Угрозы информационной безопасности являются одной из наиболее важных проблем современности. Под угрозой в общем смысле понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам. Существует множество способов реализации угроз ИБ,
но одним из основных является эксплуатация уязвимостей ИБ. Согласно недавнему отчету компании Positive Technologies [1], в 2023 году эксплуатация уязвимостей стала одним из основных методов атаки на организации (32 %). Уязвимости эксплуатируются в соответствии с некоторым сценарием проведения атаки, который условно делится
на следующие этапы: проведение разведки, проведение атаки, развитие атаки на информационную систему, получение выгоды. Таким образом, настоящая работа посвящена анализу ряда уязвимостей ИБ в 2024 году, моделированию сценариев атак при эксплуатации данных уязвимостей и составлению рекомендаций по устранению возможности эксплуатации уязвимостей на базе организационно-технических мер.
1.??Актуальные киберугрозы для организаций: итоги 2023 года // Positive Technologies. – 2024. – 22 апреля. – URL: https://www.ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-dlya-organizacij-itogi-2023-goda/ (accessed: 02.12.2024).
2.??CVE (Common Vulnerabilities and Exposures): Website. – URL: https://cve.mitre.org/ (accessed: 02.12.2024).
3.??CVSS v4.0 Specification Document / FIRST – Forum of Incident Response and Security Teams. – URL: https://www.first.org/cvss/v4.0/specification-document (accessed: 02.12.2024).
4.??NVD – Vulnerabilities. – URL: https://nvd.nist.gov/vuln (accessed: 02.12.2024).
5.??Common Vulnerability Scoring System Version 4.0 Calculator / FIRST – Forum of Incident Response and Security Teams. – URL: https://www.first.org/
cvss/calculator/4.0 (accessed: 02.12.2024).
6.??ФСТЭК России. Методический документ от 5 февраля 2021 г. – URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (accessed: 02.12.2024).
7.??Мельников А.И. Социальная инженерия в цифровой эпохе: анализ методов манипуляции человеческим фактором в целях кибератак // Социально-гуманитарные знания. – 2024. – № 1. – С. 50–54.
Жумажанова С.С., Зубович Н.В., Обрывалин Д.Е. Разработка рекомендаций по защите информации от эксплуатации актуальных уязвимостей 2024 года // Безопасность цифровых технологий. – 2024. – № 4 (115). – С. 25–36. – DOI: 10.17212/2782-2230-2024-4-25-36.
Zhumazhanova S.S., Zubovich N.V., Obryvalin D.E. Razrabotka rekomendatsii po zashchite informatsii ot ekspluatatsii aktual'nykh uyazvimostei 2024 goda [Establishing of recommendations for information protection from exploitation of current vulnerabilities in 2024]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2024, no. 4 (115), pp. 25–36. DOI: 10.17212/2782-2230-2024-4-25-36.
Жумажанова Самал Сагидулловна