Уязвимость (вычисления)

Часть серии по
Информационная безопасность
Связанные категории безопасности
Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс трафик Компьютерное мошенничество Кибергедон Кибертерроризм Кибервойна Электронная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами
Угрозы
Рекламное ПО Постоянная угроза повышенной сложности Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Преступное ПО Межсайтовый скриптинг Вредоносные программы для криптоджекинга Ботнеты Данные нарушения Попутная загрузка вспомогательные объекты браузера Компьютерное преступление Вирусы Парсинг данных Отказ в обслуживании Подслушивание Электронное мошенничество Подмена электронной почты Эксплойты Клавиатурные шпионы Логические бомбы Бомбы замедленного действия Вилочные бомбы Zip бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Полиморфный движок Повышение привилегий Программы-вымогатели Руткиты Буткиты Пугающее ПО Шеллкод Рассылка спама Социальная инженерия (безопасность) Соскабливание экрана Шпионское ПО Программные ошибки троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки щетка стеклоочистителя черви SQL-инъекция Незаконное программное обеспечение безопасности Живой мертвец
Защиты
Безопасность приложений Безопасное кодирование Безопасность по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусная программа Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация кода Маскировка данных Шифрование Межсетевой экран Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Информация о безопасности и управление событиями (SIEM) Мобильный безопасный шлюз Самозащита рабочего приложения
v т е

Эта статья является частью серии статей о
Взлом компьютеров
История
Фрикинг Криптовирология Взлом бытовой электроники Список хакеров
Хакерская культура и этика
Хакерский манифест Черная шляпа Серая шляпа белая шляпа Хакерское пространство Хакатон Хактивизм Создатель культуры
Конференции
Брифинги Black Hat Конгресс Хаоса Коммуникации DEF CON Хакеры на планете Земля Security_BSides ShmooCon Саммеркон
Компьютерное преступление
Преступное ПО Список компьютерных преступников Скрипт kiddie
Инструменты для взлома
ОС для криминалистики Уязвимость Использовать Полезная нагрузка Социальная инженерия Кали
Сайты практики
HackThisSite Зона-H
Вредоносное ПО
Руткит Черный ход троянский конь Вирус Червь Шпионское ПО Программы-вымогатели Логическая бомба Ботнет Регистрация нажатия клавиш HIDS Веб-оболочка RCE
Компьютерная безопасность
Безопасность приложений Сетевая безопасность Безопасность облачных вычислений
Группы
Анонимный Компьютерный Клуб Хаоса Домашний компьютерный клуб (несуществующий) Легион Судьбы (несуществующий) Мастера обмана (несуществующие) LulzSec (несуществующий) Красные и синие команды
Публикации
2600: Ежеквартальный журнал The Hacker Хакерские новости Гайки и вольт Phrack
v т е

В компьютерной безопасности, уязвимость является слабостью, которая может быть использована с помощью угрозы актера, например, злоумышленник, чтобы пересечения границ привилегий (т.е. выполнять несанкционированные действия) в пределах компьютерной системы. Чтобы воспользоваться уязвимостью, злоумышленник должен иметь хотя бы один применимый инструмент или методику, которые могут подключиться к уязвимости системы. В этом кадре уязвимости также известны как поверхность атаки.

Управление уязвимостями - это циклическая практика, которая варьируется в теории, но содержит общие процессы, которые включают: обнаружение всех активов, определение приоритетов активов, оценку или выполнение полного сканирования уязвимостей, отчет о результатах, устранение уязвимостей, проверку исправления - повторить. Эта практика обычно относится к программным уязвимостям в вычислительных системах. Под гибким управлением уязвимостями понимается предотвращение атак путем скорейшего выявления всех уязвимостей.

Риск безопасности часто ошибочно классифицируется как уязвимость. Использование уязвимости с тем же значением риска может привести к путанице. Риск - это возможность значительного воздействия в результате использования уязвимости. Тогда есть уязвимости без риска: например, когда затронутый актив не имеет ценности. Уязвимость с одним или несколькими известными экземплярами действующих и полностью реализованных атак классифицируется как уязвимость, которую можно использовать - уязвимость, для которой существует эксплойт. Окно уязвимости - это время с момента появления или проявления дыры в безопасности в развернутом программном обеспечении до момента, когда доступ был удален, исправление безопасности было доступно / развернуто или злоумышленник был отключен - см. Атака нулевого дня.

Ошибка безопасности ( дефект безопасности ) - более узкое понятие. Существуют уязвимости, не связанные с программным обеспечением: уязвимости оборудования, сайта, персонала являются примерами уязвимостей, которые не являются ошибками безопасности программного обеспечения.

