Π²Ρ…ΠΎΠ΄Π½Ρ‹Ρ…/Π²Ρ‹Ρ…ΠΎΠ΄Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…

  3. отсутствиС ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Π΅ΠΌΡ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…

  4. Π½Π΅Ρ‚ ΠΈΠ»ΠΈ ΠΌΠ°Π»ΠΎ тСстирования ПО

  5. нСконтроллируСмая Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠ° ΠΈ использованиС ПО

  6. использованиС бСсплатных ПО

5.

3 ΠŸΠΎΠ½ΡΡ‚ΠΈΠ΅ Β«ΡƒΡ‚Π΅Ρ‡ΠΊΠ° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈΒ». ΠžΠ±Ρ‰Π°Ρ характСристика ΠΊΠ°Π½Π°Π»ΠΎΠ² ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈΠ· ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм.

Π£Ρ‚Π΅Ρ‡ΠΊΡƒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π² ΠΎΠ±Ρ‰Π΅ΠΌ ΠΏΠ»Π°Π½Π΅ ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°ΡΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°Ρ‚ΡŒ ΠΊΠ°ΠΊ Π½Π΅ΠΏΡ€Π°Π²ΠΎΠΌΠ΅Ρ€Π½Ρ‹ΠΉ Π²Ρ‹Ρ…ΠΎΠ΄ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… свСдСний Π·Π° ΠΏΡ€Π΅Π΄Π΅Π»Ρ‹ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΠ»ΠΈ ΠΊΡ€ΡƒΠ³Π° Π»ΠΈΡ†, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ эти свСдСния Π±Ρ‹Π»ΠΈ Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Ρ‹.

Π£Ρ‚Π΅Ρ‡ΠΊΠ° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΏΠΎ своСй сущности всСгда ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ ΠΏΡ€ΠΎΡ‚ΠΈΠ²ΠΎΠΏΡ€Π°Π²Π½ΠΎΠ΅ (Ρ‚Π°ΠΉΠ½ΠΎΠ΅ ΠΈΠ»ΠΈ явноС, осознанноС ΠΈΠ»ΠΈ случайноС) ΠΎΠ²Π»Π°Π΄Π΅Π½ΠΈΠ΅ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ, нСзависимо ΠΎΡ‚ Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊΠΈΠΌ ΠΏΡƒΡ‚Π΅ΠΌ это достигаСтся.

Π£Ρ‚Π΅Ρ‡ΠΊΡƒ охраняСмой ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΎΠΈΠ·ΠΎΠΉΡ‚ΠΈ ΠΏΡ€ΠΈ Π½Π°Π»ΠΈΡ‡ΠΈΠΈ ряда ΠΎΠ±ΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΡΡ‚Π². Если Π΅ΡΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ‚Π°ΠΊΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ интСрСсуСтся ΠΈ Π·Π°Ρ‚Ρ€Π°Ρ‡ΠΈΠ²Π°Π΅Ρ‚ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Π΅ силы ΠΈ срСдства для Π΅Π΅ получСния. И Ссли Π΅ΡΡ‚ΡŒ условия, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΠ½ ΠΌΠΎΠΆΠ΅Ρ‚ Ρ€Π°ΡΡΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ Π½Π° ΠΎΠ²Π»Π°Π΄Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΡƒΡŽΡ‰ΡƒΡŽ Π΅Π³ΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ (Π·Π°Ρ‚Ρ€Π°Ρ‚ΠΈΠ² Π½Π° это мСньшС сил, Ρ‡Π΅ΠΌ Ссли Π±Ρ‹ ΠΎΠ½ Π΄ΠΎΠ±Ρ‹Π²Π°Π» Π΅Π΅ сам).

ВсС ΠΊΠ°Π½Π°Π»Ρ‹ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ Π½Π° косвСнныС ΠΈ прямыС. ΠšΠΎΡΠ²Π΅Π½Π½Ρ‹Π΅ ΠΊΠ°Π½Π°Π»Ρ‹ Π½Π΅ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ нСпосрСдствСнного доступа ΠΊ тСхничСским срСдствам ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы. ΠŸΡ€ΡΠΌΡ‹Π΅ соотвСтствСнно Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ доступа ΠΊ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠΌΡƒ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΈΡŽ ΠΈ Π΄Π°Π½Π½Ρ‹ΠΌ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ косвСнных ΠΊΠ°Π½Π°Π»ΠΎΠ² ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ:

  • ΠšΡ€Π°ΠΆΠ° ΠΈΠ»ΠΈ утСря носитСлСй ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, исслСдованиС Π½Π΅ ΡƒΠ½ΠΈΡ‡Ρ‚ΠΎΠΆΠ΅Π½Π½ΠΎΠ³ΠΎ мусора;

  • ДистанционноС Ρ„ΠΎΡ‚ΠΎΠ³Ρ€Π°Ρ„ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅, ΠΏΡ€ΠΎΡΠ»ΡƒΡˆΠΈΠ²Π°Π½ΠΈΠ΅;

  • ΠŸΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚ элСктромагнитных ΠΈΠ·Π»ΡƒΡ‡Π΅Π½ΠΈΠΉ.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ прямых ΠΊΠ°Π½Π°Π»ΠΎΠ² ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ:

ΠšΠ°Π½Π°Π»Ρ‹ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΌΠΎΠΆΠ½ΠΎ Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΏΠΎ физичСским свойствам ΠΈ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ°ΠΌ функционирования:

  • акустичСскиС β€” запись Π·Π²ΡƒΠΊΠ°, ΠΏΠΎΠ΄ΡΠ»ΡƒΡˆΠΈΠ²Π°Π½ΠΈΠ΅ ΠΈ ΠΏΡ€ΠΎΡΠ»ΡƒΡˆΠΈΠ²Π°Π½ΠΈΠ΅;

  • акустоэлСктричСскиС β€” ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Ρ‡Π΅Ρ€Π΅Π· Π·Π²ΡƒΠΊΠΎΠ²Ρ‹Π΅ Π²ΠΎΠ»Π½Ρ‹ с дальнСйшСй ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ΠΉ Π΅Π΅ Ρ‡Π΅Ρ€Π΅Π· сСти элСктропитания;

  • виброакустичСскиС β€” сигналы, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰ΠΈΠ΅ посрСдством прСобразования ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ акустичСского сигнала ΠΏΡ€ΠΈ воздСйствии Π΅Π³ΠΎ Π½Π° ΡΡ‚Ρ€ΠΎΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ конструкции ΠΈ ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€Π½ΠΎ-тСхничСскиС ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π·Π°Ρ‰ΠΈΡ‰Π°Π΅ΠΌΡ‹Ρ… ΠΏΠΎΠΌΠ΅Ρ‰Π΅Π½ΠΈΠΉ;

  • оптичСскиС β€” Π²ΠΈΠ·ΡƒΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹, Ρ„ΠΎΡ‚ΠΎΠ³Ρ€Π°Ρ„ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅, Π²ΠΈΠ΄Π΅ΠΎ съСмка, наблюдСниС;

  • элСктромагнитныС β€” ΠΊΠΎΠΏΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΠΎΠ»Π΅ΠΉ ΠΏΡƒΡ‚Π΅ΠΌ снятия ΠΈΠ½Π΄ΡƒΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… Π½Π°Π²ΠΎΠ΄ΠΎΠΊ;

  • радиоизлучСния ΠΈΠ»ΠΈ элСктричСскиС сигналы ΠΎΡ‚ Π²Π½Π΅Π΄Ρ€Π΅Π½Π½Ρ‹Ρ… Π² тСхничСскиС срСдства ΠΈ Π·Π°Ρ‰ΠΈΡ‰Π°Π΅ΠΌΡ‹Π΅ помСщСния ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… элСктронных устройств съСма Ρ€Π΅Ρ‡Π΅Π²ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ β€œΠ·Π°ΠΊΠ»Π°Π΄Π½Ρ‹Ρ… устройств”, ΠΌΠΎΠ΄ΡƒΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ΠΈΠ²Π½Ρ‹ΠΌ сигналом;

  • ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ β€” информация Π½Π° Π±ΡƒΠΌΠ°Π³Π΅ ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… физичСских носитСлях ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ

уязвимостСй | Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ бСзопасности?

К Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Ρƒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΎ большС устройств, Ρ‡Π΅ΠΌ ΠΊΠΎΠ³Π΄Π°-Π»ΠΈΠ±ΠΎ ΠΏΡ€Π΅ΠΆΠ΄Π΅. Π­Ρ‚ΠΎ ΠΌΡƒΠ·Ρ‹ΠΊΠ° для ΡƒΡˆΠ΅ΠΉ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΎΠ½ΠΈ Ρ…ΠΎΡ€ΠΎΡˆΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ ΠΌΠ°ΡˆΠΈΠ½Ρ‹, ΠΊΠ°ΠΊ ΠΏΡ€ΠΈΠ½Ρ‚Π΅Ρ€Ρ‹ ΠΈ ΠΊΠ°ΠΌΠ΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½ΠΈΠΊΠΎΠ³Π΄Π° Π½Π΅ ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π°Π»ΠΈΡΡŒ для отраТСния ΠΈΠ·ΠΎΡ‰Ρ€Π΅Π½Π½Ρ‹Ρ… Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ. Π­Ρ‚ΠΎ заставило ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΈ частных Π»ΠΈΡ† ΠΏΠ΅Ρ€Π΅ΠΎΡΠΌΡ‹ΡΠ»ΠΈΡ‚ΡŒ, насколько бСзопасны ΠΈΡ… сСти.

По ΠΌΠ΅Ρ€Π΅ Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ количСство этих ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ² растСт, растСт ΠΈ Ρ‚ΠΎ, ΠΊΠ°ΠΊ Π½Π°ΠΌ Π½ΡƒΠΆΠ½ΠΎ ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ опасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠ½ΠΈ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ ΠΊΠ°ΠΊ для бизнСса, Ρ‚Π°ΠΊ ΠΈ для ΠΏΠΎΡ‚Ρ€Π΅Π±ΠΈΡ‚Π΅Π»Π΅ΠΉ. ΠŸΡ€ΠΈ обсуТдСнии кибСррисков Ρ‡Π°Ρ‰Π΅ всСго ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Ρ‚Ρ€ΠΈ Ρ‚Π΅Ρ€ΠΌΠΈΠ½Π°: уязвимости, эксплойты ΠΈ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹. Π’ΠΎΡ‚ Ρ€Π°Π·Π±ΠΈΠ²ΠΊΠ° ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΈ Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΠΎΠ·Π½Π°Ρ‡Π°ΡŽΡ‚ с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния риска:

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ?

Ошибки ΡΠ»ΡƒΡ‡Π°ΡŽΡ‚ΡΡ Π΄Π°ΠΆΠ΅ Π² процСссС построСния ΠΈ кодирования Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ. Π’ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΡΡ‚Π°Π»ΠΎΡΡŒ ΠΎΡ‚ этих ошибок, ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ Π½Π°Π·Ρ‹Π²Π°ΡŽΡ‚ ошибкой. Π₯отя ошибки сами ΠΏΠΎ сСбС Π½Π΅ опасны (Π·Π° ΠΈΡΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ΠΌ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ), ΠΌΠ½ΠΎΠ³ΠΈΠ΅ ΠΈΠ· Π½ΠΈΡ… ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ β€” это называСтся уязвимостями. Уязвимости ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π·Π°ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Π½Π΅ ΠΏΠΎ Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΡŽ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Ρ‚Π΅ΠΊΡƒΡ‰ΠΈΡ… срСдствах Π·Π°Ρ‰ΠΈΡ‚Ρ‹.

ПослС Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ ошибка ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π° ΠΊΠ°ΠΊ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΎΠ½Π° рСгистрируСтся MITRE ΠΊΠ°ΠΊ CVE, ΠΈΠ»ΠΈ общая ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΈΠ»ΠΈ Π½Π΅Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½ΠΎΡΡ‚ΡŒ, ΠΈ Π΅ΠΉ присваиваСтся ΠΎΡ†Π΅Π½ΠΊΠ° ΠžΠ±Ρ‰Π΅ΠΉ систСмы ΠΎΡ†Π΅Π½ΠΊΠΈ уязвимостСй (CVSS), Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΡ‚Ρ€Π°Π·ΠΈΡ‚ΡŒ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ риск, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΠ½Π° ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ для вашСй ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ. Π­Ρ‚ΠΎΡ‚ Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΡŒΠ½Ρ‹ΠΉ список CVE слуТит ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠΌ для сканСров уязвимостСй.

Π’ΠΎΠΎΠ±Ρ‰Π΅ говоря, сканСр уязвимостСй сканируСт ΠΈ сравниваСт Π²Π°ΡˆΡƒ срСду с Π±Π°Π·ΠΎΠΉ Π΄Π°Π½Π½Ρ‹Ρ… уязвимостСй ΠΈΠ»ΠΈ со списком извСстных уязвимостСй; Ρ‡Π΅ΠΌ большС ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Ρƒ сканСра, Ρ‚Π΅ΠΌ Ρ‚ΠΎΡ‡Π½Π΅Π΅ Π΅Π³ΠΎ Ρ€Π°Π±ΠΎΡ‚Π°. Когда Ρƒ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ Π΅ΡΡ‚ΡŒ ΠΎΡ‚Ρ‡Π΅Ρ‚ ΠΎΠ± уязвимостях, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ тСстированиС Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅ ΠΊΠ°ΠΊ срСдство, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ, Π³Π΄Π΅ находятся слабыС мСста, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΌΠΎΠΆΠ½ΠΎ Π±Ρ‹Π»ΠΎ ΠΈΡΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ ΠΈ ΠΈΠ·Π±Π΅ΠΆΠ°Ρ‚ΡŒ ошибок Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ. ΠŸΡ€ΠΈ частом ΠΈ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠΌ сканировании Π²Ρ‹ Π½Π°Ρ‡Π½Π΅Ρ‚Π΅ Π·Π°ΠΌΠ΅Ρ‡Π°Ρ‚ΡŒ ΠΎΠ±Ρ‰ΠΈΠ΅ связи ΠΌΠ΅ΠΆΠ΄Ρƒ уязвимостями, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚ Π»ΡƒΡ‡ΡˆΠ΅ ΠΏΠΎΠ½ΡΡ‚ΡŒ систСму Π² Ρ†Π΅Π»ΠΎΠΌ. Π£Π·Π½Π°ΠΉΡ‚Π΅ большС ΠΎΠ± ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ уязвимостями ΠΈ сканировании здСсь.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ уязвимостСй Π² систСмС бСзопасности

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² систСмС бСзопасности β€” это ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, нСдостаток ΠΈΠ»ΠΈ ошибка, обнаруТСнная Π² систСмС бСзопасности, которая ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована Π°Π³Π΅Π½Ρ‚ΠΎΠΌ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ для Π²Π·Π»ΠΎΠΌΠ° Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½ΠΎΠΉ сСти.

БущСствуСт ряд уязвимостСй систСмы бСзопасности, Π½ΠΎ Π²ΠΎΡ‚ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ распространСнныС ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρ‹: 

    • ΠΠ°Ρ€ΡƒΡˆΠ΅Π½Π½Π°Ρ аутСнтификация: Когда ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ скомпромСтированы, сСансы ΠΈ удостовСрСния ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‡Π΅Π½Ρ‹ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²Ρ‹Π΄Π°ΡŽΡ‚ сСбя Π·Π° исходного ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.
    • SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΡ: Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ SQL-ΠΊΠΎΠ΄Π° являСтся ΠΎΠ΄Π½ΠΎΠΉ ΠΈΠ· Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ распространСнных уязвимостСй систСмы бСзопасности ΠΈ пытаСтся ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ содСрТимому Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… посрСдством внСдрСния врСдоносного ΠΊΠΎΠ΄Π°. УспСшная SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΡ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ ΡƒΠΊΡ€Π°ΡΡ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, ΠΏΠΎΠ΄Π΄Π΅Π»Π°Ρ‚ΡŒ удостовСрСния ΠΈ ΠΏΡ€ΠΈΠ½ΡΡ‚ΡŒ участиС Π² рядС Π΄Ρ€ΡƒΠ³ΠΈΡ… врСдоносных дСйствий.
    • ΠœΠ΅ΠΆΡΠ°ΠΉΡ‚ΠΎΠ²Ρ‹ΠΉ скриптинг: Подобно SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ, мСТсайтовый скриптинг (XSS) Ρ‚Π°ΠΊΠΆΠ΅ внСдряСт врСдоносный ΠΊΠΎΠ΄ Π½Π° Π²Π΅Π±-сайт. Однако Π°Ρ‚Π°ΠΊΠ° с использованиСм мСТсайтовых сцСнариСв Π½Π°Ρ†Π΅Π»Π΅Π½Π° Π½Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Π²Π΅Π±-сайта, Π° Π½Π΅ Π½Π° сам Π²Π΅Π±-сайт, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π°Π΅Ρ‚ риску ΠΊΡ€Π°ΠΆΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.
    • ПоддСлка мСТсайтовых запросов: Атака с ΠΏΠΎΠ΄Π΄Π΅Π»ΠΊΠΎΠΉ мСТсайтовых запросов (CSRF) Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π° ​​на Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ±ΠΌΠ°Π½Π½Ρ‹ΠΌ ΠΏΡƒΡ‚Π΅ΠΌ Π·Π°ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, ΠΏΡ€ΠΎΡˆΠ΅Π΄ΡˆΠ΅Π³ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ подлинности, Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ дСйствиС, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΎΠ½ Π½Π΅ намСрСвался Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ. Π­Ρ‚ΠΎ, Π² сочСтании с ΡΠΎΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€ΠΈΠ΅ΠΉ, ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ±ΠΌΠ°Π½ΠΎΠΌ Π·Π°ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ случайно ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ Π»ΠΈΡ‡Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅.
    • ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Π°Ρ конфигурация бСзопасности: Π›ΡŽΠ±ΠΎΠΉ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ систСмы бСзопасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использован Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ ΠΈΠ·-Π·Π° ошибки ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ, ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒΡΡ Β«Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΉ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠ΅ΠΉ бСзопасности».

Уязвимости любого Ρ€Π°Π·ΠΌΠ΅Ρ€Π° ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ, Π² ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠΌ ΠΈΡ‚ΠΎΠ³Π΅, ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ Π΄Π°Π½Π½Ρ‹Ρ…. Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ ΡƒΡ‚Π΅Ρ‡ΠΊΠ° Π΄Π°Π½Π½Ρ‹Ρ…? Π£Ρ‚Π΅Ρ‡ΠΊΠ° Π΄Π°Π½Π½Ρ‹Ρ… происходит, ΠΊΠΎΠ³Π΄Π° Π΄Π°Π½Π½Ρ‹Π΅ случайно ΠΏΡ€ΠΎΡΠ°Ρ‡ΠΈΠ²Π°ΡŽΡ‚ΡΡ Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ…, которая являСтся Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠΌ ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ…. Π£Ρ‚Π΅Ρ‡ΠΊΠ° Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ являСтся Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠΌ ошибки. НапримСр: ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ° Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π° с Π²Π°ΠΆΠ½ΠΎΠΉ ΠΈΠ»ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ Π½Π΅ Ρ‚ΠΎΠΌΡƒ ΠΏΠΎΠ»ΡƒΡ‡Π°Ρ‚Π΅Π»ΡŽ элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹, сохранСниС Π΄Π°Π½Π½Ρ‹Ρ… Π² общСдоступном ΠΎΠ±Π»Π°Ρ‡Π½ΠΎΠΌ Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ ΠΈΠ»ΠΈ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Ρ… Π½Π° Ρ€Π°Π·Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΌ устройствС Π² общСдоступном мСстС для просмотра Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ.

 

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ эксплойт?

Эксплуатация β€” ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ шаг Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° послС обнаруТСния уязвимости. Эксплойты β€” это срСдства, с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Ρ…Π°ΠΊΠ΅Ρ€Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ для Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹Ρ… дСйствий; ΠΊ Π½ΠΈΠΌ относятся части ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния, ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΊΠΎΠΌΠ°Π½Π΄ ΠΈΠ»ΠΈ Π΄Π°ΠΆΠ΅ Π½Π°Π±ΠΎΡ€Ρ‹ эксплойтов с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ ΡƒΠ³Ρ€ΠΎΠ·Π°?

Π£Π³Ρ€ΠΎΠ·Π° β€“ это гипотСтичСскоС событиС, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ. Π‘Π°ΠΌΠ° ΡƒΠ³Ρ€ΠΎΠ·Π°, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, связана с эксплойтом, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ…Π°ΠΊΠ΅Ρ€Ρ‹ часто Π΄Π΅Π»Π°ΡŽΡ‚ свой Ρ…ΠΎΠ΄. Π₯Π°ΠΊΠ΅Ρ€ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ нСсколько эксплойтов ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ послС ΠΎΡ†Π΅Π½ΠΊΠΈ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ принСсСт Π½Π°ΠΈΠ±ΠΎΠ»ΡŒΡˆΡƒΡŽ Π½Π°Π³Ρ€Π°Π΄Ρƒ. Π₯отя Π½Π° Π΄Π°Π½Π½ΠΎΠΌ этапС Π½ΠΈΡ‡Π΅Π³ΠΎ катастрофичСского Π΅Ρ‰Π΅ Π½Π΅ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»ΠΎ, это ΠΌΠΎΠΆΠ΅Ρ‚ Π΄Π°Ρ‚ΡŒ Π³Ρ€ΡƒΠΏΠΏΠ΅ бСзопасности ΠΈΠ»ΠΈ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΌΡƒ Π»ΠΈΡ†Ρƒ прСдставлСниС ΠΎ Ρ‚ΠΎΠΌ, Π½ΡƒΠΆΠ½ΠΎ Π»ΠΈ ΡΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ ΠΏΠ»Π°Π½ дСйствий Π² ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠΈ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Ρ… ΠΌΠ΅Ρ€ бСзопасности.

