Безопасность цифровых технологий

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

БЕЗОПАСНОСТЬ
ЦИФРОВЫХ ТЕХНОЛОГИЙ

English | Русский

Последний выпуск
№3(114) Июль - Сентябрь 2024

Вопросы применения алгоритмов приоритизации уязвимостей при организации процесса vulnerability management

Выпуск № 1 (112) январь - март 2024
Авторы:

Кудинов Михаил Игоревич,
Подсевалов Артем Георгиевич
DOI: http://dx.doi.org/10.17212/2782-2230-2024-1-52-73
Аннотация

Целью настоящего научного исследования является анализ возможностей повышения уровня защиты организации от киберугроз путем применения алгоритмов приоритизации уязвимостей. Существуют различные подходы к созданию алгоритмов приоритизации уязвимостей, учитывающие множество метрик, например: потенциальное воздействие на информационную систему при эксплуатации уязвимости, сложность эксплуатации уязвимости, сложность устранения и т.?д. Статья посвящена вопросам организации процесса управления уязвимостями, в частности различным способам (алгоритмам) их приоритизации для определения очередности устранения и рационального распределения человеческих ресурсов организации. Рассмотрены и проанализированы различные алгоритмы приоритизации уязвимостей, сделаны выводы об их достоинствах и недостатках. Предложен вариант алгоритма приоритизации уязвимостей, учитывающий наиболее важные метрики, а также рекомендации ФСТЭК России.


Ключевые слова: информационная безопасность, кибербезопасность, уязвимость, приоритизация, алго-ритмы приоритизации, анализ угроз, уровень защищенности, риски, процесс управле-ния уязвимостями, CVSS, ФСТЭК

Список литературы

1.Seaberg A. 1,900 new cyber vulnerabilities each month in 2023, Says Coalition // Independent Agent magazine. – 2023, 22 February. – URL: https://www.iamagazine.com/markets/1-900-new-cyber-vulnerabilities-each-month-in-2023-says-coalition (accessed: 11.03.2024).

2.Руководство по организации процесса управления уязвимостями в органе (организации). Методический документ / ФСТЭК России. – URL: https://fstec.ru/files/1096/---17--2023-/2011/---17--2023-.pdf (дата обраще-ния: 11.03.2024).

3.Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств / ФСТЭК России. – URL: https://fstec.ru/

files/992/---28--2022-804/1722/---28--2022-.pdf (дата обращения: 11.03.2024).

4.Баринов А.Е., Скурлаев С.В., Соколова А.Н. Методика оценки рисков, вызванных уязвимостями в программном обеспечении автоматизирован-ных систем управления технологическими процессами // Вестник УрФО. Безопасность в информационной сфере. – 2017. – № 3 (25). – C. 34–42. – URL: https://www.elibrary.ru/item.asp?id=30770418 (дата обращения: 11.03.2024).

5.Нурдинов Р.А. Определение вероятности нарушения критических свойств информационного актива на основе CVSS метрик уязвимостей // 

Современные проблемы науки и образования. – 2014. – № 3. – С. 70. – URL: https://www.elibrary.ru/item.asp?id=22527869 (дата обращения: 11.03.2024).

6.Котенко И.В., Двойникова А.Е. Система оценки рисков CVSS и ее ис-пользование для анализа защищенности компьютерных систем // Защита 

информации. Инсайд. – 2017. – № 5 (41). – C. 54–60. – URL: https://www.elibrary.ru/item.asp?id=23099118 (дата обращения: 12.03.2024).

7.Краснов А.Е., Мосолов А.С., Феоктистова Н.А. Оценивание устойчи-вости критических информационных инфраструктур к угрозам информаци-онной безопасности // Безопасность информационных технологий. – 2021. – Т. 28, № 1. – C. 106–120. – DOI: 10.26583/bit.2021.1.09.

8.Кисилева Т.В., Маслова Е.В. Процесс управления информационными рисками на основе их анализа // Системы управления и информационные технологии. – 2011. – № 2-1 (44). – С. 129–133. – URL: https://www.elibrary.ru/

item.asp?id=16537297 (дата обращения: 12.03.2024).

9.Риберг Г., Малмквист К., Щербакова А. Многоуровневый подход к оценке безопасности программных средств // Вопросы кибербезопасности. – 2014. – № 1 (2). – C. 36–39. – URL: https://www.elibrary.ru/item.asp?id=

21288719 (дата обращения: 12.03.2024).

10.Оценка применимости методики CVSS для риск-анализа защищае-мых систем / А.С. Пахомова, Д.Н. Рахманин, Л.В. Паринова, Ю.К. Язов // Информация и безопасность. – 2017. – Т. 20, № 1. – С. 129–132. – URL: https://www.elibrary.ru/item.asp?id=29315860 (дата обращения: 12.03.2024).

11.Бобов М.Н., Горячко Д.Г. Оценка рисков информационной безопас-ности с использованием стандарта CVSS 3.0 // Комплексная защита инфор-мации: материалы XXII научно-практической конференции. – Новополоцк, 2017. – C. 19–22. – URL: https://www.elibrary.ru/item.asp?id=32718090 (дата обращения: 12.03.2024).

12.Doynikova E., Kotenko I. CVSS-based probabilistic risk assessment for cyber situational awareness and countermeasure selection // Proceedings – 2017 25th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP). – St. Petersburg, 2017. – P. 346–353. DOI: 10.1109/PDP.2017.44.