Конструкции на языках программирования, которые сложно использовать должным образом, могут проявлять большое количество уязвимостей.

• 1 Определения
• 2 Модели уязвимости и факторов риска
• 3 Система менеджмента информационной безопасности
• 4 Классификация
• 5 причин
• 6 Последствия
• 7 Раскрытие уязвимости
  • 7.1 Инвентаризация уязвимостей
• 8 Дата раскрытия уязвимости
• 9 Места, в которых проявляются уязвимости
  • 9.1 Уязвимости программного обеспечения
• 10 См. Также
• 11 Источники
• 12 Внешние ссылки

ISO 27005 определяет уязвимость как:

Слабость актива или группы активов, которая может быть использована одной или несколькими угрозами, где актив - это все, что имеет ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссию организации.

Уязвимость IETF RFC 4949 как:

Недостаток или слабость в дизайне, реализации или эксплуатации и управлении системы, которые могут быть использованы для нарушения политики безопасности системы.

Комитет по системам национальной безопасности в Соединенных Штатах Америки определенных уязвимостей в CNSS Инструкция № 4009 от 26 апреля 2010 Национального Обеспечение информации Глоссария :

Уязвимость - слабость информационной системы, процедур безопасности системы, внутреннего контроля или реализации, которая может быть использована источником угрозы.

Многие публикации NIST определяют уязвимость в контексте ИТ в различных публикациях: термин FISMApedia предоставляет список. Между ними SP 800-30, дайте более широкий:

Недостаток или слабость в процедурах безопасности системы, разработке, реализации или внутреннем контроле, которые могут быть применены (случайно запущены или намеренно использованы) и привести к нарушению безопасности или нарушению политики безопасности системы.

ENISA определяет уязвимость как:

Наличие слабости, ошибки проектирования или реализации, которая может привести к неожиданному, нежелательному событию [G.11], ставящему под угрозу безопасность компьютерной системы, сети, приложения или протокола (ITSEC).

Open Group определяет уязвимость как

Вероятность того, что потенциал угрозы превышает способность противостоять угрозе.

Факторный анализ информационных рисков (FAIR) определяет уязвимость как:

Вероятность того, что актив не сможет противостоять действиям агента угрозы.

Согласно FAIR уязвимость связана с силой контроля, т. Е. Силой контроля по сравнению со стандартной мерой силы и возможностями угрозы, то есть вероятным уровнем силы, которую агент угрозы способен применить к активу.

ISACA определяет уязвимость в структуре Risk It как:

Слабость в дизайне, реализации, эксплуатации или внутреннем контроле

Безопасность данных и компьютерная безопасность: Словарь стандартных понятий и терминов, авторы Деннис Лонгли и Майкл Шейн, Stockton Press, ISBN   0-935859-17-9, определяют уязвимость как:

1) В компьютерной безопасности - слабое место в процедурах безопасности автоматизированных систем, административном контроле, контроле Интернета и т. Д., Которое может быть использовано угрозой для получения несанкционированного доступа к информации или нарушения критической обработки. 2) В компьютерной безопасности - слабое место в физической структуре, организации, процедурах, персонале, управлении, администрировании, аппаратном или программном обеспечении, которое может быть использовано для нанесения вреда системе или деятельности ADP. 3) В компьютерной безопасности - любая слабость или недостаток, существующий в системе. Атака или вредоносное событие, или возможность, доступная для агента угрозы, осуществить эту атаку.

Мэтт Бишоп и Дэйв Бейли дают следующее определение компьютерной уязвимости:

Компьютерная система состоит из состояний, описывающих текущую конфигурацию объектов, составляющих компьютерную систему. Система выполняет вычисления, применяя переходы между состояниями, которые изменяют состояние системы. Все состояния, достижимые из данного начального состояния с использованием набора переходов состояний, попадают в класс авторизованных или неавторизованных, как определено политикой безопасности. В данной статье определения этих классов и переходов считаются аксиоматическими. Уязвимое состояние - это авторизованное состояние, из которого неавторизованное состояние может быть достигнуто с помощью авторизованных переходов между состояниями. Компромиссное состояние - это состояние, достигнутое таким образом. Атака - это последовательность разрешенных переходов между состояниями, которые заканчиваются скомпрометированным состоянием. По определению, атака начинается в уязвимом состоянии. Уязвимость - это характеристика уязвимого состояния, которая отличает его от всех неуязвимых состояний. В общем, уязвимость может характеризовать многие уязвимые состояния; если конкретный, то он может характеризовать только один...

