Реестр уязвимостей

Уязвимость – это любой недостаток в информационном активе, который может привести к реализации угроз безопасности.

В области информационной безопасности под уязвимостями принято подразумевать прежде всего технические уязвимости в программном обеспечении, зафиксированные в базах уязвимостей, таких как CVE – Common Vulnerabilities and Exposures от компании MITRE или БДУ – База уязвимостей программного обеспечения ФСТЭК России.
В Сервисе уязвимости это более широкое понятие. Уязвимостью может быть любое свойство актива, в том числе сам факт его существования.

У уязвимостей в сервисе нет дополнительных полей и классификаций, как у угроз, за исключением связей с каталогами угроз и значения базовой вероятности реализации.

Вероятность реализации уязвимости оценивается качественно: отсутствует, низкая, средняя, высокая, критическая.
Стоит отметить, что в процессе тестирования сервиса качественная оценка на уровне конкретных уязвимостей показала свою недостаточную объективность. В большинстве случаев следует переопределять вероятность реализации на уровне конкретных рисков, связанных с уязвимостью т.к. для точной оценки необходим контекст в виде типа актива, в котором содержится уязвимость и угрозы, к реализации которой уязвимость приводит.

Определения уязвимости

Существуют различные определения уязвимости:

уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

ГОСТ Р ИСО/МЭК 27002-2012

уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

Р 50.1.056-2005

уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

ГОСТ Р 50922-2006

Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.

Методический документ ФСТЭК России от 05.02.2021 "Методика оценки угроз безопасности информации"

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Название	Дата	Связи	Риск ^? Максимальный текущий риск
Блокировка сайтов регуляторами 22.03.2022	22.03.2022	1	Для доступа к данным авторизуйтесь
Государство каждой страны осуществляет цензурирование и блокировку нежелательного контента в сети Интернет. В Российской Федерации блокировки интернет ресурсов и сервисов осуществляет Роскомнадзор. Подробнее об основаниях и алгоритме блокировок на сайте Роскомнадзора
Возможность отзыва TLS-сертификата 21.03.2022	21.03.2022	1	Для доступа к данным авторизуйтесь
Протокол TLS предназначен для предоставления трёх услуг всем приложениям, работающим над ним, а именно: шифрование, аутентификацию и целостность. Удостоверяющий центр может отозвать TLS сертификат. По требованиям документа Baseline Requirements for the Issuance and Management of Publicly‐Trusted Certificates (действует для УЦ – членов CA/Browser Forum) УЦ обязан отозвать выданный им сертификат при наступлении любого из следующих событий: поступление заявления от лица, которому сертификат выдан; (вероятная) компрометация приватного ключа сертификата; «технический брак» в сертификате, существенное изменение или неаккуратность включенной в него информации; выдача сертификата неуполномоченному на его получение лицу; лишение УЦ права выдавать сертификаты; разделегирование или передача прав на домен, для которого выдан сертификат; нарушение «материальных обязательств» получателя сертификата перед выдавшим его УЦ; использование сертификата ненадлежащим образом; выдача сертификата с нарушением регламентов УЦ по его выдаче. Сертификаты могут быть так же отозваны по геополитическим причинам, в результате международных санкций, в результате мошенничества в отношении УЦ.
Использование ненадежных публичных DNS серверов 03.03.2022	03.03.2022	1 4	Для доступа к данным авторизуйтесь
При использовании недостаточно надежных и распределенных публичных DNS адресов (например, DNS серверов локального провайдера) возможен их выход из строя по техническим причинам. При использовании исключительно иностранных DNS адресов (наиболее популярный - Google DNS 8.8.8.8) в условиях санкций между государствами возможны 2 негативных события: блокировка доступа к иностранным DNS серверам с любой из сторон подлог (подмена) DNS ответов со стороны иностранных государств и компаний
Возможность ухудшения международных отношений 28.02.2022	28.02.2022	1	Для доступа к данным авторизуйтесь
Любые взаимоотношения могут быть испорчены и деградировать, вплоть до разрыва международных отношений.
Невозможность приобретения (закупки) 28.02.2022	28.02.2022	1	Для доступа к данным авторизуйтесь
Любой актив, в том числе программное и аппаратное обеспечение может вырасти в цене до уровня, на котором для станет экономически невозможным или затруднительным его закупка, продление, поддержание. Так же закупка может стать невозможной в силу внешних экономических санкций, политики производителя или регуляторных ограничений
Прекращение действия лицензий 28.02.2022	28.02.2022	1	Для доступа к данным авторизуйтесь
Окончание или разрыв лицензионных договоров и отношений с поставщиками.
Возможность удаленно выполнить захват аудио или видеопотока 16.02.2022	16.02.2022	1 2	Для доступа к данным авторизуйтесь
Злоумышленник может использовать периферийные устройства компьютера (микрофоны, встроенные и веб-камеры) или приложения (службы голосовых и видеозвонков) для захвата аудиозаписей или видеозаписей с целью получения конфиденциальных разговоров для сбора информации. Вредоносные программы могут использоваться для взаимодействия с устройствами через API, предоставляемый операционной системой или приложением для захвата звука.
Возможность открытия зараженных, вредоносных файлов 16.02.2022	16.02.2022	1 1	Для доступа к данным авторизуйтесь
Пользователи могут открыть файл, который приведет к выполнению вредоносного кода. Злоумышленники могут использовать несколько типов файлов, которые требуют от пользователя их выполнения, включая .doc,. pdf,. xls,. rtf,. scr,. exe,. lnk,. pif и .cpl. Злоумышленники могут использовать различные формы маскировки файла, чтобы увеличить вероятность того, что пользователь откроет его. Хотя ВПО часто используется для первоначального доступа, он может быть использован и на других этапах вторжения, например, когда противник помещает файл в общий каталог или на рабочий стол пользователя в надежде, что пользователь нажмет на него.
Отсутствие комиссии по категорированию объектов критической информационной инфраструктуры 29.12.2021	29.12.2021	1	Для доступа к данным авторизуйтесь
Требование п.11 Постановления Правительства РФ от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
Возможность передачи утилит и инструментов при боковом перемещении 29.12.2021	29.12.2021	1 1	Для доступа к данным авторизуйтесь
Злоумышленник может передавать инструменты или другие файлы между системами в скомпрометированной среде. Файлы могут быть скопированы из одной системы в другую для создания ВПО или других файлов в ходе операции. Злоумышленник может копировать файлы между внутренними системами жертв для поддержки бокового перемещения с использованием SMB или с аутентифицированными соединениями с общими ресурсами администратора SMB/Windows или протоколом удаленного рабочего стола. Файлы также могут быть скопированы на Mac и Linux с помощью собственных инструментов, таких как scp, rsync и sftp.