Базы уязвимостей_обзор

Аналитический обзор открытых базАналитический обзор открытых баз уязвимостей программно‐аппаратного у р р р

обеспечения

Федорченко А.В. «Опытное конструкторское бюро «КАРАТ»«Опытное конструкторское бюро «КАРАТ»

Чечулин А.А., Котенко И.В.Лаборатория проблем компьютерной безопасности 

Санкт‐Петербургского Института Информатики и Автоматизации РАН

Санкт‐Петербург, Россия

РусКрипто`1425 — 28 марта 2014 г.

М Ц б

Киберугрозы

Мировые лидеры киберпреступности

Цели кибершпионажаДипломаты/ Правительство

41%36%

Китай

США

Турция7%

6%16% Частные 

пользователиАрмия

10%

Россия

Тайвань

Другие страны

51%

11%9%

7% Промышленность/ ИнфраструктураВоздушные сообщение10%

5%4%4%

11% щДругие

Методы кибератак

31%8%

Взлом с помощью уязвимого ПОВредоносное ПО

31%

21%

17% Физический доступ

Психологическая атака

23%21% Использование не по 

назначению

2

Базы данных уязвимостей

Common Vulnerabilities & Exposures (Общие уязвимости и воздействия)

National Vulnerabilities Database (Национальная база данных уязвимостей США)(Национальная база данных уязвимостей США)

Open Source Vulnerabilities Data Base(Открытая база данных уязвимостей)

Vulnerability Notes Database(База данных записей уязвимостей)

BugTraq(Поддерживается открытым сообществом)

Secunia(Коммерческая база данных уязвимостей)

3

Задачи

1. Анализ структур открытых баз уязвимостейру ур р у

2. Анализ обнаруженных уязвимостей программно‐аппаратногообеспечения крупнейших мировых производителей

3. Прогноз обнаружения уязвимостей наиболее используемыхпродуктов в будущем

4

Анализ баз уязвимостей (1/4)

Сравнительный анализ баз уязвимостей CVE, NVD и OSVDB

База данных Ссылки на сторонние 

Ссылки на уязвимое 

программно‐

Унифицированныйформат записей программно‐

Зависимости программно‐

Показатели,характери‐ Прямая 

уязвимостей базы данных уязвимостей

программноаппаратное обеспечение

программноаппаратного обеспечение

аппаратного обеспечения

зующиеуязвимости

загрузка

CVE + ‐ ‐ ‐ ‐ +

NVD ±NVD ± + + + + +

OSVDB + + ‐ ‐ ‐ ‐OSVDB + + ‐ ‐ ‐ ‐

+    наличие± условное наличие‐ отсутствие

5

Анализ баз уязвимостей (2/4)

йБазы данных уязвимостей CVE и NVDРаспределение уязвимостей по годам

5000600070008000

1000200030004000

Ссылки на сторонние источники описания

0

60000

Ссылки на сторонние источники описания уязвимостей

Количество уникальных ссылок

б й

20000

40000Количество употреблений ссылок

Количество многоразовых ссылок

К0 Количество одноразовых ссылок

6

й

Анализ баз уязвимостей (3/4)

Распределение уязвимостей в типизированных продуктах

Базы данных уязвимостей CVE и NVD

500060007000

продуктах

1000200030004000

Приложения

Операционные системы

Аппаратура

й

0

80%90%100%

Статистика уязвимостей с зависимостями

Уязвимостей продуктов без зависимостей

30%40%50%60%70%

Уязвимостей продуктов с одной зависимостью

0%10%20%

7

б й

Анализ баз уязвимостей (4/4)

Открытая база данных уязвимостей OSVDBРаспределение уязвимостей по 

годам

80001000012000

годам

0200040006000

Ссылки на сторонние источники описания уязвимостей

80000100000120000140000

Количество уникальных ссылок

Количество употреблений ссылок

020000400006000080000

Количество многоразовых ссылок

Количество одноразовых ссылок

0

8

Словарь продуктов

Common platform enumeration ( б ф )

Использование словаря CPE базой NVD

(Общее перечисление платформ)

70,00%

80,00%

ктов

 2.2

Использование словаря CPE базой NVD

40,00%

50,00%

60,00%

аписей

 про

дук

в слов

аре CP

E 2

Всего записей  – 82987Продуктов  – 10593Производителей – 2614

10,00%

20,00%

30,00%

Отсутстви

е за

базы

 NVD

в Производителей  2614 

0,00%1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Год 

9

Виды продуктов

Распределение уязвимостей однотипных продуктов

500

600

Распределение уязвимостей однотипных продуктов

300

400

500

100200300 Операционные системы

Серверные ОСВ б б

0100

003

004

05 06 07 8 9Веб‐браузеры

20 20 20 200

200

2008

2009

2010

2011

2012

2013

10

Операционные системы

160

180

Распределение уязвимостей среди операционных систем 

100

120

140Linux (kernel)

MacOS X

S l i

60

80

100 Solaris

Windows 2000

Windows XP

Windows Vista

0

20

40Windows Vista

Windows 7

2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Среднее количество уязвимостей в год

60 75 95

Windows Mac OS Linux

11

Серверные ОС

Распределение уязвимостей среди серверных ОС

100

120

Распределение уязвимостей среди серверных ОС 

80

100

60MacOS X Server

Windows Server 2003

Windows Server 2008

20

40

02003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

12

Веб‐браузеры

Распределение уязвимостей среди веб‐браузеров

400

Распределение уязвимостей среди веб браузеров

300

200 Internet explorerFirefox

0

100 SafariChrome

0

2007 2008 2009 2010 20112010 2011 2012 2013

13

Производители

Распределение уязвимостей крупнейших производителей программно‐аппаратного обеспечения

450

500

350

400 Microsoft

Sun

Apple

IBM

250

300IBM

RedHat

HP

Apache

150

200 Cisco

Linux

Mozilla

50

100 Oracle

Google

02003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

14

Популярные продукты

Р й б400

Распределение уязвимостей среди наиболее популярных продуктов

300

350Linux (kernel)

MacOS X

250

300 Solaris

Windows 2000

Windows XP

Windows Vista

200

Windows Vista

Windows 7

MacOS X Server

Windows Server 2003

150Windows Server 2008

iOS

Internet explorer

50

100Firefox

Safari

Chrome

JRE

0

50

2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

JRE

15

2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

ЗаключениеПроизводители‐лидеры по числу обнаруженных Прогноз количестваПроизводители лидеры по числу обнаруженных уязвимостей разрабатываемого программно‐аппаратного обеспечения в период 2003‐2013гг.

Прогноз количества обнаруживаемых уязвимостей 

в продуктах в 2014 году

RedHat; 1,11% Apache; 0,77%

Microsoft; 4,67%

Google; 1 88%

HP; 1,59%

Apple; 3,93%Linux; 1,99%

Google; 1,88%

Mozilla; 2,28%

Oracle; 3,65%Sun; 2,33%

IBM; 3,08%Cisco; 2,65%

16

Контактная информация

СПАСИБО ЗА ВНИМАНИЕ!

Федорченко Андрей Владимировичfedorchenkoandrei28@rambler.ru

Чечулин Андрей Алексеевичh h li @ bchechulin@comsec.spb.ru

http://comsec.spb.ru/chechulin

Котенко Игорь Витальевич ivkote@comsec spb ruivkote@comsec.spb.ru

http://comsec.spb.ru/kotenko

17