Уязвимости

Уязвимости

Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их «силы».

Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням:

♦ критический;

♦ высокий;

♦ средний;

♦ низкий.

Источниками составления такого перечня/списка уязвимостей могут стать:

♦ общедоступные, регулярно публикуемые списки уязвимостей (к примеру, на www.securityLab.ru);

♦ список уязвимостей, публикуемых производителями ПО;

♦ результаты тестов на проникновение (проводится администратором безопасности внутри компании);

♦ анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).

В общем случае уязвимости можно классифицировать следующим образом:

♦ уязвимости операционной системы и программного обеспечения (ошибки кода), обнаруженные производителем или независимыми экспертами;

♦ уязвимости системы, связанные с ошибками в администрировании (например, незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступные незаблокированные сетевые ресурсы C$, D$и т. д.);

♦ уязвимости, источниками которых могут стать инциденты, непредусмотренные политикой безопасности, а также события стихийного характера.

В качестве яркого примера распространенной уязвимости операционных систем и программного обеспечения можно привести переполнение буфера (buffer overflow). К слову будет сказано, абсолютное большинство из ныне существующих вредоносных программ реализуют класс уязвимостей на переполнение буфера.

Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Классическая формула оценки рисков:

R = D • P(V),

где R – информационный риск;

D – критичность актива (ущерб);

P(V) – вероятность реализации уязвимости.