13.Павлов Д.В., Рахматулин К.Е. CVSS. Контекстные метрики безопас-ности // Применение современных информационных технологий в служеб-но-боевой деятельности: сборник статей межвузовской научно-практической конференции. – Пермь, 2022. – C. 123–132. – URL: https://www.elibrary.ru/

item.asp?id=50033413 (дата обращения: 12.03.2024).

14.Давлатов Ш.Р., Кучинский П.В. Анализ защищенности веб-ресурсов на основе метрики CVSS // Информатика. – 2020. – Т. 17, № 3. – С. 72–77. – DOI: 10.37661/1816-0301-2020-17-3-72-77.

15.Quantitative model of attacks on distribution automation systems based on CVSS and attack trees / E. Li, C. Kang, F. Chang, L. He, M. Hu, X. Li // Information (Switzerland). – 2019. – Vol. 10 (8). – P. 251. – DOI: 10.3390/

info10080251.

16.Мельников А.В., Чирков В.Е. Алгоритм оценки относительного уров-ня опасности совместной эксплуатации уязвимостей информационной без-опасности на основе CVSS // Вестник Воронежского института МВД Рос-сии. – 2019. – № 1. – C. 37–44. – URL: https://www.elibrary.ru/item.asp?id=37164655 (дата обращения: 12.03.2024).

17.Столярова Н.Я., Золотухина Е.Б. Классификация программного приложения с помощью инструментальных методов обработки информа-ции согласно метрике уязвимостей CVSS v2.0 // Colloquium-Journal. – 2019. – 

№ 11-1 (35). – С. 136–142. – URL: https://www.elibrary.ru/item.asp?id=38304274 (дата обращения: 12.03.2024).

18.CVSS metric-based analysis, classification and assessment of computer network threats and vulnerabilities / V.R. Kebande, I. Kigwana, H.S. Venter, R.D. Wario, N.M. Karie // 2018 International Conference on Advances in Big Data, Computing and Data Communication Systems (icABCD). – IEEE, 2018. – P. 8465420. – DOI: 10.1109/ICABCD.2018.8465420.

19.System for estimation CVSS severity metrics of vulnerability based on text mining technology / A. Nikonov, A. Vulfin, V. Vasilyev, A. Kirillova, V. Mikhailov // Proceedings of ITNT 2021 – 7th IEEE International Conference on Information Technology and Nanotechnology. – IEEE, 2021. – DOI: 10.1109/

ITNT52450.2021.9649232.

20.Cybersecurity risk assessment based on cognitive attack vector model-ing with CVSS score / A. Nikonov, A. Vulfin, V. Vasilyev, A. Kirillova // Pro-ceedings of ITNT 2021 – 7th IEEE International Conference on Information Technology and Nanotechnology. – IEEE, 2021. – DOI: 10.1109/ITNT52450.2021.9649191.

21.Wu Ch., Wen T., Zhang Yu. A revised CVSS-based system to improve the dispersion of vulnerability risk scores // Science China Information Scienc-es. – 2018. – Vol. 62 (3). – P. 39102. – DOI: 10.1007/s11432-017-9445-4.

22.Figueroa-Lorenzo S., Añorga J., Arrizabalaga S. А survey of IIoT pro-tocols: a measure of vulnerability risk analysis based on CVSS // ACM Compu-ting Surveys. – 2020. – Vol. 53 (2). – P. 3381038. – DOI: 10.1145/3381038.

23.Majid M.A., Ariffi K.A.Z. Success factors for cyber security operation center (SOC) establishment // Proceedings of the 1st International Conference on Informatics, Engineering, Science and Technology, INCITEST 2019, 18 July 2019. – Bandung, Indonesia, 2019. – DOI: 10.4108/eai.18-7-2019.2287841.

24.A human capital model for mitigating security analyst burnout / S. Sunda-ramurthy, X. Ou, A.G. Bardas, J. Case, M. Wesch, J. Mchugh, S.R. Rajagopalan // SOUPS 2015. Proceedings of the Eleventh Symposium on Usable Privacy and Security. – Ottava, Canada, 2015. – P. 347–359.

25.Onwubiko C. Cyber security operations centre: Security monitoring for protecting business and supporting cyber defense strategy // 2015 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA), London, UK. – IEEE, 2015. – P. 1–10. – DOI: 10.1109/CyberSA.2015.7166125.

26.Andrade R.O., Yoo S.G. Cognitive security: a comprehensive study of cognitive science in cybersecurity // Journal of Information Security and Ap-plications.?– 2019. – Vol. 48. – P. 102352. – DOI: 10.1016/j.jisa.2019.06.008.

27.Ahmed R.K.A. Overview of security metrics // Software Engineering. – 2016. – Vol. 4 (4). – P. 59–64. – DOI: 10.11648/j.se.20160404.11.

28.Houngbo P.J., Hounsou J.T. Measuring information security: under-standing and selecting appropriate metrics // International Journal of Computer Science and Security. – 2015. – Vol. 9 (2). – P. 108–120.

Для цитирования:

Подсевалов А.Г., Кудинов М.И. Вопросы применения алгоритмов приоритизации уязвимостей при организации процесса vulnerability management // Безопасность цифровых технологий. – 2024. – № 1 (112).?– С. 52–73. – DOI: 10.17212/2782-2230-2024-1-52-73.

For citation:

Podsevalov A.G., Kudinov M.I. Voprosy primeneniya algoritmov prioritizatsii uyazvi-mostei pri organizatsii protsessa vulnerability management [Issues of using vulnerability prioritization algorithms when organizing the vulnerability management process]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2024, no. 1 (112), pp. 52–73. DOI: 10.17212/2782-2230-2024-1-52-73.

Просмотров: 638