2. Выявление известных уязвимостей

2.1. Выявление известных уязвимостей включает в себя:

- выявление известных уязвимостей в сетевых службах;

- выявление типовых уязвимостей в веб-приложениях;

- выявление известных уязвимостей в программном обеспечении;

- выявление учетных записей с паролями, содержащимися в словарях, используемых при проведении исследования.

Данный метод оценки защищенности может являться составной частью метода тестирования на проникновение, не требует наличия у исследователя специальных навыков и допускает полную автоматизацию.

2.2. Известные уязвимости могут быть выявлены следующими способами:

- идентификацией наименований и версий программного обеспечения АБС и поиском в базах данных известных для них уязвимостей;

- запуском тест-программ (эксплойтов), воспроизводящих в полном объеме или частично выполнение компьютерных атак с использованием известных уязвимостей.

2.3. В зависимости от начальных условий для выявления известных уязвимостей могут использоваться стратегии черного ящика и белого ящика.

При стратегии черного ящика исследователю предоставляется доступ к составным частям АБС на уровне протокола IP. Предметом исследования являются уязвимости сетевых служб компонентов АБС, доступных исследователю.

При стратегии белого ящика исследователю предоставляется доступ к интерфейсам управления операционными системами, телекоммуникационным оборудованием, СУБД и серверами приложений с необходимыми правами доступа. Предметом исследования являются все уязвимости программных компонентов АБС, сведения о которых содержатся в используемой исследователем базе данных уязвимостей.

При стратегии белого ящика исследования могут проводиться как с использованием автоматизированных средств анализа защищенности, так и вручную, при стратегии черного ящика исследования проводятся с использованием автоматизированных средств.

2.4. К достоинствам выявления известных уязвимостей как метода оценки защищенности относятся:

- высокая достоверность сведений о выявленных уязвимостях при использовании стратегии белого ящика;

- высокая степень автоматизации, низкие требования к квалификации исследователя при использовании автоматизированных средств анализа защищенности;

- пригодность результатов исследования для оценки степени возможности реализации угроз и степени тяжести последствий из реализации;

- воспроизводимость исследования.

Недостатками выявления известных уязвимостей как метода оценки защищенности являются:

- низкая достоверность сведений о выявленных уязвимостях при использовании стратегии черного ящика;

- возможность сбоев и отказов в функционировании компонентов АБС при проведении исследования с использованием стратегии черного ящика;

- необходимость предоставления исследователю привилегированного доступа к составным частям АБС при использовании стратегии белого ящика.

2.5. Выявление известных уязвимостей в сетевых службах производится при использовании стратегии черного ящика. Исследование включает в себя:

- идентификацию серверов и рабочих мест по их IP-адресам или именам;

- идентификацию сетевых протоколов, доступных для взаимодействия;

- идентификацию программ, обеспечивающих реализацию указанных сетевых протоколов, с определением их наименований и версий по информации, передаваемой при сетевом взаимодействии;

- выборку из базы данных уязвимостей, относящихся к идентифицированным версиям программ;

- выявление уязвимостей сетевых служб путем запуска потенциально применимых к ним эксплойтов.

2.6. Выявление типовых уязвимостей в веб-приложениях производится при использовании стратегии черного ящика. Исследование включает в себя выявление следующих типов уязвимостей:

- инъекции, в особенности SQL-инъекции, OS Command, LDAP и XPath-инъекции;

- подбор аутентификационных данных;

- небезопасная передача данных, в том числе в процессе аутентификации;

- ошибки в контроле доступа (например, небезопасные прямые ссылки на объекты, невозможность ограничения доступа по URL и обход директорий);

- межсайтовый скриптинг (XSS);

- подделка межсайтовых запросов (CSRF);

- расщепление запроса HTTP, сокрытие ответа HTTP;

- открытое перенаправление;

- раскрытие информации о директориях/сценариях;

- предсказуемое расположение ресурсов;

- идентификация приложений;

- чтение произвольных файлов;

- раскрытие чувствительной информации;

- обратный путь в директориях;

- переполнение буфера.

Исследование производится путем анализа данных веб-форм, отправки веб-серверу тестовых запросов с варьируемыми значениями параметров запроса и анализа ответов.

2.7. Идентификация известных уязвимостей программного обеспечения выполняется с использованием стратегии белого ящика. Исследование включает в себя:

- инвентаризацию программного обеспечения, установленного на исследуемом техническом средстве, с идентификацией наименований и версий программ, а также установленных обновлений безопасности;

- выборку из базы данных уязвимостей, относящихся к идентифицированным версиям программ;

- исключение из полученной выборки уязвимостей, устранение которых обеспечено установленными обновлениями безопасности.

2.8. Выявление учетных записей с паролями, содержащимися в словарях, используемых при проведении исследования с использованием стратегий как черного ящика, так и белого ящика. При использовании стратегии черного ящика производятся попытки аутентификации с использованием имен и паролей из используемого словаря. При использовании стратегии белого ящика производятся выборка хеш-значений паролей из конфигурационных файлов, таблиц баз данных и сравнение их с хеш-значениями паролей из используемого словаря.

2.9. По результатам исследования разрабатывается отчет, содержащий:

- перечень компонентов АБС;

- перечень выявленных уязвимостей, оценку степени их критичности для обеспечения ИБ организации БС РФ;

- рекомендации по устранению выявленных уязвимостей.

Оценку критичности уязвимостей рекомендуется определять в соответствии с методикой Common Vulnerability Scoring System (CVSS).