Внешние источники информации об уязвимостях в ИБ
Существует множество внешних источников информации об уязвимостях, которые организации могут использовать в рамках процесса управления уязвимостями. Из них можно получить данные о новых уязвимостях, патчах и эксплойтах.
Поговорим о самых распространённых внешних источниках информации, об уязвимостях, которые можно использовать в работе:
Поговорим о самых распространённых внешних источниках информации, об уязвимостях, которые можно использовать в работе:
- Открытые базы данных уязвимостей.
- Официальные информационные ресурсы разработчиков программных и программно-аппаратных средств.
- Коммерческие источники информации об уязвимостях.
- Профильные телеграм-каналы и форумы.
Открытые базы данных уязвимостей
1
Порталы
К открытым базам данных уязвимостей можно отнести порталы.
На портале cve.org можно узнать, к какому продукту применима та или иная уязвимость, в поле Product Status.
Портал nvd.nist.gov предоставляет данные об оценке CVSSv2 и v3 и о том, входит ли уязвимость в список часто используемых уязвимостей (CISA Known Exploited Vulnerabilities). Также есть возможность осуществлять поиск уязвимостей по CPE.
Common Platform Enumeration (CPE) — это стандартизированная система наименования и идентификации программных приложений, платформ и операционных систем. Она обеспечивает структурированный и единообразный способ описания и ссылки на программные объекты, что упрощает управление и отслеживание.
CPE использует определённый синтаксис и формат для представления названий и версий программного обеспечения. Он обычно используется в базах данных уязвимостей и инструментах кибербезопасности для ссылки на программное обеспечение и отслеживания уязвимостей, связанных с конкретными версиями программного обеспечения.
CPE имеет следующую структуру:
cpe:<cpe_version>:<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>:<sw_edition>:<target_sw>:<target_hw>:<other>.
Рассмотрим ключевые параметры:
Таким образом, для Google Chrome 104.0.5078.1 CPE будет иметь вид: cpe:2.3:a:google:chrome:104.0.5078.1:*.
CPE имеет следующую структуру:
cpe:<cpe_version>:<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>:<sw_edition>:<target_sw>:<target_hw>:<other>.
Рассмотрим ключевые параметры:
- cpe_version — это версия CPE. На данный момент актуальна 2.3;
- part — это тип продукта. Может принимать одно из трёх значений: a — для программного обеспечения, h — для аппаратного обеспечения, o — для операционных систем;
- vendor — в этом параметре указывается производитель продукта. Например, Google;
- product — название самого продукта. Например, Chrome;
- version — версия продукта. Например, 104.0.5078.1.
Таким образом, для Google Chrome 104.0.5078.1 CPE будет иметь вид: cpe:2.3:a:google:chrome:104.0.5078.1:*.
Осуществить запрос в поиске уязвимостей, применимых для определённого программного обеспечения или платформ.
2
Банк данных угроз безопасности информации ФСТЭК
Отечественной базой данных об уязвимостях является БДУ ФСТЭК (База данных об уязвимостях Федеральной службы по техническому и экспортному контролю)
ФСТЭК (Федеральная служба по техническому и экспортному контролю) — это государственный орган, занимающийся вопросами безопасности информационных технологий, криптографии и технической защиты конфиденциальной информации. БДУ ФСТЭК.
Пример страницы
Доступно множество фильтров для поиска информации об уязвимостях, таких как CVE, производитель ПО, версия ПО, метрики CVSS, и прочая информация.
Доступно описание уязвимостей веб-приложений с описанием дефектов (CWE) и рекомендациями по их устранению.
Описание типовых веб-уязвимостей
Официальные информационные ресурсы разработчиков программных и программно-аппаратных средств
К официальным информационным ресурсам разработчиков программных и программно-аппаратных средств
относятся порталы вендоров и производителей ПО. Информация на таких порталах публикуется раньше, чем в других источниках.
относятся порталы вендоров и производителей ПО. Информация на таких порталах публикуется раньше, чем в других источниках.
Список уязвимостей в продуктах Microsoft на портале.
Например, на этом портале можно узнать актуальную информацию об уязвимостях в продуктах Microsoft.
Если кликнуть на интересующую CVE, можно провалиться в карточку с её описанием и посмотреть, для каких версий продуктов она применима, рекомендации по её устранению и ссылку на патч, закрывающий уязвимость.
Пример карточки уязвимости CVE-2023−36803 на портале Microsoft
Список уязвимостей в продуктах Red Hat на портале
По аналогии с порталом Microsoft у Red Hat есть портал, на котором опубликованы бюллетени безопасности в продуктах Red Hat.
Здесь также по аналогии с порталом Microsoft можно кликнуть на интересующие уязвимости и получить дополнительную информацию.
Пример карточки уязвимости CVE-2023−20593 на портале Red Hat
В рамках программы по импортозамещению актуальными становятся порталы с бюллетенями безопасности для отечественных ОС. Информация об уязвимостях в отечественных ОС доступна на порталах:
Для дополнительной информации можно ознакомиться со статьёй разработчиков Astra Linux «Как мы закрываем уязвимости в ОС Astra Linux Special Edition» на «Хабре».
Коммерческие источники информации об уязвимостях
1
Платформы Threat Intelligence
К коммерческим источникам информации об уязвимостях относятся фиды платформы Threat Intelligence и базы данных уязвимостей с доступом по подписке. Например, Kaspersky Thread Intelligence Portal, Groupe-IB.
На платформах Threat Intelligence информация обогащена дополнительными данными:
На платформах Threat Intelligence информация обогащена дополнительными данными:
- ссылками на эксплойты;
- данными об использовании уязвимости хакерскими группировками;
- ссылками на упоминание уязвимости в Darkweb;
- информацией о связи с вредоносным ПО и прочим.
Пример информации об уязвимостях на платформе Threat Intelligence
Пример информации об уязвимостях на платформе Threat Intelligence
2
Портал vulners.com
Ещё одним коммерческим источником информации об уязвимостях является портал.
Портал по коммерческой подписке предоставляет информацию:
Портал по коммерческой подписке предоставляет информацию:
- о трендах уязвимостей;
- об упоминании в Twitter;
- о том, возможна ли эксплуатация уязвимости через Metasploit;
- возможно ли обнаружить уязвимость с помощью сканера;
- и прочую информацию, которая может помочь при анализе уязвимостей.
Тренды уязвимостей
Ссылки на дополнительные источники
Дополнительная информация по структуре записи CPE доступна по ссылке.
Одними из аналогов Vulners являются порталы https://vuldb.com и https://vulndb.cyberriskanalytics.com (доступно только через VPN).
Профильные телеграм-каналы и форумы
Из профильных телеграм-каналов и форумов можно также получить множество дополнительной информации об уязвимостях.
Примеры информации об уязвимостях в телеграм-каналах
Примеры информации об уязвимостях на форуме exploit. in
Для эффективного и проактивного реагирования на новые угрозы часто используют комбинацию различных источников, чтобы быть в курсе последних уязвимостей и вовремя принимать меры безопасности. Этот мониторинг является важной частью управления уязвимостями и обеспечения защиты от потенциальных киберугроз.
Курс по Vulnerability management в Inseca
Освойте направление Vulnerability management за 5 недель и получите навыки, необходимые для обнаружения и управления уязвимостями. Курс включает практику в реальных кейсах. Подходит специалистам с опытом в IT/ИБ от 1 года, которые хотят развиваться в управлении уязвимостями, начинающим специалистам по пентесту/редтимерам, а также аналитикам SOC, желающим понимать принципы обнаружения и классификации уязвимостей и их устранения.
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты