Содержание. __ от редакции. Биография сетевого периметра в картинках

73
// уязвимости и атаки
53 55 57 59 61 63 65 67 69 71
73
75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
Как видно, в 2015 году количество правил, выпущенных для выяв- ления эксплуатации уязвимостей, не превысило 10%. Наибольшую площадь на диаграмме занимают правила для выявления сетевой активности вредоносных программ.
Следующим шагом был сбор статистики покрытия правилами уяз- вимостей, опубликованных в 2015 году. Были отобраны уязвимости, имеющие удаленный вектор эксплуатации (AV:N) и CVSSv2-рейтинг больше 7,8. Из них мы отобрали те, для выявления эксплуатации кото- рых были выпущены правила.
На диаграмме видно, что правилами покрывается лишь малая часть уязвимостей. Первая причина заключается в том, что часть CVE вы- пускается для случаев, которые невозможно (шифрованный трафик) или бессмысленно покрывать правилами (с выявлением и предот- вращением эксплуатации уязвимостей в веб-приложениях лучше справиться WAF, для правил же придется использовать громозд- кие регулярные выражения, что приведет к замедлению системы).
Вторая причина в том, что не всегда известны подробности эксплу- атации уязвимости, и у экспертов нет образцов, на основе которых можно разработать правила.
Итак, существует острая нехватка правил для актуальных уязвимо- стей. Одна из причин — нежелание вендоров, а также экспертов, находящих уязвимости и создающих правила для IDS/IPS, делиться техническими деталями обнаруженных уязвимостей. Для разработ- ки правил требуются образцы трафика с эксплуатацией уязвимости; при их наличии покрытие новых уязвимостей правилами увеличится в разы, и положение дел не будет таким плачевным.
Соотношение правил из набора eT pro за 2015 год
Соотношение правил из набора eT open за 2015 год
8%
25%
60%
2% 5%
4478 | Вредоносные программы
367 | Нарушения политик безопасности
133 | Правила на основе черных списков
1833 | Другие
573 | Эксплуатация уязвимостей
9%
25%
55%
5% 6%
1299 | Вредоносные программы
136 | Нарушения политик безопасности
130 | Правила на основе черных списков
585 | Другие
228 | Эксплуатация уязвимостей
Статистика покрытия правилами уязвимостей 2015 года
0 200 150 250
январь |
3
| 51
Количество CVE, покрытых правилами февра ль |
25
| 86
мар т |
11
| 62
апре ль |
8
| 63
май |
13
| 102
июнь |
17
| 54
ию ль |
22
| 142
авг ус т |
8
| 123
сент ябрь |
8
| 109
ок тябрь |
7
| 159
ноябрь |
16
| 78
дек абрь |
15
| 196 100 50
Количество CVE с CVSS > 7,8

positive research 2016 74 52 54 56 58 60 62 64 66 68 70 72
74
76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50
оценка уязвимоСтей
CVSS 3.0
Сергей Рублев
habrahabr.ru/company/pt/blog/266485/
Мы используем эту систему оценок с момента возникновения на- шей базы уязвимостей и первого нашего продукта — XSpider. Для нас очень важно поддерживать базу знаний, которую мы использу- ем в своих продуктах и услугах, в актуальном состоянии. Поскольку рекомендации по работе с CVSS-метриками не покрывают все возможные варианты уязвимостей, иногда приходится задаваться вопросом: «Как лучше проставить метрики, чтобы итоговая оценка отражала реальную опасность уязвимости?».
Мы постоянно следим за развитием стандарта, поэтому давно жда- ли окончательной версии CVSSv3. Открывая спецификацию, я пре- жде всего хотел ответить на вопросы: «Что именно изменилось?»,
«Что стало лучше?», «Сможем ли мы использовать новый стандарт в наших продуктах?» и — поскольку к ведению базы часто подключа- ются молодые специалисты — «Как быстро можно овладеть мето- дикой оценки?», «Насколько четкими являются критерии?».
В ходе изучения стандарта родилась эта статья, надеюсь, она помо- жет вам в освоении новой методики оценки уязвимостей.
ВЕхИ В ИСТОРИИ CVSS
Стандарт Common Vulnerability Scoring System был разработан группой экспертов по безопасности National Infrastructure Advisory
Council. В эту группу вошли эксперты из различных организаций, та- ких как CERT/CC, Cisco, DHS/MITRE, eBay, IBM Internet Security Systems,
Microsoft, Qualys, Symantec.
В 2005 году состоялась первая публикация стандарта. Основные принципы расчета метрики уязвимостей, изначально заложенные в стандарт, сохранились и по сей день.