Π₯отя ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ Π²Ρ‹ постоянно ΡΠ»Ρ‹ΡˆΠΈΡ‚Π΅ ΠΎ Π½ΠΎΠ²Ρ‹Ρ… Π°Ρ‚Π°ΠΊΠ°Ρ… ΠΈΠ»ΠΈ ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ·Π°Ρ… Π² ΠΌΠΈΡ€Π΅, эти Ρ‚Π΅Ρ€ΠΌΠΈΠ½Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠΌΠΎΡ‡ΡŒ Π΄Π°Ρ‚ΡŒ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ контСкст для этапов ΠΈ опасностСй, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ Π΅ΠΆΠ΅Π΄Π½Π΅Π²Π½ΠΎ ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°ΡŽΡ‚ΡΡ спСциалисты ΠΏΠΎ бСзопасности. Π˜Ρ‚Π°ΠΊ, Ρ‡Ρ‚ΠΎ Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΡΠ½ΠΈΠ·ΠΈΡ‚ΡŒ ΠΎΠ±Ρ‰ΠΈΠΉ риск? Π’ качСствС ΡƒΠΏΡ€Π΅ΠΆΠ΄Π°ΡŽΡ‰Π΅Π³ΠΎ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π° просканируйтС свою срСду Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ уязвимостСй с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ инструмСнта управлСния уязвимостями. Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ ΠΎ бСзопасности ΠΈ событиями (SIEM) β€“ это систСматичСский процСсс, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΡƒΠΏΡ€ΠΎΡΡ‚ΠΈΡ‚ΡŒ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ Π·Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ происходит Π² вашСй сСти, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° Π½Π΅ΠΆΠ΅Π»Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ дСйствия. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ SIEM ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠΌΠΎΡ‡ΡŒ компаниям ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π½Π°Π΄Π΅ΠΆΠ½ΡƒΡŽ ΡƒΠΏΡ€Π΅ΠΆΠ΄Π°ΡŽΡ‰ΡƒΡŽ Π·Π°Ρ‰ΠΈΡ‚Ρƒ, которая Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ для отраТСния ΡƒΠ³Ρ€ΠΎΠ·, эксплойтов ΠΈ уязвимостСй, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ своСй срСды.

Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ уязвимостями ΠΈ сканированиС

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ? ΠžΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ + ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρ‹

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ β€” это ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ кибСрпрСступники для получСния нСсанкционированного доступа ΠΊ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ систСмС. ПослС использования уязвимости ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠ° ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ врСдоносный ΠΊΠΎΠ΄, ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ врСдоносноС ПО ΠΈ Π΄Π°ΠΆΠ΅ ΡƒΠΊΡ€Π°ΡΡ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅.

Уязвимости ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°ΠΌΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΡŽ, ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π°, мСТсайтовый скриптинг (XSS) ΠΈ Π½Π°Π±ΠΎΡ€Ρ‹ эксплойтов с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡ‰ΡƒΡ‚ извСстныС уязвимости ΠΈ слабыС мСста бСзопасности Π² Π²Π΅Π±-прилоТСниях.

МногиС уязвимости Π²Π»ΠΈΡΡŽΡ‚ Π½Π° популярноС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС, подвСргая ΠΌΠ½ΠΎΠ³ΠΈΡ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… это ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС, ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½Π½ΠΎΠΌΡƒ риску ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ»ΠΈ Π°Ρ‚Π°ΠΊΠΈ Π½Π° Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ поставок. Π’Π°ΠΊΠΈΠ΅ эксплойты Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΡƒΡŽΡ‚ΡΡ MITRE ΠΊΠ°ΠΊ Common Vulnerability Exposure (CVE).

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ уязвимостСй

БущСствуСт нСсколько Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… Ρ‚ΠΈΠΏΠΎΠ² уязвимостСй, опрСдСляСмых инфраструктурой, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΎΠ½ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Ρ‹. Уязвимости ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ Π½Π° ΡˆΠ΅ΡΡ‚ΡŒ ΡˆΠΈΡ€ΠΎΠΊΠΈΡ… ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ:

1. АппаратноС обСспСчСниС

Π›ΡŽΠ±Π°Ρ Ρ‡ΡƒΠ²ΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΊ влаТности, ΠΏΡ‹Π»ΠΈ, Π·Π°Π³Ρ€ΡΠ·Π½Π΅Π½ΠΈΡŽ, стихийным бСдствиям, ΠΏΠ»ΠΎΡ…ΠΎΠΌΡƒ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡŽ ΠΈΠ»ΠΈ уязвимости ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠΈ.

2. ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС

‍ НСдостаточноС тСстированиС, отсутствиС ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ ΠΆΡƒΡ€Π½Π°Π»Π°, нСдостатки Π΄ΠΈΠ·Π°ΠΉΠ½Π°, Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ бСзопасности памяти (ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π°, ΠΈΠ·Π±Ρ‹Ρ‚ΠΎΡ‡Π½ΠΎΠ΅ Ρ‡Ρ‚Π΅Π½ΠΈΠ΅, висячиС ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ), ошибки ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π²Π²ΠΎΠ΄Π° (Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ ΠΊΠΎΠ΄Π°, мСТсайтовый скриптинг (XSS) , ΠΎΠ±Ρ…ΠΎΠ΄ ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ΠΎΠ², Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹, Π°Ρ‚Π°ΠΊΠΈ Π½Π° строки Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π°, Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΎΠ² HTTP, Ρ€Π°Π·Π΄Π΅Π»Π΅Π½ΠΈΠ΅ ΠΎΡ‚Π²Π΅Ρ‚Π° HTTP, Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ SQL), ошибки ΠΏΡƒΡ‚Π°Π½ΠΈΡ†Ρ‹ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ (ΠΊΠ»ΠΈΠΊΠ΄ΠΆΠ΅ΠΊΠΈΠ½Π³, ΠΏΠΎΠ΄Π΄Π΅Π»ΠΊΠ° мСТсайтовых запросов, Π°Ρ‚Π°ΠΊΠ° ΠΎΡ‚ΠΊΠ°Π·ΠΎΠ² FTP), условия Π³ΠΎΠ½ΠΊΠΈ (Π³ΠΎΠ½ΠΊΠΈ символичСских ссылок, врСмя -ошибки ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ использования), Π°Ρ‚Π°ΠΊΠΈ ΠΏΠΎ сторонним ΠΊΠ°Π½Π°Π»Π°ΠΌ, Π°Ρ‚Π°ΠΊΠΈ ΠΏΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΠΈ сбои ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠ³ΠΎ интСрфСйса (ΠΎΠ±Π²ΠΈΠ½Π΅Π½ΠΈΠ΅ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹, условия Π³ΠΎΠ½ΠΊΠΈ, ΡƒΡΡ‚Π°Π»ΠΎΡΡ‚ΡŒ ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠΉ).

3. Π‘Π΅Ρ‚ΡŒ

НСзащищСнныС Π»ΠΈΠ½ΠΈΠΈ связи, Π°Ρ‚Π°ΠΊΠΈ Ρ‚ΠΈΠΏΠ° Β«Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ посСрСдинС», нСбСзопасная сСтСвая Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π°, отсутствиС Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ, аутСнтификация ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с сСтСвой Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ.

4. ΠŸΠ΅Ρ€ΡΠΎΠ½Π°Π»

ΠŸΠ»ΠΎΡ…Π°Ρ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Π½Π°ΠΉΠΌΠ°, отсутствиС освСдомлСнности ΠΈ обучСния ΠΏΠΎ вопросам бСзопасности, ΠΏΠ»ΠΎΡ…ΠΎΠ΅ соблюдСниС ΠΏΡ€Π°Π²ΠΈΠ» обучСния бСзопасности, ΠΏΠ»ΠΎΡ…ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ паролями ΠΈΠ»ΠΈ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠ° врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ Ρ‡Π΅Ρ€Π΅Π· влоТСния элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹.

