Системы систематизации и оценки уязвимостей
В докладе по итогам пентеста любой уязвимости присваивается установленный класс опасности. Это далеко не индивидуальная оценка, она базируется на общепризнанных методах. О них сегодня и побеседуем. Поведаем, как принято обозначать и расценивать уязвимости справочных систем и поясним, для чего это надо, подробнее на https://artmoskovia.ru/kultura-uyazvimostej-ili-testirovanie-na-proniknovenie.html.
Что из себя представляет уязвимости и чем они различаются от опасностей
Очень многие перепутывают эти мнения, а разница есть. Опасности в ИБ — это возможные опасности, которые способны появиться в справочной системе (ИС), если правонарушитель применяет ее уязвимости для атак.
Опасностей в ИС вполне может быть всего 3. Это опасности:
нарушения цельности;
нарушения доступности;
нарушения конфиденциальности.
Количество уязвимостей не урезано. Иногда представляется, что с течением времени их становится лишь больше. Уязвимости — это некоторые минусы в ПО, оснащении, границах по снабжению безопасности компании с позиции нашего условия (доступы, пробелы), дающие злодею вероятность делать в ИС неразрешенную деятельность. В слабость оперативно преобразуется и неимение либо немощная защита справочной системы.
Эксплуатируя слабость, нападающий приобретает вероятность осуществить опасность. То, что предоставляет возможность применять уязвимости, именуется источником опасности (threat agent): взломщик; нерадивый либо обмишурившийся работник, через которого случилась утечка секретной информации либо который сломал документы; процесс, выполняющий доступ к данным в осмотр политики безопасности; условия неодолимой силы (землетрясение, разбившее сооружение).
Какие могут быть уязвимости:
Уязвимости с риском — предполагают, что злодей может существенно влиять на технологию в итоге применения такой уязвимости.
Уязвимости без риска — когда работа уязвимости не в состоянии принести важного ущерба.
Уязвимости могут быть эксплуатируемыми и неэксплуатируемыми, другими словами такими, для которых еще нет эксплойт. Но и слабость, для которой есть эксплойт, вполне может быть уязвимостью без риска. Это целиком зависит от точной обстановки.
Уязвимости выражаются в следующих местах:
физическая среда ИС: оборудование, устройства (к примеру, обладатели для записи и сбережения информации), физические входы в технологию;
штат;
политики безопасности и разные управленческие регламенты;
бизнес-процессы;
локальное и пасмурное ПО.