Далее стандарт стал поддерживаться рабочей группой Common
Vulnerability Scoring System-Special Interest Group (CVSS-SIG) в рам- ках проекта Forum of Incident Response and Security Teams (FIRST).
Членство в группе не накладывает на ее участников каких-либо огра- ничений по поддержке и распространению стандарта.
В 2007 году была опубликована вторая версия стандарта: были вне- сены правки в перечень показателей и изменена формула расчета итоговой метрики для более точной оценки опасности уязвимостей.
В 2014 году рекомендации по использованию CVSSv2 выпускают та- кие авторитетные организации, как NIST и ITU, занимающиеся раз- работкой руководств и стандартов в области телекоммуникации и информационных систем.
Использование метрик CVSS для оценки уязвимостей закреплено в стандартах PCI DSS и СТО БР ИББС.
В июне 2015 года FIRST опубликовал финальную версию стандарта
CVSSv3, о котором и пойдет речь в данной статье.
ОСНОВы
В CVSS входят три группы метрик:
Базовые метрики
описывают характеристики уязвимости, не ме- няющиеся с течением времени и не зависящие от среды исполнения.
Этими метриками описывается сложность эксплуатации уязвимости и потенциальный ущерб для конфиденциальности, целостности и доступности информации.
Временные метрики,
как видно из названия, вносят в общую оценку поправку на полноту имеющейся информации об уязвимо- сти, зрелость эксплуатирующего кода (при его наличии) и доступ- ность исправлений.
При помощи
контекстных метрик
эксперты по безопасности мо- гут внести в результирующую оценку поправки с учетом характери- стик информационной среды.
Временные и контекстные метрики опциональны и применяются для более точной оценки опасности, которую представляет данная уяз- вимость для более или менее конкретной инфраструктуры.
Значение метрики принято публиковать в виде пары из вектора (кон- кретные значения отдельных показателей) и числового значения, рассчитанного на основе всех показателей при помощи формулы, определенной в стандарте.
НОВОВВЕДЕНИя В CVSSV3
Мы не будем подробно рассматривать CVSSv2, на эту тему есть доста- точно хорошая документация [6, 7], остановимся более детально на изменениях, вносимых новым стандартом.
БАЗОВыЕ МЕТРИКИ
Компоненты системы, для которых рассчитываются метрики
В рамках стандарта вводятся следующие понятия:
+
уязвимый компонент
(vulnerable component) — тот компо- нент информационной системы, который содержит уязвимость и подвержен эксплуатации;
+
атакуемый компонент
(impacted component) — тот, конфи- денциальность, целостность и доступность которого могут по- страдать при успешной реализации атаки.
В большинстве случаев уязвимый и атакуемый компоненты совпа- дают, но есть и целые классы уязвимостей, для которых это не так, например:
+
выход за пределы песочницы приложения;
+
получение доступа к пользовательским данным, сохраненным в браузере, через уязвимость в веб-приложении (XSS);
+
выход за пределы гостевой виртуальной машины.
Согласно новому стандарту, метрики эксплуатируемости рассчиты- ваются для уязвимого компонента, а метрики воздействия для атаку- емого. В CVSSv2 не было возможности описать ситуацию, в которой уязвимый компонент и атакуемый различаются.

75
// уязвимости и атаки
53 55 57 59 61 63 65 67 69 71 73
75
77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
Метрики эксплуатируемости
Вектор атаки
Степень удаленности потенциального атакующего от уязвимого объекта.
CVSSv2
CVSSv3
Название метрики
Access Vector (AV)
Attack Vector (AV)
Возможные значения метрики
Network (N)
Network (N)
Adjacent Network (A)
Adjacent Network (A)
Local (L)
Local (L)
Physical (P)
Примечание: здесь и далее в скобках даются буквенные мнемоники, ис-
пользуемые при описании CVSS-вектора.
Изменения коснулись понятия «Local», которое в прошлых версиях стандарта описывало любые действия, не затрагивающие сеть. В но- вой версии вводится такое деление:
+
Local — для эксплуатации атакующему требуется локальная сес- сия или определенные действия со стороны легитимного поль- зователя,
+
Physical — атакующему требуется физический доступ к уязвимой подсистеме.
Рассмотрим две уязвимости, имеющие одинаковую оценку с точки зрения CVSSv2 — 7,2 (AV:L/AC:L/Au:N/C:C/I:C/A:C).
CVE-2015-2363
— Драйвер win32k.sys операционной системы
Windows некорректно обрабатывает ряд объектов в памяти, что
позволяет злоумышленнику, имеющему локальный доступ к системе,
получить административные привилегии и выполнить произволь-
ный код в режиме ядра.