5. ЀизичСская ΠΏΠ»ΠΎΡ‰Π°Π΄ΠΊΠ°

‍ Π—ΠΎΠ½Π°, подвСрТСнная стихийным бСдствиям, Π½Π΅Π½Π°Π΄Π΅ΠΆΠ½ΠΎΠΌΡƒ источнику питания ΠΈΠ»ΠΈ нСдоступному ΠΊΠ»ΡŽΡ‡-ΠΊΠ°Ρ€Ρ‚Π΅.

6. ΠžΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ

НСнадлСТащий Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ, отсутствиС Π°ΡƒΠ΄ΠΈΡ‚Π°, ΠΏΠ»Π°Π½Π° обСспСчСния нСпрСрывности, бСзопасности ΠΈΠ»ΠΈ ΠΏΠ»Π°Π½Π° рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹.

Когда слСдуСт ΡΠΎΠΎΠ±Ρ‰Π°Ρ‚ΡŒ ΠΎΠ± извСстных уязвимостях?

Вопрос ΠΎ Ρ‚ΠΎΠΌ, слСдуСт Π»ΠΈ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½ΠΎ Ρ€Π°ΡΠΊΡ€Ρ‹Π²Π°Ρ‚ΡŒ извСстныС уязвимости, остаСтся спорным. Π•ΡΡ‚ΡŒ Π΄Π²Π° Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Π°:

1.

НСмСдлСнноС ΠΏΠΎΠ»Π½ΠΎΠ΅ раскрытиС ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ

‍ НСкоторыС экспСрты ΠΏΠΎ кибСрбСзопасности Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°ΡŽΡ‚ Π·Π° Π½Π΅ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎΠ΅ раскрытиС ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ. Π‘Ρ‚ΠΎΡ€ΠΎΠ½Π½ΠΈΠΊΠΈ Π½Π΅ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎΠ³ΠΎ раскрытия ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ это обСспСчиваСт Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΈ Π±ΠΎΠ»Π΅Π΅ быстроС исправлСниС, ΠΏΠΎΠ²Ρ‹ΡˆΠ°ΡŽΡ‰Π΅Π΅ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния, бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ бСзопасности, бСзопасности ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы ΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности.

2. ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΎ Π½Π΅Ρ€Π°Π·Π³Π»Π°ΡˆΠ΅Π½ΠΈΠ΅ΠΌ

Π”Ρ€ΡƒΠ³ΠΈΠ΅ Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°ΡŽΡ‚ ΠΏΡ€ΠΎΡ‚ΠΈΠ² раскрытия ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎΠ± уязвимости, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π±ΡƒΠ΄Π΅Ρ‚ использована Ρ…Π°ΠΊΠ΅Ρ€Π°ΠΌΠΈ. Π‘Ρ‚ΠΎΡ€ΠΎΠ½Π½ΠΈΠΊΠΈ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠ³ΠΎ раскрытия ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ для ΠΈΠ·Π±Ρ€Π°Π½Π½Ρ‹Ρ… Π³Ρ€ΡƒΠΏΠΏ сниТаСт риск эксплуатации.

Как ΠΈ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ², Π΅ΡΡ‚ΡŒ вСскиС Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ с ΠΎΠ±Π΅ΠΈΡ… сторон.

НСзависимо ΠΎΡ‚ Ρ‚ΠΎΠ³ΠΎ, Π½Π° Ρ‡ΡŒΠ΅ΠΉ Π²Ρ‹ сторонС, Π·Π½Π°ΠΉΡ‚Π΅, Ρ‡Ρ‚ΠΎ друТСствСнныС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΈ кибСрпрСступники Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ часто ΠΈΡ‰ΡƒΡ‚ уязвимости ΠΈ Ρ‚Π΅ΡΡ‚ΠΈΡ€ΡƒΡŽΡ‚ извСстныС эксплойты.

Π’ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… компаниях Π΅ΡΡ‚ΡŒ собствСнныС Π³Ρ€ΡƒΠΏΠΏΡ‹ бСзопасности, Π² Π·Π°Π΄Π°Ρ‡Ρƒ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π²Ρ…ΠΎΠ΄ΠΈΡ‚ тСстированиС ИВ-бСзопасности ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΌΠ΅Ρ€ бСзопасности ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΈΡ… ΠΎΠ±Ρ‰Π΅Π³ΠΎ процСсса управлСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΌΠΈ рисками ΠΈ ΠΎΡ†Π΅Π½ΠΊΠΈ рисков кибСрбСзопасности.

Π›ΡƒΡ‡ΡˆΠΈΠ΅ Π² своСм классС ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°ΡŽΡ‚ Π²ΠΎΠ·Π½Π°Π³Ρ€Π°ΠΆΠ΄Π΅Π½ΠΈΠ΅ Π·Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ошибок, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠ±ΡƒΠ΄ΠΈΡ‚ΡŒ любого Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΈ ΡΠΎΠΎΠ±Ρ‰Π°Ρ‚ΡŒ ΠΈΠΌ ΠΎΠ± уязвимостях, Π° Π½Π΅ ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΡ…. ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Bug Bounty β€” это прСкрасно, ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠΌΠΎΡ‡ΡŒ свСсти ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌΡƒ риск Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ваша организация ΠΏΠΎΠΏΠ°Π΄Π΅Ρ‚ Π² наш список ΠΊΡ€ΡƒΠΏΠ½Π΅ΠΉΡˆΠΈΡ… ΡƒΡ‚Π΅Ρ‡Π΅ΠΊ Π΄Π°Π½Π½Ρ‹Ρ….

ΠžΠ±Ρ‹Ρ‡Π½ΠΎ сумма вознаграТдСния ΠΏΠΎ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ вознаграТдСния Π·Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ошибок Π±ΡƒΠ΄Π΅Ρ‚ соизмСрима с Ρ€Π°Π·ΠΌΠ΅Ρ€ΠΎΠΌ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, ΡΠ»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ использования уязвимости ΠΈ влияниСм уязвимости. НапримСр, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ…, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΡ… ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π»ΠΈΡ‡Π½ΠΎΡΡ‚ΡŒ (PII) ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΈΠ· списка Fortune 500 с ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠΎΠΉ вознаграТдСния Π·Π° ошибки, Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΠΌΠ΅Ρ‚ΡŒ Π±ΠΎΠ»ΡŒΡˆΡƒΡŽ Ρ†Π΅Π½Π½ΠΎΡΡ‚ΡŒ, Ρ‡Π΅ΠΌ ΡƒΡ‚Π΅Ρ‡ΠΊΠ° Π΄Π°Π½Π½Ρ‹Ρ… Π² вашСм мСстном ΠΌΠ°Π³Π°Π·ΠΈΠ½Π΅ Π½Π° ΡƒΠ³Π»Ρƒ.

Π’ Ρ‡Π΅ΠΌ Ρ€Π°Π·Π½ΠΈΡ†Π° ΠΌΠ΅ΠΆΠ΄Ρƒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ ΠΈ риском?

Риски кибСрбСзопасности ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΊΠ°ΠΊ уязвимости. Однако ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΈ риск β€” Π½Π΅ ΠΎΠ΄Π½ΠΎ ΠΈ Ρ‚ΠΎ ΠΆΠ΅, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΠΏΡƒΡ‚Π°Π½ΠΈΡ†Π΅.