Национальный учебно-образовательный центр по обеспечению информационной безопасности определяет уязвимость:

Слабость в процедурах безопасности автоматизированных систем, административном контроле, внутреннем контроле и т. Д., Которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критически важной обработки. 2. Слабость в процедурах безопасности системы, конструкции оборудования, внутреннего контроля и т. Д., Которая может быть использована для получения несанкционированного доступа к секретной или конфиденциальной информации. 3. Слабость в физической структуре, организации, процедурах, персонале, управлении, администрировании, оборудовании или программном обеспечении, которое может быть использовано для нанесения вреда системе или деятельности ADP. Само по себе наличие уязвимости не причиняет вреда; Уязвимость - это просто условие или набор условий, которые могут позволить системе или деятельности ADP пострадать в результате атаки. 4. Утверждение, в первую очередь, касающееся объектов внутренней среды (активов); мы говорим, что актив (или класс активов) уязвим (каким-то образом, возможно, с участием агента или группы агентов); мы пишем: V (i, e), где: e может быть пустым множеством. 5. Восприимчивость к различным угрозам. 6. Набор свойств определенного внутреннего объекта, который в сочетании с набором свойств определенного внешнего объекта подразумевает риск. 7. Характеристики системы, которые вызывают определенную деградацию (неспособность выполнять назначенную миссию) в результате того, что она подверглась определенному уровню воздействия в неестественной (созданной руками человека) враждебной среде.

Ресурс (физический или логический) может иметь одну или несколько уязвимостей, которыми может воспользоваться злоумышленник. Результат может потенциально поставить под угрозу конфиденциальность, целостность или доступность ресурсов (не обязательно уязвимых), принадлежащих организации и / или другим вовлеченным сторонам (клиентам, поставщикам). Так называемая триада ЦРУ - краеугольный камень информационной безопасности.

Атака может быть активной, когда она пытается изменить системные ресурсы или повлиять на их работу, нарушая целостность или доступность. « Пассивная атака » пытается изучить или использовать информацию из системы, но не затрагивает системные ресурсы, нарушая конфиденциальность.

OWASP: взаимосвязь между агентом угрозы и влиянием на бизнес

OWASP (см. Рисунок) описывает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и связанных с ней мер безопасности, оказывая техническое воздействие на ИТ-ресурс (актив), подключенный к влияние на бизнес.

Общая картина представляет факторы риска сценария риска.

Набор политик, связанных с системой менеджмента информационной безопасности (СМИБ), был разработан для управления, в соответствии с принципами управления рисками, контрмерами для обеспечения того, чтобы стратегия безопасности была установлена ​​в соответствии с правилами и положениями, применимыми к данной организации. Эти контрмеры также называются мерами безопасности, но применительно к передаче информации они называются службами безопасности.

Уязвимости классифицируются в соответствии с классом активов, к которому они относятся:

• аппаратное обеспечение
  • восприимчивость к влажности или пыли
  • восприимчивость к незащищенному хранению
  • возрастной износ, вызывающий поломку
  • перегрев
• программное обеспечение
  • недостаточное тестирование
  • небезопасное кодирование
  • отсутствие контрольного журнала
  • недостаток дизайна
• сеть
  • незащищенные линии связи (например, отсутствие криптографии )
  • небезопасная сетевая архитектура
• персонал
  • неадекватный процесс приема на работу
  • недостаточная осведомленность о безопасности
  • инсайдерская угроза
• физический сайт
  • территория, подверженная стихийным бедствиям (например, наводнение, землетрясение)
  • отключение источника питания
• организационная
  • отсутствие регулярных аудитов
  • отсутствие планов преемственности
  • отсутствие безопасности

• Сложность: большие сложные системы увеличивают вероятность сбоев и непреднамеренных точек доступа.
• Знакомство: использование распространенного, хорошо известного кода, программного обеспечения, операционных систем и / или оборудования увеличивает вероятность того, что злоумышленник получит или сможет найти знания и инструменты для использования уязвимости.
• Связь: большее количество физических подключений, привилегий, портов, протоколов и служб, а также время доступности каждого из них повышают уязвимость.
• Недостатки управления паролями: пользователь компьютера использует слабые пароли, которые могут быть обнаружены с помощью грубой силы. Пользователь компьютера хранит пароль на компьютере, где программа может получить к нему доступ. Пользователи повторно используют пароли между многими программами и веб-сайтами.

