Причины возникновения, классификация и критичность уязвимостей программного обеспечения информационных систем

Цель. Целью исследования является описание причин возникновения уязвимостей программного обеспечения, а также их классификация; устранение неопределённости понятия «критичность уязвимости программного обеспечения». Метод. Анализ существующих подходов к оценке, классификации, и определения уязвимостей программного обеспечения. Моделирование, построение UML модели, описание алгоритма. Результат. Дано определение критичности уязвимости программного обеспечения. Частично описаны причины возникновения уязвимостей программного обеспечения, расширена существующая классификация уязвимостей программного обеспечения. Приведен пример оценки критичности уязвимостей программного обеспечения на основе вычисляемых метрик. Приведен пример оценки и приоритезации метрик уязвимостей. Представлены UML модель и алгоритм оценки уязвимостей. Вывод. Результаты проведенного исследования расширяют перечень показателей и предметную область описания уязвимостей программного обеспечения.

1. ГОСТ Р 58142-2018. Информационная безопасность. Методы и средства защиты информации. Общие положения. – Введ. 2018-12-01. – М.: Стандартинформ, 2018. – 24 с.

2. Дойникова, Е. В. Оценка защищенности компьютерных сетей на основе метрик CVSS / Е. В. Дойникова, А.А. Чечулин, И.В. Котенко // Информационно-управляющие системы. – 2017. – № 6(91). – С. 76–87. – DOI 10.15217/issn1684-8853.2017.6.76. – EDN ZXWUWH.

3. Дровникова, И.Г. Основные виды уязвимостей и взаимосвязь компонентов безопасности при обосновании показателей надёжности системы защиты информации от несанкционированного доступа в автоматизированных системах / И.Г. Дровникова, А.С. Етепнев, Е.А. Рогозин // Приборы и системы. Управление, контроль, диагностика. – 2019. – № 3. – С. 59–64. – EDN VWGOHY.

4. Щеглов, К.А. Защита от атак на уязвимости приложений. Модели контроля доступа / К.А. Щеглов, А.Ю. Щеглов // Вопросы защиты информации. – 2013. – № 2(101). – С. 36–43. – EDN QAVHRX.

5. Коноваленко, С.А. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей / С.А. Коноваленко, И.Д. Королев // Альманах современной науки и образования. – 2016. – № 11(113). – С. 60–66. – EDN XEEDXH.

6. Forum of Incident Response and Security Teams. Common Vulnerability Scoring System version 4.0: Specification Document [Электронный ресурс]. – URL: https://www.first.org/cvss/specification-document (дата обращения: 16.01.2025).

7. OWASP Foundation. OWASP Risk Rating Methodology [Электронный ресурс]. – URL: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology (дата обращения: 16.01.2025).

8. Карты источников, содержащих сведения об уязвимостях программного обеспечения / А.Л. Сердечный, М.А. Тарелкин, А.А. Ломов, К.В. Симонов // Информация и безопасность. – 2019. – Т. 22, № 3. – С. 411–422. – EDN ZOUMGN.

9. ГОСТ Р 56546-2015. Информационная безопасность. Защита информации. Показатели защищённости информационных систем. – Введ. 2016-01-01. – М.: Стандартинформ, 2016. – 12 с.

10. ГОСТ Р 53114-2008. Информационная технология. Защита информации. Основные термины и определения. – Введ. 2009-01-01. – М.: Стандартинформ, 2009. – 14 с.

11. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости /А.О. Ефимов, И.И. Лившиц, Т.В. Мещерякова, Е.А. Рогозин // Безопасность информационных технологий. – 2023. – Т. 30, № 2. – С. 63–79. – DOI 10.26583/bit.2023.2.04. – EDN LGPQZP.

12. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28. – EDN SSYPXV.

13. Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018, p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.

14. Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010, p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.

15. Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020, vol. 108, no. 10, p. 1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.

16. Кубарев, А.В. Подход к формализации уязвимостей информационных систем на основе их классификационных признаков / А.В. Кубарев // Вопросы кибербезопасности. – 2013. –№ 2(2). –С. 29–33. –EDNSZEDHH.

17. Ланкин, О.В. Системно-комплексный кибернетический подход к формированию методологических основ интеллектуальной защиты информации от несанкционированного доступа / О.В. Ланкин, В.И. Сумин, Е.В. Воронова // Вестник Воронежского государственного технического университета. – 2011. – Т. 7, № 8. – С. 174–176. – EDN NYIJQT.

18. Лившиц И.И. Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов / И. И. Лившиц // Труды СПИИРАН. – 2020. – Т. 19, № 2. – С. 383–411. – DOI 10.15622/sp.2020.19.2.6. – EDN DPCIDQ.

19. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств : утв. ФСТЭК России 28 октября 2022 г. : методический документ ФСТЭК России от 28.02.2022 г. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokumentot-28-oktyabrya-2022-g-2 (дата обращения: 04.10.2024).

20. Методики оценивания надежности систем защиты информации от несанкционированного доступа в автоматизированных системах/О.И. Бокова, И.Г. Дровникова, А.С. Етепнев [и др.]//Труды СПИИРАН. – 2019. – Т. 18, № 6. – С. 1301–1332. – DOI 10.15622/sp.2019.18.6.1301-1332. – EDN YBHXOB.