ОЦІНКА ТА ЗАПОБІГАННЯ ПРОЯВУ ВРАЗЛИВОСТІ SERVER-SIDE WEB APPLICATION

Анотація

Вразливість (vulnerability) системи (технологічної, комунікаційної) об’єкта кіберзахисту до здійснення негативного технічного ефекту (negative technical impact) завжди базується на експлуатації її дефектів. Дефект (weakness) – властивість програмних, апаратних, програмно-апаратних або системних компонентів, які за певних умов можуть призвести до вразливості. Атака (attack) – спроба експлуатації дефекту (дефектів) системи (об’єкта кіберзахисту) для здійснення негативного технічного ефекту (несанкціоноване читання/запис даних, неправильна робота, обхід захисних механізмів, аномальне споживання ресурсів; виконання нав’язаних команд тощо) за умови прояву вразливості з використанням експлойта (exploit).

Поява дефектів притаманна всім етапам життєвого циклу системи (об’єкта кіберзахисту). Так, розрізняють дефекти етапу проєктування, реалізації, налаштування при введенні в експлуатацію, супроводженні, завершення роботи. Існування у складі компонентів системи хоча б одного дефекту, який дозволяє здійснити негативний технічний ефект, робить її вразливою. Своєчасний пошук та усунення дефектів зменшує ймовірність компрометації системи від використання, принаймні, відомих експлойтів.

Доцільність, раціональність та обґрунтованість рішень з пошуку дефектів базується на застосуванні апробованих джерел експертного досвіду світового рівня. Так, Adversarial Tactics, Techniques & Common Knowledge визначають системи класу Server-side Web Application привабливим для хакерів об’єктом атак з найбільшою середньою кількістю потенційних дефектів у складі принаймні трьох компонентів: Web Server, Web Application Server, DBMS Server. Для з’ясування розподілу дефектів Server-side Web Application за характерними класами необхідно скористатися Open Worldwide Application Security Project, для детального ознайомлення з ними – Common Weakness Enumeration. Застосування National Vulnerability Database та Common Vulnerabilities and Exposures доповнює оцінку знайденого дефекту.

Посилання

1. Про основні засади забезпечення кібербезпеки України: Закон України від 05.10.2017 № 2163-VIII. Офіційний вісник України. № 91. С. 91.
2. Про захист інформації в інформаційно-комунікаційних системах: Закон України від 05.07.1994 № 80/94-ВР. Відомості Верховної Ради України. № 31. Ст. 286.
3. Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури: постанова Каб. Міністрів України від 19.06.2019 № 518. Офіційний вісник України. 05 лип. (№ 50). С. 53.
4. Про затвердження Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж: постанова Каб. Міністрів України від 16.05.2023 № 497. Офіційний вісник України. 02 черв. (№ 52). С. 72.
5. Про затвердження Методичних рекомендацій щодо реагування суб’єктами забезпечення кібербезпеки на різні види подій у кіберпросторі: наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 03.072023 № 570. ua. URL: https://cip.gov.ua/
   ua/news/nakaz-administraciyi-derzhspeczv-yazku-vid-03-07-2023-570-pro-zatverdzhennya-metodichnikh-rekomendacii-shodo-reaguvannya-sub-yektami-zabezpechennya-kiberbezpeki-na-rizni-vidi-podii-u-kiberprostori.
6. Adversarial Tactics, Techniques & Common Knowledge. URL: https://attack.mitre.org.
7. Common Attack Pattern Enumerations and Classifications. URL: https://capec.mitre.org.
8. Common Vulnerabilities and Exposures. URL: https://cve.mitre.org.
9. Common Weakness Enumeration. URL: https://cwe.mitre.org.
10. Open Worldwide Application Security Project. URL: https://owasp.org.