Mühazirə. Boşluqların analizi Boşluqların idarə edilməsinin həyat dövrü. Boşluqlar üzrə məlumat



Yüklə 0,62 Mb.
Pdf görüntüsü
səhifə4/6
tarix05.05.2023
ölçüsü0,62 Mb.
#107820
növüMühazirə
1   2   3   4   5   6
Boşluqların-analizi

NVD verilənlər bazası (
http://nvd.nist.gov/
). 2005-ci ildə Milli Standartlar və Texnologiyalar 
İnstitutu tərəfindən Vahid Boşluqlar Bazası (National Vulnerability Database, NVD) istifadəyə 
verildi. NVD-yə informasiya təhlükəsizliyi üzrə yoxlama vərəqləri bazası, proqram təminatı və 
konfiqurasiyalar üzrə boşluqlar bazası, məhsul siyahıları və təhülkəsizliyin yoxlanması üzrə 
metrikalar daxildir. NVD saytında US-CERT məlumatları, o cümlədən boşluqlar haqqında qeydlər 
və texniki həyəcan siqnalları da yerləşdirilir. 
NVD ABŞ hökümətinə boşluqlar üzrə əlyetən bütün resursları vahid bazada birləşdirir, CVE 
standartına əsaslanır və ona tam uyğundur. NVD veb-saytında axtarış, statistika, NVD 


məlumatlarının bazadan XML formatında yüklənməsi xidmətləri var, onlardan qeydiyyatdan 
keçmədən və pulsuz istifadə etmək olar. 
NVD statistika mexanizmi konkret məhsullarda və ya konkret boşluq növlərində aşkarlama 
reytinqində olan dəyişiklikləri qiymətləndirməyə imkan verir, zamana görə boşluqların trendi üzrə 
statistika generasiya edir. Müəyyən məhsulları və istehsalçıları da izləmək olar. 
Boşluqların qiymətləndirilməsi sistemləri 
Boşluğun risk dərəcəsi, bir qayda olaraq boşluq aşkarlanan sistemin istehsalçısı və ya 
informasiya təhlükəsizliyi vasitələri istehsal edən (boşluq skanerləri, IDS sistem və s.) şirkət 
tərəfindən müəyyən edilir. Bu zaman yol hərəkəti qaydalarında olan işıqfor sxemi istifadə edilir: 
aşağı dərəcədə risk (yaşıl), orta dərəcədə risk (sarı) və yüksək dərəcədə risk (qırmızı). Bəzən əlavə 
olaraq riskin dördüncü dərəcəsi – kritik boşluqlar da daxil edilir. 
Belə yanaşmadan istehsalçıların əksəriyyəti istifadə edir. Məsələn, Microsoft proqram 
təminatı yenilənmələri haqqında elanlarında boşluqların kritikliyinin dörd səviyyəsindən istifadə 
edir. 
Bu sadə yanaşma administratorun tələblərini həmişə ödəmir. Boşluğun risk dərəcəsi zaman 
keçdikcə dəyişə bilər. İstifadəsinin detalları yalnız istehsalçı şirkətin mütəxəssislərinə məlum olan 
kritik boşluqla, istismar proqramı əlyetən olan boşluq arasındakı fərq böyükdür. 
Boşluğun istifadə edilməsi ehtimalı ilə əlaqədar faktorları nəzərə almaq üçün standart 
“işıqfor” modelinə əlavə şərtlər daxil etmək lazımdır. Məsələn, SANS İnstitutu boşluqların analizi 
zamanı (SANS Critical Vulnerability Analysis) o boşluqlara kritik səviyyəsi verir ki, bu boşluqdan 
istifadə edən, hamıya əlyetən və ya istismarı xüsusi vərdişlər tələb etməyən proqram mövcud 
olsun. Əks halda, hətta potensial olaraq çox təhlükəli boşluq kritik yox, yüksək səviyyəyə malik 
olacaq. SANS metodikasında istismarın sadəliyi ilə yanaşı, boşluğa həssas sistemlərin yayılması 
da nəzərə alınır. 
Microsoft şirkətinin PSS (Product Support Services) qrupu ziyankar proqram təminatı ilə 
bağlı riskin qiymətləndirilməsi metodikasında boşluğu aradan qaldıran yenilənmənin mövcudluğu, 
hücum edənin istifadə edə biləcəyi hücum vektorlarının sayı, boşluğa həssas sistemlərin yayılması 
nəzərə alınır. Məsələn, “kritik təhlükəli soxulcan” yenilənmə olmayan Microsoft proqram 
təminatındakı lağım vasitəsilə, geniş yayılmış sistemlərdə iki və daha artıq hücum vektorundan 
istifadə etməklə yayılmalıdır. 


US-CERT-in istifadə etdiyi metodikada boşluğa aşağıdakı kriteriyalardan asılı olaraq qiyməti 
0-180 arasında olan risk dərəcəsi müəyyən edilir. 
– boşluq haqqında informasiya nə dərəcədə əlyetəndir? 
– boşluqdan istifadə halları qeydə alınıbmı? 
– şəbəkə üçün kritik İnternet-qovşaqlara təhlükə varmı? 
– şəbəkənin boşluğa həssas qovşaqlarının sayı. 
– boşluqdan istifadənin nəticələri necədir? 
– boşluqdan istifadə nə dərəcədə asandır? 
– boşluqdan istifadənin şərtləri necədir? 
Təəssüf ki, kriteriyalar arasında onların mümkün çəkiləri və nəticədə alınan risk dərəcəsi 
formal müəyyən edilməyib, bu eyni boşluğun qiymətləndirilməsində ziddiyyətlər üçün geniş 
meydan verir. Bundan başqa, sadalanmış metodikalar konkret iş üçün yox, bütövlükdə İnternet 
üçün riskin qiymətini verir.
Yuxarıda qeyd edilənləri ümumiləşdirərək, boşluğun qiymətləndirilməsi metodikasına 
tələbləri aşağıdakıl kimi ifadə etmək olar: 
– boşluğun risk dərəcəsinin boşluğun istismarı imkanından asılı olaraq qiymətləndirilməsi 
imkanı olmalıdır;
– metodikanın tətbiqinin nəticəsi risklərin analizi zamanı istifadə üçün yararlı olan ədədi 
qiymət olmalıdır;
– metodikanın konkret informasiya sisteminə adaptasiyası imkanı olmalıdır;
– qiymətləndirmə zamanı istifadə edilən parametrlər minimum müxtəlif yozuma malik 
olmalıdır;
– yekun qiymətin hesablanması mexanizmi sadə və anlaşıqlı olmalıdır. 

Yüklə 0,62 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin