Что такое CVE?

CVE (Common Vulnerabilities and Exposures) — международный реестр публично известных уязвимостей, поддерживаемый организацией MITRE. Каждой уязвимости присваивается уникальный идентификатор вида CVE-YYYY-XXXXX. В России аналогом является БДУ ФСТЭК.

Что такое CVSS и как он рассчитывается?

CVSS (Common Vulnerability Scoring System) — стандартизированная метрика критичности уязвимости от 0 до 10. Учитывает: вектор атаки, сложность эксплуатации, требуемые привилегии, влияние на конфиденциальность/целостность/доступность. CVSS ≥ 9.0 — критическая уязвимость.

Как приоритизировать уязвимости для устранения?

Приоритизация строится на: CVSS-оценке, наличии публичного эксплойта, критичности актива, применимости к вашей среде. Рекомендуется сначала устранять уязвимости с CVSS ≥ 7.0 на критичных активах. КиберОснова автоматически ранжирует уязвимости по приоритету.

Что такое patch management?

Управление патчами (patch management) — процесс регулярного применения обновлений ПО для устранения уязвимостей. Включает: инвентаризацию ПО, получение обновлений, тестирование, развёртывание и верификацию. Является ключевым элементом управления уязвимостями (VM).

Глоссарий ИБ

Уязвимость информационной безопасности

Уязвимость ИБ — слабое место в ПО, оборудовании или конфигурации, которое нарушитель может использовать для атаки. Разбираемся в CVE, CVSS, БДУ ФСТЭК и управлении уязвимостями.

Попробовать КиберОснова Все термины

Уязвимость ИБ — определение

Уязвимость информационной безопасности — недостаток или слабое место в программном обеспечении, аппаратных средствах, алгоритмах или конфигурации системы, которое может быть использовано нарушителем для получения несанкционированного доступа, нарушения конфиденциальности, целостности или доступности информации.

Уязвимости систематизируются в реестрах: международном CVE/NVD (MITRE/NIST) и российском БДУ ФСТЭК. Для объектов КИИ и ГИС мониторинг уязвимостей через БДУ ФСТЭК является обязательным требованием регулятора.

Классификация уязвимостей

По источнику: уязвимости кода (ошибки разработки), конфигурационные (неправильные настройки), архитектурные (недостатки проектирования)
По CVSS-оценке: критические (9.0–10.0), высокие (7.0–8.9), средние (4.0–6.9), низкие (0.1–3.9)
По статусу: 0-day (без патча), с доступным патчем, с публичным эксплойтом
По вектору атаки: сетевые, локальные, физические
По объекту: уязвимости ОС, прикладного ПО, сетевых устройств, веб-приложений

Управление уязвимостями (VM) и БДУ ФСТЭК

Vulnerability Management (VM) — непрерывный процесс выявления, оценки и устранения уязвимостей в ИТ-инфраструктуре. Основные этапы: обнаружение активов → сканирование → приоритизация → устранение (патчинг или компенсирующие меры) → верификация.

Модуль БДУ ФСТЭК в КиберОснова автоматически загружает актуальные данные об уязвимостях, сопоставляет их с вашими ИТ-активами и формирует приоритизированный план устранения. Подробнее об управлении уязвимостями.

Вопросы об уязвимостях ИБ

Связанные разделы

Держите уязвимости под контролем

КиберОснова автоматически сопоставляет CVE и БДУ ФСТЭК с вашими активами и расставляет приоритеты.