Π”ΡƒΠΌΠ°ΠΉΡ‚Π΅ ΠΎ рискС ΠΊΠ°ΠΊ ΠΎ вСроятности ΠΈ послСдствиях использования уязвимости.

Если воздСйствиС ΠΈ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ использования уязвимости Π½Π΅Π²Π΅Π»ΠΈΠΊΠΈ, Ρ‚ΠΎ ΠΈ риск Π½ΠΈΠ·ΠΊΠΈΠΉ. И Π½Π°ΠΎΠ±ΠΎΡ€ΠΎΡ‚, Ссли влияниС ΠΈ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ использования уязвимости высоки, Ρ‚ΠΎ сущСствуСт высокий риск.

Как ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, воздСйствиС ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ связано с Ρ‚Ρ€ΠΈΠ°Π΄ΠΎΠΉ Π¦Π Π£ ΠΈΠ»ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒΡŽ, Ρ†Π΅Π»ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒΡŽ ΠΈΠ»ΠΈ Π΄ΠΎΡΡ‚ΡƒΠΏΠ½ΠΎΡΡ‚ΡŒΡŽ рСсурса. БлСдуя этой Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ΅ рассуТдСний, Π΅ΡΡ‚ΡŒ случаи, ΠΊΠΎΠ³Π΄Π° ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹Π΅ уязвимости Π½Π΅ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ опасности. НапримСр, ΠΊΠΎΠ³Π΄Π° информационная систСма с ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ Π½Π΅ ΠΈΠΌΠ΅Π΅Ρ‚ цСнности для вашСй ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.

Когда ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ становится ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠΌ эксплуатации?

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ с хотя Π±Ρ‹ ΠΎΠ΄Π½ΠΈΠΌ извСстным Ρ€Π°Π±ΠΎΡ‡ΠΈΠΌ Π²Π΅ΠΊΡ‚ΠΎΡ€ΠΎΠΌ Π°Ρ‚Π°ΠΊΠΈ классифицируСтся ΠΊΠ°ΠΊ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ. Окно уязвимости β€” это врСмя с ΠΌΠΎΠΌΠ΅Π½Ρ‚Π° появлСния уязвимости Π΄ΠΎ ΠΌΠΎΠΌΠ΅Π½Ρ‚Π° Π΅Π΅ исправлСния.

Если Ρƒ вас Π΅ΡΡ‚ΡŒ Π½Π°Π΄Π΅ΠΆΠ½Ρ‹Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ обСспСчСния бСзопасности, ΠΌΠ½ΠΎΠ³ΠΈΠ΅ уязвимости Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ вашСй ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠ΅ΠΉ.

НапримСр, Ссли Π²Ρ‹ ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ настроили Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ S3, Ρ‚ΠΎ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ… сниТаСтся. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΡŒΡ‚Π΅ свои Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ S3, ΠΈΠ½Π°Ρ‡Π΅ это сдСлаСт ΠΊΡ‚ΠΎ-Ρ‚ΠΎ Π΄Ρ€ΡƒΠ³ΠΎΠΉ.

Аналогичным ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡΠ½ΠΈΠ·ΠΈΡ‚ΡŒ риск Ρ‚Ρ€Π΅Ρ‚ΡŒΠΈΡ… сторон ΠΈ риск Ρ‡Π΅Ρ‚Π²Π΅Ρ€Ρ‚Ρ‹Ρ… сторон с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ стратСгий управлСния рисками Ρ‚Ρ€Π΅Ρ‚ΡŒΠΈΡ… сторон ΠΈ управлСния рисками поставщиков.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ эксплойт Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня?

Эксплойт Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня (ΠΈΠ»ΠΈ Π½ΡƒΠ»Π΅Π²ΠΎΠΉ дСнь) ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня (ΠΈΠ»ΠΈ 0-day) β€” это ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, которая нСизвСстна ΠΈΠ»ΠΈ Π½Π΅ устранСна Ρ‚Π΅ΠΌΠΈ, ΠΊΡ‚ΠΎ Ρ…ΠΎΡ‡Π΅Ρ‚ ΠΈΡΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ эту ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ.

Пока ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ устранСна, Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π΅Π΅ для нанСсСния Π²Ρ€Π΅Π΄Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅, Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Ρƒ Π΄Π°Π½Π½Ρ‹Ρ…, ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρƒ ΠΈΠ»ΠΈ сСти.

«НулСвой дСнь» β€” это дСнь, ΠΊΠΎΠ³Π΄Π° заинтСрСсованная сторона ΡƒΠ·Π½Π°Π΅Ρ‚ ΠΎΠ± уязвимости, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ ΠΈΡΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ ΠΈΠ»ΠΈ ΠΎΠ±Ρ…ΠΎΠ΄Π½ΠΎΠΌΡƒ ΠΏΡƒΡ‚ΠΈ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΠ·Π±Π΅ΠΆΠ°Ρ‚ΡŒ эксплуатации.

Π“Π»Π°Π²Π½ΠΎΠ΅, Ρ‡Ρ‚ΠΎ Π½ΡƒΠΆΠ½ΠΎ ΠΏΠΎΠ½ΡΡ‚ΡŒ, это Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ Ρ‡Π΅ΠΌ мСньшС Π΄Π½Π΅ΠΉ с Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня, Ρ‚Π΅ΠΌ Π²Ρ‹ΡˆΠ΅ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ Π½Π΅ Π±Ρ‹Π»ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½ΠΎ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… исправлСний ΠΈΠ»ΠΈ ΠΌΠ΅Ρ€ ΠΏΠΎ ΡΠΌΡΠ³Ρ‡Π΅Π½ΠΈΡŽ послСдствий, ΠΈ Ρ‚Π΅ΠΌ Π²Ρ‹ΡˆΠ΅ риск ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ.

Π§Ρ‚ΠΎ Π²Ρ‹Π·Ρ‹Π²Π°Π΅Ρ‚ уязвимости?

БущСствуСт мноТСство ΠΏΡ€ΠΈΡ‡ΠΈΠ½ уязвимостСй, Π² Ρ‚ΠΎΠΌ числС:

Π‘Π»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ

‍ Π‘Π»ΠΎΠΆΠ½Ρ‹Π΅ систСмы ΠΏΠΎΠ²Ρ‹ΡˆΠ°ΡŽΡ‚ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ Π΄Π΅Ρ„Π΅ΠΊΡ‚Π°, Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΉ настройки ΠΈΠ»ΠΈ Π½Π΅ΠΏΡ€Π΅Π΄Π½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΠΎΠ³ΠΎ доступа.

Знакомство

‍ ΠžΠ±Ρ‰ΠΈΠΉ ΠΊΠΎΠ΄, ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС, ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы ΠΈ ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°ΡŽΡ‚ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ смоТСт Π½Π°ΠΉΡ‚ΠΈ ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± извСстных уязвимостях.

Бвязь

‍ Π§Π΅ΠΌ большС ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΎ устройство, Ρ‚Π΅ΠΌ Π²Ρ‹ΡˆΠ΅ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ уязвимости.

ΠŸΠ»ΠΎΡ…ΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ паролями

‍ НСнадСТныС ΠΏΠ°Ρ€ΠΎΠ»ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ Π²Π·Π»ΠΎΠΌΠ°Π½Ρ‹ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠΌ Π³Ρ€ΡƒΠ±ΠΎΠΉ силы, Π° ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎΠ΅ использованиС ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ Ρ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎ ΠΎΠ΄Π½Π° ΡƒΡ‚Π΅Ρ‡ΠΊΠ° Π΄Π°Π½Π½Ρ‹Ρ… прСвратится Π²ΠΎ мноТСство.

