ПРИЙНЯТТЯ РІШЕНЬ В ПРОЦЕСІ ПОШУКУ ВРАЗЛИВОСТІ SERVER-SIDE WEB APPLICATION
DOI:
https://doi.org/10.58254/viti.6.2024.22.264Ключові слова:
прийняття рішень, пошук вразливостей, об'єкт кіберзахистуАнотація
Процес пошуку вразливості складається з трьох етапів. На першому етапі здійснюється ідентифікація
дефекту програмних та програмно-апаратних компонентів з оцінкою їх придатності для експлуатації. Другий
етап присвячений вибору існуючого або розробці нового експлойту для ідентифікованого дефекту. На третьому
етапі відбувається налагодження зручності використання та надійності експлойту. Вразливість (vulnerability)
системи об’єкта кіберзахисту до здійснення негативного технічного ефекту (negative technical impact) завжди
базується на експлуатації її дефектів. Ідентифікація дефекту з оцінкою придатності до застосування є
багатоетапним процесом вибору рішення в умовах невизначеності. Ефективність процесу пошуку дефекту
можна підвищити на основі застосування теорії прийняття рішень.
Ідея полягає у зменшенні невизначеності, використовуючи інформаційну модель для пошуку вразливості
із можливістю її кількісного аналізу. Для кількісного аналізу застосовуються класичні критерії вибору рішень в
умовах невизначеності. Інформаційна модель є ієрархічною, має чотири рівні та включає чотири типи
елементів. Перший рівень складається з методів Initial Access, другий – з категорій вразливості Web Application.
Третій та четвертий рівень оцінки, відповідно, дефектів та вразливості компонентів.
Доцільність, раціональність та обґрунтованість рішень з пошуку дефектів базується на застосуванні
апробованих джерел експертного досвіду світового рівня. Так, Adversarial Tactics, Techniques & Common
Knowledge (ATT&CK) визначає, системи класу Server-side Web Application привабливим для хакерів об’єктом
атак з найбільшою середньою кількістю потенційних дефектів у складі принаймні трьох компонентів:
Web Server, Web Application Server, DBMS Server. Для з’ясування розподілу дефектів Server-side Web Application
за характерними класами необхідно скористатися Open Worldwide Application Security Project (OWASP), для
детального ознайомлення з ними – Common Weakness Enumeration (CWE). Застосування National Vulnerability
Database (NVD) та Common Vulnerabilities and Exposures (CVE) доповнює оцінку знайденого дефекту.
Посилання:
- Закон України “Про основні засади забезпечення кібербезпеки України”.
2. Постанова Кабінету Міністрів України від 16 травня 2023 року № 497 “Про затвердження
Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих),
електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних
мереж”.
3. Adversarial Tactics, Techniques & Common Knowledge. URL: https://attack.mitre.org.
4. Common Attack Pattern Enumerations and Classifications. URL: https://capec.mitre.org.
5. Open Worldwide Application Security Project. URL: https://owasp.org.
6. Терещенко Т. П., Остапчук В. М., Хусаінов П. В., Черниш Ю. О. Оцінка та запобігання
прояву вразливості Server-Side Web Application / за заг. ред. Г. Д. Радзівілова // Системи і технології
зв’язку, інформатизації та кібербезпеки: збірник наукових праць. Київ: Військовий інститут
телекомунікацій та інформатизації ім. Героїв Крут. 2024. № 5. 240 с. DOI: 10.58254/viti.5.2024.
С. 204–214.
7. Герасимов Б. М., Локазюк В. М., Оксіюк О. Г., Поморова О. В. Інтелектуальні системи
підтримки прийняття рішень: навч. посібник. К.: Вид-во Європ. ун-ту, 2007. 335 с.
8. Common Weakness Enumeration. URL: https://cwe.mitre.org.
9. Common Weakness Scoring System. URL: https://cwe.mitre.org/cwss/cwss_v1.0.1.html.
10. Common Vulnerabilities and Exposures. URL: https://cve.mitre.org.
11. Common Vulnerability Scoring System. URL: https://www.first.org/cvss/.
