Содержание. __ от редакции. Биография сетевого периметра в картинках

77
// уязвимости и атаки
53 55 57 59 61 63 65 67 69 71 73 75
77
79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
ВРЕМЕННыЕ МЕТРИКИ
Временные метрики не претерпели никаких принципиальных изменений.
Степень зрелости доступных средств эксплуатации
Доступен ли публично код или другие средства, с помощью которых можно провести атаку, или, напротив, существует только теоретиче- ская возможность эксплуатации.
CVSSv2
CVSSv3
Название метрики
Exploitability (E)
Exploit Code Maturity (E)
Возможные значения метрики
Not Defined (ND/X)
High (H)
Functional (F)
Proof-of-Concept (POC/P)
Unproven (U)
В этой метрике изменилось только название: теперь оно точнее от- ражает назначение.
Доступные средства устранения уязвимости
Существуют ли официальные или неофициальные средства устране- ния уязвимости.
CVSSv2
CVSSv3
Название метрики
Remediation Level (RL)
Возможные значения метрики
Not Defined (ND/X)
Unavailable (U)
Workaround (W)
Temporary Fix (TF/T)
Official Fix (OF/O)
В данную метрику изменения не вносились.
Степень доверия к информации об уязвимости
Степень детализации доступных отчетов об уязвимости.
CVSSv2
CVSSv3
Название метрики
Report Confidence (RC)
Возможные значения метрики
Not Defined (ND)
Not Defined (X)
Unconfirmed (UC)
Uncorroborated (UR)
Unknown (U)
Reasonable (R)
Confirmed (C)
Confirmed (C)
В новом стандарте более четко описаны критерии для отнесения от- чета об уязвимости к той или иной категории:
+
Unknown — в существующих отчетах отсутствует описание причины уязвимости или различные исследователи расходятся относительно причин и возможных последствий эксплуатации;
+
Reasonable — существуют отчеты об уязвимости, позволяющие судить о причинах уязвимости с достаточной степенью уверен- ности (например, в отчете приводится эксплуатирующий код);
+
Confirmed — уязвимость подтверждена производителем про- дукта или в свободном доступе находится полнофункциональ- ный эксплойт.
Степень влияния временных метрик
Рассмотрим уязвимость:
CVE-2015-2373
— Уязвимость в сервисе Remote Desktop Protocol (RDP)
операционной системы Windows позволяет удаленному атакующему
выполнить произвольный код на системе путем отправки специаль-
но сформированных RDP-пакетов.
Версия
стандарта
CVSS-вектор
Базовая
оценка
Итоговая
оценка
CVSSv2
AV:N/AC:L/Au:N/C:C/
I:C/A:C/E:U/RL:OF/RC:C
10,0 7,4
CVSSv3
AV:N/AC:L/PR:N/UI:N/S:U/
C:H/I:H/A:H/E:U/RL:O/RC:C
9,8 8,5
Как видно, формула расчета в новом стандарте переработана в поль- зу снижения общего влияния временных метрик на итоговую число- вую оценку.
КОНТЕКСТНыЕ МЕТРИКИ
Контекстные метрики изменены для упрощения оценки влияния сре- ды на итоговую оценку.
Требования к безопасности
Позволяет задекларировать, какая характеристика данных атакуемо- го компонента (конфиденциальность, целостность или доступность) наиболее влияет на функциональность бизнес-системы или в целом на бизнес-процессы.
CVSSv2
CVSSv3
Название метрики
Confidentiality Requirement (CR), Integrity Requirement (IR),
Availability Requirement (AR)
Возможные значения метрики
Not Defined (ND/X)
High (H)
Medium (M)
Low (L)
В данную метрику изменения не вносились.
Скорректированные базовые метрики
Эксплуатируемость и потенциальный ущерб в условиях IТ- инфраструктуры конкретной компании.
CVSSv3
Название метрики
Modified Attack Vector (MAV),
Modified Attack Complexity (MAC),
Modified Privileges Required (MPR),
Modified User Interaction (MUI), Modified Scope (MS),
Modified Confidentiality (MC), Modified Integrity (MI),
Modified Availability (MA)
Возможные значения метрики
Значения, описанные в секции «Базовые метрики», или Not Defined (X)

positive research 2016 78 52 54 56 58 60 62 64 66 68 70 72 74 76
78
80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50
Эта метрика может как повысить итоговую оценку, например если используется потенциально слабая конфигурация приложения, так и понизить, если внедрены как-либо компенсирующие средства, по- зволяющие снизить риск эксплуатации или потенциальный ущерб от успешной атаки.
