Управління вразливістю

Управління вразливістю (також відоме як управління слабкими місцями^[1]) — процес виявлення, оцінки, звітування та лікування вразливостей безпеки в комп'ютерних системах.^[1]^[2] Як піддомен управління ризиками ІТ, воно має фундаментальне значення для безпеки інформації та мережі, і його не слід плутати з аналізом уразливостей(інші мови).^[3] Уразливості можна виявити за допомогою сканерів уразливостей.^[4]

Розкриття вразливостей

Можливі вразливості, які можна знайти за допомогою сканера вразливостей, включають: відкриті порти, незахищені конфігурації програмного забезпечення та вразливість до зловмисного програмного забезпечення. Уразливості також можна виявити через загальнодоступні джерела (наприклад, National Vulnerabilty Database^[5]^[6] або службу попереджень та інформації CERT Bund^[7]), оновлення системи безпеки від виробника програмного забезпечення або через комерційні служби попередження. Наприклад, Федеральне відомство з інформаційної безпеки описує використання програмного забезпечення з відкритим кодом OpenVAS на своєму веб-сайті.^[8]

Досі невідомі або неопубліковані вразливості безпеки (вразливості нульового дня) можна знайти, наприклад, за допомогою фаззингу. Це передбачає передачу випадкових даних до вхідного інтерфейсу, щоб потенційно спровокувати збої системи, які, у свою чергу, виявляють вразливість системи безпеки.^[9] Подібним чином інструменти статичного аналізу аналізують вихідний код або двійкові файли, щоб виявити потенційні вразливості, не запускаючи програму.^[10] Символьне виконання(інші мови), передова техніка, що поєднує статичний і динамічний аналіз, додатково допомагає визначити вразливі місця.^[11]

Управління вразливістю в проектах

У (програмних) проектах управління вразливістю включає дослідження потенційної вразливості проекту до негативних подій (таких як використання існуючої вразливості), аналіз їх впливу та аналіз здатності проекту справлятися з негативними подіями. Модель системного управління вразливістю проектів передбачає необхідність аналізу всього проекту. Рекомендується чотириетапний підхід:^[12]

виявлення вразливостей;
аналіз знайдених вразливостей;
планування усунення виявлених вразливостей;
усунення вразливостей, включаючи впровадження виправлень, моніторинг, контроль успіху та засвоєні уроки(інші мови).

Згідно з цією системою, обробка негативних подій системою повинна складатися зі здатності протистояти поточному пошкодженню (статичний аспект) і своєчасно відновлюватися від нього (динамічний аспект). Надлишковість покликана допомогти підвищити стійкість(інші мови)^[13], тоді як антикрихкість також покликана дати системі можливість покращити себе шляхом відновлення після негативної події.^[12]

Примітки

↑ ^а ^б Der ultimative Leitfaden zum Schwachstellenmanagement. Rapid7 (нім.). Процитовано 13 лютого 2025.
↑ Foreman, Park (2010). Vulnerability Management. CRC Press. ISBN 978-1-4398-0151-2.
↑ Vulnerability Management Models Using a Common Vulnerability Scoring System. Т. 11. 2021-01. с. 8735. doi:10.3390/app11188735. ISSN 2076-3417.{{cite book}}: Обслуговування CS1: Сторінки із непозначеним DOI з безкоштовним доступом (посилання)
↑ Glossary - Web Application Security Consortium. www.webappsec.org. Процитовано 13 лютого 2025.
↑ NVD - Search and Statistics. nvd.nist.gov. Процитовано 13 лютого 2025.
↑ CVE security vulnerability database. Security vulnerabilities, exploits, references and more. www.cvedetails.com (англ.). Процитовано 13 лютого 2025.
↑ Warn- und Informationsdienst. wid.cert-bund.de. Процитовано 13 лютого 2025.
↑ Schwachstellenmanagement mit OpenVAS und der Greenbone Community Edition (GCE) (нім.). BSI. Процитовано 13 лютого 2025.
↑ Beaman, Craig; Redbourne, Michael; Mummery, J. Darren; Hakak, Saqib (1 вересня 2022). Fuzzing vulnerability discovery techniques: Survey, challenges and future directions. Computers & Security. Т. 120. с. 102813. doi:10.1016/j.cose.2022.102813. ISSN 0167-4048. Процитовано 13 лютого 2025.
↑ Russo, Alejandro; Sabelfeld, Andrei (2010). Dynamic vs. static flow-sensitive security analysis (PDF). 2010 23rd IEEE Computer Security Foundations Symposium. IEEE.
↑ Nabel Zaharudin, Muhammad; Haziq Zuhaimi, Muhammad; Hossain Shezan, Faysal (19 травня 2024), Poster: Enhancing Symbolic Execution with LLMs for Vulnerability Detection (PDF), IEEE Symposium on Security and Privacy, процитовано 27 листопада 2024
↑ ^а ^б Marle, Franck; Vidal, Ludovic-Alexandre (2016). Managing Complex, High Risk Projects: A Guide to Basic and Advanced Project Management. SpringerLink Bücher (вид. 1st ed. 2016). London s.l: Springer London. ISBN 978-1-4471-6785-3.
↑ Nassim N. Taleb, Daniel G. Goldstein (1 жовтня 2009). The Six Mistakes Executives Make in Risk Management. Harvard Business Review. ISSN 0017-8012. Процитовано 13 грудня 2021.

Джерела

Ханс-Петер Кенігс: Управління ІТ-ризиками за допомогою системи — орієнтоване на практику управління інформаційною безпекою, ІТ-ризиками та кіберризиками . 5-й видання. Springer, Wiesbaden, 2017, ISBN 978-3-658-12003-0.