• Фундаментальные недостатки конструкции операционной системы : разработчик операционной системы выбирает применение неоптимальных политик управления пользователями / программами. Например, операционные системы с такими политиками, как разрешение по умолчанию, предоставляют каждой программе и каждому пользователю полный доступ ко всему компьютеру. Этот недостаток операционной системы позволяет вирусам и вредоносным программам выполнять команды от имени администратора.
• Просмотр веб-сайтов в Интернете. Некоторые веб-сайты могут содержать вредоносное шпионское или рекламное ПО, которое может быть автоматически установлено в компьютерных системах. После посещения этих веб-сайтов компьютерные системы заражаются, и личная информация собирается и передается третьим лицам.
• Ошибки программного обеспечения : программист оставляет уязвимую ошибку в программе. Ошибка программного обеспечения может позволить злоумышленнику злоупотребить приложением.
• Непроверенный ввод пользователя : программа предполагает, что все вводимые пользователем данные безопасны. Программы, которые не проверяют ввод данных пользователем, могут допускать непреднамеренное прямое выполнение команд или операторов SQL (известных как переполнение буфера, внедрение SQL или другие непроверенные вводы).
• Не учиться на прошлых ошибках: например, большинство уязвимостей, обнаруженных в программном обеспечении протокола IPv4, было обнаружено в новых реализациях IPv6.

Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, разработчик или другой человек: поэтому людей следует рассматривать в различных ролях как актив, угроза, информационные ресурсы. Социальная инженерия - это растущая проблема безопасности.

Влияние нарушения безопасности может быть очень высоким. Большинство законодательных актов рассматривают неспособность ИТ-менеджеров устранять уязвимости ИТ-систем и приложений, если они известны им как ненадлежащее поведение; ИТ-менеджеры несут ответственность за управление ИТ-рисками. Закон о конфиденциальности вынуждает менеджеров действовать, чтобы уменьшить влияние или вероятность такого риска для безопасности. Аудит безопасности информационных технологий - это способ позволить другим независимым людям удостовериться в том, что ИТ-среда управляется должным образом, и уменьшить ответственность, по крайней мере, продемонстрировав добросовестность. Тест на проникновение - это форма проверки слабых мест и контрмер, принятых организацией: хакер в белой шляпе пытается атаковать активы информационных технологий организации, чтобы выяснить, насколько легко или сложно поставить под угрозу ИТ-безопасность. Надлежащий способ профессионального управления ИТ-рисками - это принять Систему управления информационной безопасностью, такую ​​как ISO / IEC 27002 или риск ИТ, и следовать им в соответствии со стратегией безопасности, сформулированной высшим руководством.

Одним из ключевых понятий информационной безопасности является принцип глубокоэшелонированной защиты, то есть создание многоуровневой системы защиты, которая может:

• предотвратить эксплойт
• обнаружить и перехватить атаку
• выяснить агентов угрозы и привлечь их к ответственности

Система обнаружения вторжений является примером класса систем, используемых для обнаружения атак.

Физическая безопасность - это набор мер для физической защиты информационного актива: если кто-то может получить физический доступ к информационному активу, широко распространено мнение, что злоумышленник может получить доступ к любой информации о нем или сделать ресурс недоступным для его законных пользователей.

Были разработаны некоторые наборы критериев, которым должен удовлетворять компьютер, его операционная система и приложения, чтобы соответствовать хорошему уровню безопасности: ITSEC и Общие критерии - два примера.

Скоординированное раскрытие уязвимостей (некоторые называют это « ответственным раскрытием », но другие считают это предвзятым термином) уязвимостей является предметом больших споров. Как сообщал The Tech Herald в августе 2010 года, « Google, Microsoft, TippingPoint и Rapid7 выпустили руководящие принципы и заявления, касающиеся того, как они будут поступать с раскрытием информации в будущем». Другой метод - это, как правило, полное раскрытие информации, когда все подробности уязвимости публикуются, иногда с намерением оказать давление на автора программного обеспечения, чтобы он быстрее опубликовал исправление. В январе 2014 года, когда Google обнаружил уязвимость Microsoft до того, как Microsoft выпустила исправление для ее исправления, представитель Microsoft призвал компании-разработчики программного обеспечения к скоординированным действиям по раскрытию информации.

Инвентаризация уязвимостей

Корпорация Mitre ведет неполный список публично раскрытых уязвимостей в системе под названием Common Vulnerabilities and Exposures. Эта информация немедленно передается в Национальный институт стандартов и технологий (NIST), где каждой уязвимости присваивается оценка риска с использованием общей системы оценки уязвимостей (CVSS), схемы Common Platform Enumeration (CPE) и Common Weakness Enumeration.

OWASP поддерживает список классов уязвимостей с целью обучения разработчиков систем и программистов, что снижает вероятность непреднамеренного включения уязвимостей в программное обеспечение.

Время раскрытия уязвимости определяется по-разному в сообществе безопасности и в отрасли. Чаще всего это называют «своего рода публичным раскрытием информации о безопасности определенной стороной». Обычно информация об уязвимостях обсуждается в списке рассылки или публикуется на веб-сайте безопасности, после чего по ее результатам публикуются рекомендации по безопасности.

Время раскрытия является первой датой уязвимость безопасности описана на канале, где раскрыта информация о уязвимости должна выполнить следующее требование:

• Информация находится в свободном доступе для общественности.
• Информация об уязвимости публикуется надежным и независимым каналом / источником.
• Уязвимость была проанализирована экспертами, поэтому информация о рейтинге риска включается при раскрытии.

Выявление и устранение уязвимостей

Существует множество программных инструментов, которые могут помочь в обнаружении (а иногда и удалении) уязвимостей в компьютерной системе. Хотя эти инструменты могут предоставить аудитору хороший обзор возможных имеющихся уязвимостей, они не могут заменить человеческое суждение. Если полагаться исключительно на сканеры, это приведет к ложным срабатываниям и ограниченному обзору проблем, присутствующих в системе.

Уязвимости были обнаружены во всех основных операционных системах, включая Windows, macOS, различные формы Unix и Linux, OpenVMS и другие. Единственный способ снизить вероятность использования уязвимости в системе - это постоянная бдительность, включая тщательное обслуживание системы (например, применение программных исправлений), передовые методы развертывания (например, использование межсетевых экранов и средств контроля доступа ) и аудит (как во время разработки и на протяжении всего жизненного цикла развертывания).

Уязвимости связаны с:

• физическая среда системы
• персонал (т.е. сотрудники, руководство)
• административные процедуры и политика безопасности
• ведение бизнеса и предоставление услуг
• оборудование, включая периферийные устройства
• программное обеспечение (например, локально или в облаке)
• возможность подключения (т.е. коммуникационное оборудование и средства)

Очевидно, что чисто технический подход не всегда может защитить материальные активы: необходимо иметь административную процедуру, позволяющую обслуживающему персоналу входить в помещения, а также людям с достаточным знанием процедур, мотивированным к тому, чтобы следовать им с должной осторожностью. Однако технические средства защиты не обязательно останавливают атаки социальной инженерии (безопасности).

Примеры уязвимостей:

• злоумышленник находит и использует уязвимость переполнения буфера для установки вредоносного ПО с последующим удалением конфиденциальных данных;
• злоумышленник убеждает пользователя открыть сообщение электронной почты с прикрепленным вредоносным ПО;
• наводнение повреждает компьютерные системы, установленные на первом этаже.

Уязвимости программного обеспечения

К распространенным типам недостатков программного обеспечения, которые приводят к уязвимостям, относятся:

• Нарушения безопасности памяти, такие как:
  • Переполнение и
  чтение буфера
• Свисающие указатели

Ошибки проверки ввода, например:

• Внедрение кода
• Межсайтовый скриптинг в веб-приложениях
• Обход каталога
• Электронная почта инъекция
• Атаки на строку формата
• Внедрение HTTP-заголовка
• Разделение HTTP-ответа
• SQL-инъекция

Ошибки, связанные с путаницей привилегий, такие как:

• Кликджекинг
• Подделка межсайтовых запросов в веб-приложениях
• Атака с отказом FTP

Повышение привилегий

Условия гонки, такие как:

• Расы символических ссылок
• Ошибки времени проверки до времени использования

Атака по побочному каналу

• Сроки атаки

Сбои пользовательского интерфейса, такие как:

• Обвинение жертвы, побуждающая пользователя принять решение по безопасности без предоставления пользователю достаточной информации для ответа
• Условия гонки
• Предупреждение об усталости или неудовлетворительном состоянии пользователя.

Был разработан некоторый набор руководств по кодированию, и было использовано большое количество статических анализаторов кода для проверки того, что код соответствует руководящим принципам.

• Безопасность браузера
• Группа реагирования на компьютерные чрезвычайные ситуации
• Информационная безопасность
• Интернет-безопасность
• Мобильная безопасность
• Сканер уязвимостей
• Ответственное раскрытие
• Полное раскрытие

• СМИ, связанные с уязвимостью (вычислениями) на Викискладе?
• Ссылки на рекомендации по безопасности из Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/