Упраздненные метрики
Из стандарта исключены следующие метрики:
Вероятность нанесения побочного ущерба
(Collateral Damage
Potential, CDP) — оценка по качественной шкале None/Low/Medium/
High потенциального ущерба для оборудования или иных активов от эксплуатации уязвимости. Эта метрика также могла учитывать эко- номический ущерб от простоя производства или недополученной выручки.
Плотность целей
(Target Distribution, TD) — процент систем в ин- формационной среде компании, на которые может влиять эксплуа- тация уязвимости.
ИНыЕ НОВОВВЕДЕНИя В СТАНДАРТЕ
Цепочки уязвимостей
Стандарт CVSS изначально разрабатывался для независимой оценки каждой уязвимости, однако существует ряд случаев, в которых мож- но, эксплуатируя несколько уязвимостей последовательно, нанести значительно больший урон.
Новый стандарт рекомендует использовать метрики CVSS и для опи- сания цепочек уязвимостей, комбинируя характеристики эксплуати- руемости одной уязвимости с метриками воздействия другой.
Рассмотрим абстрактный пример.
Уязвимость 1
— Локальное повышение привилегий, не требующее
взаимодействия с пользователем.
Уязвимость 2
— Уязвимость, позволяющая удаленному неаутен-
тифицированному атакующему модифицировать файлы уязвимого
компонента. Уязвимость требует от пользователя выполнения ка-
ких-либо действий для успешной эксплуатации, например перехода
по ссылке.
Уязвимость
Вектор CVSSv3
Оценка
CVSSv3
Уязвимость 1
AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
8,4
Уязвимость 2
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
4,3
В случае если при эксплуатации уязвимости 2 возможно модифици- ровать файлы приложения так, чтобы это могло привести к эксплуа- тацию уязвимости 1, — можно говорить о наличии цепочки уязвимо- стей со следующими характеристиками.
Уязвимость
Вектор CVSSv3
Оценка
CVSSv3
Уязвимость 2 
Уязвимость 1
AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
8,8
Как видно из примера, итоговая оценка для цепочки может быть выше, чем уровень опасности каждой отдельной уязвимости.
Качественная шкала оценки опасности
За годы использования CVSSv2 в разных компаниях сложились раз- ные подходы к выставлению качественного уровня опасности на базе метрики CVSS:
+
Nvd.nist.gov: 0–3,9 Low; 4,0–6,9 Medium; 7,0–10,0 High;
+
Tenable: 0–3,9 Low; 4,0–6,9 Medium; 7,0–9,9 High; 10,0 Critical;
+
Rapid 7: 0–3,9 Moderate; 4,0–7,9 Severe; 8,0–10,0 Critical.
Стандарт CVSSv3 рекомендует использовать следующую шкалу каче- ственных оценок:
Количественная оценка
Качественная оценка
0
None
0,1–3,9
Low
4,0–6,9
Medium
7,0–8,9
High
9,0–10,0
Critical
ПЕРЕЧЕНь НАИБОЛЕЕ ВАжНых ИЗМЕНЕНИй
Коротко подведем итоги и перечислим самые важные новшества
CVSSv3:
+
Введены понятия «уязвимый компонент» и «атакуемый компо- нент». Метрики эксплуатируемости рассчитываются для уязви- мого компонента, а метрики воздействия — для атакуемого.
+
Добавлена новая ступень требуемого для эксплуатации досту- па — «физический доступ».
+
Введена новая метрика «Необходимость взаимодействия с поль- зователем».
+
Переработана метрика, учитывающая необходимость аутенти- фикации. Появилась возможность учесть необходимость приви- легированного доступа к системе.
+
Из количественной в качественную переработана шкала метрик воздействия.
+
Контекстные метрики «Вероятность нанесения побочного ущерба» и «Плотность целей» заменены более показательными
«Скорректированными базовыми метриками».
+
Даны рекомендации для оценки цепочек уязвимостей по мето- дике CVSS.
+
Стандартизована качественная шкала оценки опасности.
Подход к оценке, предложенный в новом стандарте, позволяет бо- лее точно учесть большинство факторов, влияющих на опасность уязвимостей, поэтому вполне можно ожидать скорого внедрения данного стандарта в компаниях, работа которых связана с анализом уязвимостей.
Введение новых метрик практически не повлияло на освоение про- цесса оценки. В каких-то моментах стало проще (сложность атаки, не- обходимость взаимодействия с пользователем), в каких-то сложнее
(качественная оценка влияния на конфиденциальность, целостность и доступность, границы эксплуатации).
Тем, кто хочет глубже освоить методику оценки уязвимостей по CVSS, рекомендую помимо спецификации [1] ознакомится с примерами расчетов [3] и рекомендациями FIRST [2], где на типовых примерах разъясняется, как правильно использовать стандарт для оценки уязвимостей.
Ряд зарубежных компаний, среди которых IBM X-Force и Security
Database, уже внедрили оценки по CVSSv3 в своих продуктах и серви- сах. Мы в компании Positive Technologies закладываем возможность оценки уязвимостей по стандарту CVSSv3 в корпоративной базе зна- ний и линейке продуктов MaxPatrol.
БОНУС: CVSS-МЕТРИКИ ДЛя ИМЕНОВАННых
УяЗВИМОСТЕй
Начиная с уязвимости в OpenSSL, получившей запоминающееся на- звание Heartbleed и красивый логотип с кровоточащим сердцем, в сообществе специалистов по информационной безопасности стало модно придумывать для уязвимостей звучные имена, особенно это касается уязвимостей, связанных с SSL/TLS. Проанализируем, на- сколько в действительности опасны эти поименованные уязвимости.
Уязвимость ‘Heartbleed’ в OpenSSL (CVE-2014-0160)
— Уязвимость
существует в реализации TLS и DTLS для OpenSSL из-за некорректной

79
// уязвимости и атаки
53 55 57 59 61 63 65 67 69 71 73 75 77
79
81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
обработки пакетов расширения Heartbeat. Эксплуатация данной уяз-
вимости позволяет злоумышленникам, действующим удаленно, по-
лучить доступ к конфиденциальной информации из памяти процесса
при помощи специально сформированных пакетов, которые вызыва-
ют чтение за пределами буфера.
Версия
стандарта
CVSS-вектор
Базовая
оценка
Итоговая
оценка
CVSSv2
AV:N/AC:L/Au:N/C:P/I:N/A:N/
E:F/RL:OF/RC:C
5,0 4,1
CVSSv3
AV:N/AC:L/PR:N/UI:N/S:U/
C:H/I:N/A:N/E:F/RL:O/RC:C
7,5 7,0
Уязвимость Mozilla ‘BERserk’ в Mozilla NSS (CVE-2014-1568)
—
Уязвимость в функции разбора формата ASN.1 SSL-сертификата в
библиотеке Mozilla Network Security Services (NSS) позволяет злоумыш-
ленникам подменить RSA-подпись в сертификате и получить неав-
торизованный доступ к конфиденциальным данным.
Версия
стандарта
CVSS-вектор
Базовая
оценка
Итоговая
оценка
CVSSv2
AV:N/AC:M/Au:N/C:C/I:C/A:N/
E:U/RL:OF/RC:C
8,8 6,5
CVSSv3
AV:N/AC:H/PR:N/UI:N/S:U/
C:H/I:H/A:N/E:U/RL:O/RC:C
7,4 6,4
Уязвимость ‘POODLE’ в протоколе SSLv3 (CVE-2014-3566)
—
Уязвимость протокола SSLv3 в реализации CBC-шифрования в OpenSSL
и ряде других продуктов позволяет злоумышленнику, проводящему
атаку «Человек посередине», получить незашифрованные данные, ис-
пользуя атаку padding oracle. В дальнейшем уязвимость также была
найдена в ряде реализаций TLS (CVE-2014-8730).
Версия
стандарта
CVSS-вектор
Базовая
оценка
Итоговая
оценка
CVSSv2
AV:N/AC:M/Au:N/C:P/I:N/A:N
/E:U/RL:W/RC:C
4,3 3,5
CVSSv3
AV:N/AC:H/PR:N/UI:R/S:U/C:L/
I:N/A:N/E:U/RL:W/RC:C
3,1 2,8
Уязвимость ‘Sandworm’ Windows OLE (CVE-2014-4114)
— Уязвимость в
Microsoft Windows OLE позволяет атакующему выполнить произволь-
ный код на системе при условии открытия пользователем файла,
содержащего специально сформированный OLE-объект.
Версия
стандарта
CVSS-вектор
Базовая
оценка
Итоговая
оценка
CVSSv2
AV:N/AC:M/Au:N/C:C/I:C/A:C/
E:F/RL:OF/RC:C
9,3 7,7
CVSSv3
AV:L/AC:L/PR:N/UI:R/S:U/C:H/
I:H/A:H/E:U/RL:O/RC:C
7,3 7,2
Уязвимость 'Shellshock' в Bash (CVE-2014-6271, CVE-2014-7169)
—
Уязвимость в GNU Bash вызвана некорректной обработкой стро-
ки, идущей после определения функции в переменной окружения.
Эксплуатация уязвимости возможна через разные вектора атаки:
DHCP, HTTP, SIP, FTP, SMTP — и позволяет злоумышленнику выполнить
произвольный bash-код на целевой системе.