BDU и CVE
Не путать!!!
База данных NVD
База данных NVD
База данных уязвимостей
Банк данных уязвимостей
Наименование уязвимости
Описание уязвимости
Компоненты
Тип ПО
Тип ошибки CWE
Базовый вектор уязвимости
Способ эксплуатации
Задание
1.53M
Category: informaticsinformatics

Лаба 4 приложение

1. BDU и CVE

Системы описания уязвимостей

2. Не путать!!!

Common Vulnerabilities and Exposures (CVE) — база данных общеизвестных уязвимостей информационной
безопасности.
Common Weakness Enumeration (CWE) — поддерживаемая и развиваемая сообществом система
классификации недостатков безопасности.
BDU — отечественная база данных уязвимостей программного обеспечения.

3. База данных NVD

4. База данных NVD

Идентификатор
Дата выявления
Описание
Вектор CVSS
CWE (не всегда)
ПО
Ссылки

5. База данных уязвимостей

6. Банк данных уязвимостей

Идентификатор BDU
Дата выявления
Наименование уязвимости
Базовый вектор уязвимости
Описание уязвимости
Уровень опасности уязвимости
Вендор
Возможные меры по устранению
Наименование ПО
Статус уязвимости
Версия ПО
Наличие эксплойта
Тип ПО
Способ эксплуатации
Операционные системы и аппаратные
Способ устранения
платформы
Информация об устранении
Тип ошибки
Ссылки на источники
Идентификатор типа ошибки
Идентификаторы других систем описаний
Класс уязвимости
уязвимостей

7.

8.

9. Наименование уязвимости

Уязвимость [компонент] [тип программного обеспечения] [наименование программного обеспечения], позволяющая
нарушителю [последствия эксплуатации уязвимости]
[компонент] – составная часть (части) программного обеспечения, в котором выявлена уязвимость (указывается, если он
(они) известны)
[тип программного обеспечения] – тип программного обеспечения, в котором выявлена уязвимость (значение определяется
словарями)
[наименование программного обеспечения] – наименование программного обеспечения, в котором выявлена уязвимость
[последствия эксплуатации уязвимости] – неправомерное(-ые) действие(-я), которое(-ые) может(-гут) быть выполнено(-ы)
нарушителем путем эксплуатации выявленной уязвимости

10.

11. Описание уязвимости

Уязвимость [компонент] [тип программного обеспечения] [наименование программного обеспечения] связана с
[причина возникновения уязвимости]. Эксплуатация уязвимости может позволить нарушителю, [действующему
удаленно], [последствия эксплуатации уязвимости]

12.

13. Компоненты

• функция
• служба
• драйвер
• подсистема
• процедура
• интерфейс
• модуль
• приложение
• обработчик
• и т.д.

14.

15. Тип ПО

• Прикладное ПО информационных систем
• ПО сетевого программно-аппаратного средства
• Сетевое программное средство
• Операционная система
• Программное средство АСУ ТП
• Программное средство защиты
• ПО программно-аппаратных средств защиты
• ПО программно-аппаратного средства АСУ ТП
• ПО виртуализации/ПО виртуального программно-аппаратного средства
• СУБД
• Микропрограммный код
• ПО виртуализации и ПО виртуальных аппаратных средств

16.

17. Тип ошибки CWE

18.

19.

20. Базовый вектор уязвимости

CVSS 2.0
CVSS 3.0
CVSS 3.1

21.

22.

23.

24. Способ эксплуатации


Несанкционированный сбор информации
Исчерпание ресурсов
Инъекция
Анализ целевого объекта
Подмена при взаимодействии
Злоупотребление функционалом
Нарушение авторизации
Нарушение аутентификации
Манипулирование структурами данных
Манипулирование ресурсами
Манипулирование сроками и состоянием
Вероятностные методы

25.

26. Задание

Входные данные: Идентификатор CWE
1) анализ системы CWE:
- выписать название, дать определение заданного типа ошибки;
- в виде графа представить дочерние и родительские связи заданного
типа ошибки;
2) анализ системы описания уязвимостей BDU:
- провести анализ не менее 5 уязвимостей с заданным типом ошибки;
- сформировать список типовых способов эксплуатации уязвимостей
- сформировать список типов ПО, наиболее чувствительных к заданному
типу ошибки;
- выписать базовый вектор уязвимости и описать его метрики, выявить
наличие или отсутствие закономерности зависимости базового вектора
уязвимости от типа ошибки, определить последствия эксплуатации.
English     Русский Rules