Оценка риска уязвимости

Discussion in 'Уязвимости' started by Евгений Минаев, 1 Mar 2008.

  1. Евгений Минаев

    Евгений Минаев Elder - Старейшина

    Joined:
    12 Nov 2007
    Messages:
    55
    Likes Received:
    169
    Reputations:
    159
    Категорирование критичности опубликованных уязвимостей необходимый этап, связанный с протоколированием и оценкой степени риска в случае успешного использования информации с целью нарушения политики безопасности. Как правило, оценка критичности происходит трижды: первый при огласке технической стороны уведомления, второй при публикации комментариев разработчиков на собственной bugtrack ленте и третий при использовании этой информации на сторонних источниках.

    При использовании шкалы, отображающей степень важности уязвимости, стоит принимать в расчет такие факты, как:

    - материальные затраты на восстановление работоспособности с точки зрения их работоспособности и доступности :
    - недоступность информационных ресурсов.
    - раскрытие информационных ресурсов.
    - искажение или порча информационных ресурсов.

    - возможность использования уязвимости извне.
    - владение специальными навыками для эксплуатации.
    - наличие обновлений или комментариев, опровергающих информацию.
    - кол-во и доступность векторов для совершения атаки.
    - кол-во сегменов сети, подверженных заражению или атаке.
    -полнота информации об уязвимости.

    Зарубежная багтрак -лента secunia.com имеет пятиуровневую систему оценок критичности, что на мой взгляд существенно усложняет процесс анализа достоверности. Идеальным по мнению большинства подобных сайтов является «сфетофорный» подход, иногда дополняемый четвертой шкалой, как это делает Microsoft. Сейчас все больше и больше компаний, представляющих услуги аутсоринга в сфере информационной безопасности ( в частности ITDefence ) используют систему Common Vulnerability Scoring System II, в основу которой заложены общие требования к оценке в качественных и количественных критериях -механизм расчета понятен, применим к любой информационной системе и ее использование не вызывает нареканий по вопросу достоверности.

    Расчет критичности уязвимости -http://nvd.nist.gov/cvss.cfm?calculator
    Common Vulnerability Scoring System II -http://www.first.org/cvss/
    Commin Vulnerability Scoring System Manual -http://www.first.org/cvss/cvss-guide.html​

    www.itdefence.ru/blogs/view/33/
     
    #1 Евгений Минаев, 1 Mar 2008
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.