- 942 Просмотра
- Обсудить
Уязвимости
Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их «силы».
Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням:
♦ критический;
♦ высокий;
♦ средний;
♦ низкий.
Источниками составления такого перечня/списка уязвимостей могут стать:
♦ общедоступные, регулярно публикуемые списки уязвимостей (к примеру, на www.securityLab.ru);
♦ список уязвимостей, публикуемых производителями ПО;
♦ результаты тестов на проникновение (проводится администратором безопасности внутри компании);
♦ анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).
В общем случае уязвимости можно классифицировать следующим образом:
♦ уязвимости операционной системы и программного обеспечения (ошибки кода), обнаруженные производителем или независимыми экспертами;
♦ уязвимости системы, связанные с ошибками в администрировании (например, незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступные незаблокированные сетевые ресурсы C$, D$и т. д.);
♦ уязвимости, источниками которых могут стать инциденты, непредусмотренные политикой безопасности, а также события стихийного характера.
В качестве яркого примера распространенной уязвимости операционных систем и программного обеспечения можно привести переполнение буфера (buffer overflow). К слову будет сказано, абсолютное большинство из ныне существующих вредоносных программ реализуют класс уязвимостей на переполнение буфера.
Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Классическая формула оценки рисков:
R = D • P(V),
где R – информационный риск;
D – критичность актива (ущерб);
P(V) – вероятность реализации уязвимости.
Будь-те первым, поделитесь мнением с остальными.