CVE-2015-3007
— Сетевые шлюзы Juniper серии SRX некорректно
реализуют функцию отключения восстановления пароля неприви-
легированным пользователем через консольный порт (set system ports
console insecure). Уязвимость позволяет злоумышленнику, имеющему
физический доступ к консольному порту, получить административ-
ные привилегии на устройстве.
Метрики для тех же уязвимостей по новому стандарту CVSSv3 различаются:
Уязвимость
Вектор CVSSv3
Оценка
CVSSv3
CVE-2015-2363
AV:L
/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
7,8
CVE-2015-3007
AV:P
/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
6,8
Видно, что в CVSSv3 степень опасности уязвимости оценивается бо- лее точно, без усреднения, имевшего место в CVSSv2.
Сложность эксплуатации уязвимости
Качественная оценка сложности проведения атаки. Чем больше ус- ловий должно быть соблюдено для эксплуатации уязвимости — тем выше сложность.
CVSSv2
CVSSv3
Название метрики
Access Complexity (AC)
Attack Complexity (AC)
Возможные значения метрики
Low (L)
Low (L)
Medium (M)
High (H)
High (H)
«Сложность» сама по себе — понятие субъективное, поэтому данная метрика всегда трактовалась экспертами по-разному. К примеру, для уязвимостей, позволяющих реализовать атаку «Человек посереди- не», в базе NVD можно встретить различные варианты оценки Access
Complexity.
CVE-2014-2993
— Уязвимость в функции проверки SSL-сертификата
приложения Birebin.com для операционной системы Android по-
зволяет злоумышленнику осуществить атаку «Человек посере-
дине» и получить доступ к конфиденциальным данным.
[Access
Complexity — Low]
CVE-2014-3908
— Уязвимость в функции проверки SSL-сертификата
приложения Amazon.com Kindle для операционной системы Android
позволяет злоумышленнику осуществить атаку «Человек посе-
редине» и получить доступ к конфиденциальным данным.
[Access
Complexity — Medium]
CVE-2014-5239
— Уязвимость в функции проверки SSL-сертификата
приложения Microsoft Outlook.com для операционной системы Android
позволяет злоумышленнику осуществить атаку «Человек посе-
редине» и получить доступ к конфиденциальным данным.
[Access
Complexity — High]
Для облегчения толкования данной метрики в новом стандарте предлагаются только две ступени сложности и более четко пропи- саны критерии отнесения уязвимости к той или иной. В частности, уязвимости, позволяющие атаку «Человек посередине», предписано относить к категории High.
Факторы, учитываемые в CVSSv2 метрикой Access Complexity, в новом стандарте учитываются двумя метриками — Attack Complexity и User
Interaction.
Аутентификация и требуемый уровень привилегий
Требуется ли аутентификация для проведения атаки, и если требует- ся, то какая именно.
CVSSv2
CVSSv3
Название метрики
Authentication (Au)
Privileges Required (PR)
Возможные значения метрики
Multiple (M)
Single (S)
High (H)
Low (L)
None (N)
None (N)
Подход к расчету метрики, основанный на количестве независимых процессов аутентификации, которые нужно пройти атакующему, недостаточно точно отражает смысл привилегий, необходимых для эксплуатации.
Значение Multiple в базе NVD встречается достаточно редко и в ос- новном используется для уязвимостей, информация о которых недо- статочно детализирована.
CVE-2015-0501
— Неизвестная уязвимость в Oracle MySQL Server
позволяет удаленным аутентифицированным пользователям нару-
шить доступность СУБД, используя неизвестный вектор, связанный
с ‘Server : Compiling’.
Значение Single не позволяет определить, требуется ли для эксплуа- тации доступ уровня привилегированного пользователя или доста- точно аутентификации стандартного пользователя.
Рассмотрим две уязвимости, имеющие одинаковую оценку с точки зрения CVSSv2 — 9,0 (AV:N/AC:L/Au:S/C:C/I:C/A:C).
CVE-2014-0649
—
Cisco Secure Access Control System (ACS) некоррек-
тно выполняет авторизацию при доступе к интерфейсу Remote
Method Invocation (RMI), что позволяет удаленным аутентифициро-
ванным злоумышленникам получить административные привилегии.

positive research 2016 76 52 54 56 58 60 62 64 66 68 70 72 74
76
78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50
CVE-2014-9193
— Innominate mGuard некорректно обрабатывает
настройки Point-to-Point Protocol (PPP), что позволяет удаленным зло-
умышленникам, имеющим ограниченные административные права,
получить привилегии суперпользователя.
Метрики для тех же уязвимостей по CVSSv3:
Уязвимость
Вектор CVSSv3
Оценка
CVSSv3
CVE-2014-0649
AV:N/AC:L/