Уязвимость информационной системы — что это, виды, поиск и устранение

Уязвимость информационной системы — это недостаток или слабое место в системе, которое может быть использовано для реализации угроз безопасности информации. Согласно ГОСТ Р 56546-2015, уязвимость определяется как «недостаток ресурса информационной системы, который может быть использован для реализации угрозы».

Уязвимости могут существовать в программном обеспечении, аппаратных средствах, организационных процессах и человеческих действиях. Каждая уязвимость представляет собой потенциальный риск, который может быть использован злоумышленником для атаки на информационную систему.

Уязвимости классифицируются по различным признакам:

По природе возникновения:

• Программные — ошибки в коде (переполнение буфера, SQL-инъекции, XSS, CSRF), небезопасные настройки, устаревшие версии ПО, использование небезопасных библиотек
• Аппаратные — конструктивные недостатки оборудования (Meltdown, Spectre, TPM-атаки), закладки в микросхемах, недокументированные возможности
• Организационные — недостатки в процессах и политиках безопасности, отсутствие регламентов, неконтролируемый доступ к помещениям
• Человеческие — невнимательность, нехватка знаний, социальная инженерия (фишинг, претекстинг)

По уровню опасности (CVSS 3.1):

• Критические (9.0–10.0) — удалённое выполнение кода без аутентификации
• Высокие (7.0–8.9) — эскалация привилегий, обход аутентификации
• Средние (4.0–6.9) — раскрытие информации, ограниченное воздействие
• Низкие (0.1–3.9) — локальные проблемы, требующие физического доступа

БДУ ФСТЭК России (bdu.fstec.ru) — это государственный банк данных угроз и уязвимостей, содержащий структурированную информацию об известных уязвимостях программного обеспечения и программно-аппаратных средств. Является российским аналогом международной базы CVE (Common Vulnerabilities and Exposures).

БДУ содержит по каждой уязвимости: уникальный идентификатор (BDU:YYYY-NNNNN), описание, оценку опасности по CVSS, перечень затрагиваемого ПО, способы устранения, ссылки на CVE. Использование БДУ обязательно при аттестации объектов информатизации и при работе с государственной тайной.

Подробнее: Банк данных угроз и уязвимостей (БДУ ФСТЭК).

1. Сканирование уязвимостей (Vulnerability Scanning)

Автоматизированная проверка систем на наличие известных уязвимостей с помощью специализированных сканеров. Включает сканирование сетевых портов и сервисов, проверку версий ПО на соответствие БДУ и CVE, тестирование веб-приложений (SQL-инъекции, XSS, CSRF), проверку конфигураций на соответствие политикам безопасности.

2. Penetration Testing (пентест)

Моделирование действий злоумышленника с целью выявления уязвимостей, которые могут быть использованы для реальной атаки. Включает сбор информации, анализ защищённости, эксплуатацию уязвимостей, закрепление в системе.

3. Аудит исходного кода (Code Review)

Ручной или автоматизированный анализ исходного кода приложений для выявления ошибок безопасности на этапе разработки (SAST). Инструменты: статические анализаторы кода, линтеры безопасности, ручной ревью.

4. Fuzzing

Автоматизированная подача некорректных данных на вход программы для выявления ошибок обработки, приводящих к уязвимостям.

Управление уязвимостями — это непрерывный процесс идентификации, оценки и устранения уязвимостей в информационной системе. Цикл управления включает:

1. Инвентаризация — выявление всех активов и установленного ПО в инфраструктуре
2. Сканирование — регулярная проверка на наличие уязвимостей с заданной периодичностью
3. Оценка рисков — приоритезация уязвимостей по критичности (CVSS) с учётом контекста системы
4. Устранение — установка обновлений (патчей), настройка конфигураций, применение компенсирующих мер
5. Верификация — проверка эффективности устранения уязвимостей
6. Отчётность — документирование и мониторинг динамики закрытия уязвимостей

Для автоматизации управления уязвимостями рекомендуется использовать сертифицированные средства, например СОА «Форпост» с функциями обнаружения атак и выявления уязвимостей.

Неустранение известных уязвимостей может повлечь серьёзные последствия:

• Реализация атаки — компрометация системы, утечка конфиденциальных данных, остановка производства
• Штрафы регуляторов — за утечку персональных данных до 500 000 руб. (ст. 13.11 КоАП РФ), за нарушения на КИИ до 1 млн руб.
• Уголовная ответственность — за нарушение требований по защите государственной тайны (ст. 283 УК РФ)
• Репутационные потери — снижение доверия клиентов и партнёров, потеря контрактов

Для объектов КИИ обязательным требованием является непрерывный мониторинг уязвимостей и своевременное обновление ПО в соответствии с Приказом ФСТЭК № 239.