НСдостатки ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы

‍ Как ΠΈ любоС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС, ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠΌΠ΅Ρ‚ΡŒ нСдостатки. ΠžΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ нСбСзопасны, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π»ΡŽΠ±ΠΎΠΌΡƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΈ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ вирусы ΠΈ врСдоносныС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹. ‍

ИспользованиС Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π°

‍ Π’ Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π΅ ΠΏΠΎΠ»Π½ΠΎ шпионского ΠΈ Ρ€Π΅ΠΊΠ»Π°ΠΌΠ½ΠΎΠ³ΠΎ ПО, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ автоматичСски ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒΡΡ Π½Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹.

Ошибки ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния

‍ ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠΈΡΡ‚Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ случайно ΠΈΠ»ΠΈ ΠΏΡ€Π΅Π΄Π½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΠΎ ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Π² ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠΌ обСспСчСнии ΠΎΡˆΠΈΠ±ΠΊΡƒ, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ. Иногда ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ своС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС, оставляя Π΅Π³ΠΎ Π±Π΅Π· исправлСний ΠΈ уязвимым для эксплуатации.

НСпровСрСнный ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠΉ Π²Π²ΠΎΠ΄

‍ Если ваш Π²Π΅Π±-сайт ΠΈΠ»ΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ всС Π²Π²ΠΎΠ΄ΠΈΠΌΡ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ бСзопасны, ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ Π½Π΅ΠΏΡ€Π΅Π΄Π½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ SQL.

Π›ΡŽΠ΄ΠΈ

‍ Π‘Π°ΠΌΠΎΠΉ большой ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ Π² любой ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ являСтся Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊ Π² ΠΊΠΎΠ½Ρ†Π΅ систСмы. Π‘ΠΎΡ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ инТСнСрия β€” самая большая ΡƒΠ³Ρ€ΠΎΠ·Π° для Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π° ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ уязвимостями?

Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ уязвимостями β€” это цикличСская ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ° выявлСния, классификации, исправлСния ΠΈ ΡƒΠΌΠ΅Π½ΡŒΡˆΠ΅Π½ΠΈΡ уязвимостСй бСзопасности. ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ элСмСнты управлСния уязвимостями Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ уязвимостСй, ΠΎΡ†Π΅Π½ΠΊΡƒ уязвимостСй ΠΈ исправлСниС.

ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ обнаруТСния уязвимости Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ Π² сСбя:

  • Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ уязвимости
  • ВСстированиС проникновСния
  • Google Hacking

. ПослС обнаруТСния уязвимости 923923292929292929292592929292925. Анализ сСтСвых сканирований, Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² ΠΏΠ΅Π½-тСстов, ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ² брандмауэра ΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² сканирования уязвимостСй для поиска Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠΎΠΉ.

2. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° уязвимостСй

‍ Π Π΅ΡˆΠΈΡ‚Π΅, ΠΌΠΎΠΆΠ½ΠΎ Π»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½ΡƒΡŽ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΈ классифицируйтС ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΡŒ эксплойта, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠ½ΡΡ‚ΡŒ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ риска.

3. УстранСниС уязвимостСй

‍ ΠŸΡ€ΠΈΠΌΠΈΡ‚Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΎ ΠΌΠ΅Ρ€Π°Ρ… противодСйствия ΠΈ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ ΠΈΠ·ΠΌΠ΅Ρ€ΠΈΡ‚ΡŒ ΠΈΡ… ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ, Ссли исправлСниС нСдоступно.

4. УстранСниС уязвимостСй

‍ УстранСниС уязвимостСй Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ обновлСния уязвимого ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ ΠΈΠ»ΠΈ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠ³ΠΎ обСспСчСния, Π³Π΄Π΅ это Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ. Π’ связи с Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠΈ постоянно Ρ€Π°Π·Π²ΠΈΠ²Π°ΡŽΡ‚ΡΡ, ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ уязвимостями Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ постоянной ΠΈ ΠΏΠΎΠ²Ρ‚ΠΎΡ€ΡΡŽΡ‰Π΅ΠΉΡΡ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΎΠΉ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π·Π°Ρ‰ΠΈΡ‚Ρƒ вашСй ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ сканированиС уязвимостСй?

Π‘ΠΊΠ°Π½Π΅Ρ€ уязвимостСй β€” это ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΠΎΠ΅ для ΠΎΡ†Π΅Π½ΠΊΠΈ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ΠΎΠ², сСтСй ΠΈΠ»ΠΈ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ извСстных уязвимостСй. Они ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ уязвимости, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰ΠΈΠ΅ ΠΈΠ·-Π·Π° Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΉ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ ΠΈ ΠΎΡˆΠΈΠ±ΠΎΡ‡Π½ΠΎΠ³ΠΎ программирования Π² сСти, ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ сканированиС с ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΎΠΉ подлинности ΠΈ Π±Π΅Π· ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ подлинности:

  • Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ с ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΎΠΉ подлинности: ΠŸΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ‚ сканСру уязвимостСй ΠΏΠΎΠ»ΡƒΡ‡Π°Ρ‚ΡŒ прямой доступ ΠΊ сСтСвым рСсурсам с использованиСм ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ администрирования, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ бСзопасная ΠΎΠ±ΠΎΠ»ΠΎΡ‡ΠΊΠ° (SSH) ΠΈΠ»ΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ Ρ€Π°Π±ΠΎΡ‡Π΅Π³ΠΎ стола (RDP) ΠΈ ΠΏΡ€ΠΎΠΉΡ‚ΠΈ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ прСдоставлСнныС систСмныС ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅. Π­Ρ‚ΠΎ Π΄Π°Π΅Ρ‚ доступ ΠΊ Π½ΠΈΠ·ΠΊΠΎΡƒΡ€ΠΎΠ²Π½Π΅Π²Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ, Ρ‚Π°ΠΊΠΈΠΌ ΠΊΠ°ΠΊ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Π΅ слуТбы ΠΈ свСдСния ΠΎ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ, прСдоставляя ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΡƒΡŽ ΠΈ Ρ‚ΠΎΡ‡Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСмах, установлСнном ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠΌ обСспСчСнии, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ… с ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠ΅ΠΉ ΠΈ ΠΎΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… исправлСниях бСзопасности.
  • Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π±Π΅Π· ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ подлинности: ΠŸΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ Π»ΠΎΠΆΠ½Ρ‹ΠΌ срабатываниям ΠΈ нСдостовСрной ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎΠ± ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСмах ΠΈ установлСнном ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠΌ обСспСчСнии. Π­Ρ‚ΠΎΡ‚ ΠΌΠ΅Ρ‚ΠΎΠ΄ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΊΠΈΠ±Π΅Ρ€-Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ ΠΈ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ°ΠΌΠΈ бСзопасности, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠΏΡ‹Ρ‚Π°Ρ‚ΡŒΡΡ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ состояниС бСзопасности Π²Π½Π΅ΡˆΠ½ΠΈΡ… Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΈ Π½Π°ΠΉΡ‚ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Π΅ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ….

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ тСстированиС Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅?

ВСстированиС Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅, Ρ‚Π°ΠΊΠΆΠ΅ извСстноС ΠΊΠ°ΠΊ тСстированиС Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅ ΠΈΠ»ΠΈ этичСский Π²Π·Π»ΠΎΠΌ, прСдставляСт собой ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΡƒ тСстирования Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ с Ρ†Π΅Π»ΡŒΡŽ поиска уязвимостСй Π² систСмС бСзопасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ. ВСстированиС Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½ΠΎ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΈΠ»ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒΡΡ Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ.

Π’ любом случаС процСсс Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² сборС ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ Ρ†Π΅Π»ΠΈ, выявлСнии Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Ρ… уязвимостСй ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ°Ρ… ΠΈΡ… использования, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π² ΠΎΡ‚Ρ‡Π΅Ρ‚Π΅ ΠΎ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π°Ρ….

ВСстированиС Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, соблюдСния Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠΉ соотвСтствия, освСдомлСнности сотрудников ΠΎ бСзопасности ΠΈ способности ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ бСзопасности ΠΈ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° Π½ΠΈΡ….

Π£Π·Π½Π°ΠΉΡ‚Π΅ большС ΠΎ тСстировании Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ Google Hacking?

Π’Π·Π»ΠΎΠΌ Google β€“ это использованиС поисковой систСмы, Ρ‚Π°ΠΊΠΎΠΉ ΠΊΠ°ΠΊ Google ΠΈΠ»ΠΈ Microsoft Bing, для обнаруТСния уязвимостСй Π² систСмС бСзопасности. Π’Π·Π»ΠΎΠΌ Google достигаСтся Π·Π° счСт использования ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€ΠΎΠ² Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½ΠΎΠ³ΠΎ поиска Π² запросах, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡŽΡ‚ мСстонахоТдСниС труднодоступной ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈΠ»ΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, которая случайно раскрываСтся ΠΈΠ·-Π·Π° Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΉ настройки ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… сСрвисов.

Π˜ΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ бСзопасности ΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ эти Ρ†Π΅Π»Π΅Π²Ρ‹Π΅ запросы для обнаруТСния ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, которая Π½Π΅ ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π° для ΠΏΡƒΠ±Π»ΠΈΡ‡Π½ΠΎΠ³ΠΎ доступа.

Π­Ρ‚ΠΈ уязвимости, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, дСлятся Π½Π° Π΄Π²Π° Ρ‚ΠΈΠΏΠ°:

  1. Уязвимости ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния
  2. ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Ρ‹Π΅ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ

Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅, ΠΏΠΎΠ΄Π°Π²Π»ΡΡŽΡ‰Π΅Π΅ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² склонны ΠΈΡΠΊΠ°Ρ‚ΡŒ распространСнныС Π½Π΅Π²Π΅Ρ€Π½Ρ‹Π΅ настройки ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠ½ΠΈ ΡƒΠΆΠ΅ Π·Π½Π°ΡŽΡ‚, ΠΊΠ°ΠΊ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ, ΠΈ просто ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ систСмы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΠΌΠ΅ΡŽΡ‚ извСстныС Π΄Ρ‹Ρ€Ρ‹ Π² бСзопасности.

Π§Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ Π²Π·Π»ΠΎΠΌ Google, Π²Ρ‹ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΡƒΠ±Π΅Π΄ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ всС ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Π΅ слуТбы ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ настроСны. Как Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρ‡Ρ‚ΠΎ-Ρ‚ΠΎ открываСтся Google, ΠΎΠ½ΠΎ становится общСдоступным, нравится Π²Π°ΠΌ это ΠΈΠ»ΠΈ Π½Π΅Ρ‚.

Π”Π°, Google пСриодичСски ΠΎΡ‡ΠΈΡ‰Π°Π΅Ρ‚ свой кСш, Π½ΠΎ Π΄ΠΎ Ρ‚Π΅Ρ… ΠΏΠΎΡ€ ваши ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹ находятся Π² ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΌ доступС.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… уязвимостСй?

Π‘Π°Π·Π° Π΄Π°Π½Π½Ρ‹Ρ… уязвимостСй β€” это ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ°, которая собираСт, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΈ обмСниваСтся ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ ΠΎΠ± ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… уязвимостях. MITRE запускаСт ΠΎΠ΄ΠΈΠ½ ΠΈΠ· ΠΊΡ€ΡƒΠΏΠ½Π΅ΠΉΡˆΠΈΡ…, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ называСтся CVE ΠΈΠ»ΠΈ Common Vulnerabilities and Exposures, ΠΈ присваиваСт ΠΎΡ†Π΅Π½ΠΊΡƒ Common Vulnerability Scoring System (CVSS), Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΡ‚Ρ€Π°Π·ΠΈΡ‚ΡŒ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ риск, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ для вашСй ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.

Π­Ρ‚ΠΎΡ‚ Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΡŒΠ½Ρ‹ΠΉ список CVE слуТит основой для ΠΌΠ½ΠΎΠ³ΠΈΡ… сканСров уязвимостСй.

ΠŸΡ€Π΅ΠΈΠΌΡƒΡ‰Π΅ΡΡ‚Π²ΠΎ общСдоступных Π±Π°Π· Π΄Π°Π½Π½Ρ‹Ρ… уязвимостСй Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ организациям Ρ€Π°Π·Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ, ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΈΠΎΡ€ΠΈΡ‚Π΅Ρ‚Ρ‹ ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ исправлСния ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΌΠ΅Ρ€Ρ‹ ΠΏΠΎ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ критичСских уязвимостСй.

Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅, ΠΎΠ½ΠΈ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ созданиС Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… уязвимостСй ΠΈΠ·-Π·Π° поспСшно Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Ρ… исправлСний, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡƒΡΡ‚Ρ€Π°Π½ΡΡŽΡ‚ ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, Π½ΠΎ ΡΠΎΠ·Π΄Π°ΡŽΡ‚ Π΄Ρ€ΡƒΠ³ΡƒΡŽ.

Π‘ΠΌ. Π΄ΠΎΠ²ΠΎΠ΄ Π² ΠΏΠΎΠ»ΡŒΠ·Ρƒ ΠΏΠΎΠ»Π½ΠΎΠ³ΠΎ раскрытия ΠΈΠ»ΠΈ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠ³ΠΎ раскрытия Π²Ρ‹ΡˆΠ΅.

ΠžΠ±Ρ‰ΠΈΠ΅ уязвимости, пСрСчислСнныС Π² Π±Π°Π·Π°Ρ… Π΄Π°Π½Π½Ρ‹Ρ… уязвимостСй, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚:

  • Ошибка ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ развСртывания: Π€ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ для Π±Π°Π· Π΄Π°Π½Π½Ρ‹Ρ… ΠΌΠΎΠΆΠ΅Ρ‚ ΠΊΠ°Π·Π°Ρ‚ΡŒΡΡ Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎΠΉ, Π½ΠΎ Π±Π΅Π· Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ тСстирования уязвимости ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΡƒΡ‚ΡŒ Π²Π½ΡƒΡ‚Ρ€ΡŒ. ΠŸΠ»ΠΎΡ…ΠΎΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ бСзопасности, слабыС ΠΏΠ°Ρ€ΠΎΠ»ΠΈ ΠΈΠ»ΠΈ настройки бСзопасности ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ Ρ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»Ρ‹ станут общСдоступными.
  • SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΡ : Атаки Π½Π° Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π² Π±Π°Π·Π°Ρ… Π΄Π°Π½Π½Ρ‹Ρ… уязвимостСй.
  • ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Π°Ρ конфигурация : Компании часто Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ Π½Π°ΡΡ‚Ρ€Π°ΠΈΠ²Π°ΡŽΡ‚ свои ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Π΅ слуТбы, Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ ΠΈΡ… уязвимыми ΠΈ общСдоступными.
ΠžΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ

Π’Π°Ρˆ адрСс email Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½. ΠžΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ поля ΠΏΠΎΠΌΠ΅Ρ‡Π΅Π½Ρ‹ *