Zaiflik klassifikatsiyasi
Download 15.43 Kb.
|
Kirish
Kirish 1996 yil, 4 iyun, seshanba, Frantsiya Gvianasidagi kosmodrom. 9 soat 33 daqiqa 59 soniya. Ariane 5 raketasining birinchi uchirilishi.Raketa osmonga ko'tariladi va uchirilgandan 40 soniya o'tgach, 50 metr balandlikda portlaydi. Zarar ellik milliondan olti milliard dollargacha bo'lgan turli xil ma'lumotlardan iborat edi. Bir yarim oy o'tgach, 19-iyul kuni tergov komissiyasining to'liq hisoboti e'lon qilindi, natijada portlash dasturni amalga oshirishning mumkin bo'lgan variantlaridan birida to'lib toshgan xatolar tufayli sodir bo'lganligi aniq bo'ldi. Dasturiy ta'minotdagi kichik, birinchi qarashda zaiflik, jiddiy zarar jadvaliga xush kelibsiz. Bu odatiy, ammo hali alohida holat emas, bu korporativ tarmoqdagi turli xil zaifliklarning paydo bo'lishidan kelib chiqadigan xavfni namoyish etadi. Zaiflik klassifikatsiyasi Zaiflik (zaiflik) yoki men tajovuzkor tahdidni amalga oshirish uchun xabar bo'lishi mumkin bo'lgan axborot tizimining har qanday xususiyatini chaqiraman. Zaiflikdan maqsadli foydalaniladimi yoki qasddan foydalanilmasligi muhim emas. Tarmoq resurslariga ruxsatsiz kirishga xato, nodonlik yoki yovuz aql bilan kirishga urinishga harakat qilgan korporativ tarmoqning har qanday sub'ekti buzuvchidir. Zaifliklar va ixni aniqlash muammosi juda uzoq vaqt davomida o'rganilib kelinmoqda va mavjud bo'lgan davrda zaifliklarni turli mezonlarga ko'ra tasniflashga turli urinishlar qilingan. Masalan, RISOS, COAST tadqiqot laboratoriyalari yoki Internet Xavfsizlik tizimlarida Amerika himoyasini tahlil qilish loyihasi va boshqalar. Kaidanining tashkiloti uning tasnifini boshqargan va asoslagan. Hech qanday tasnif kategorik bo'lishi mumkin emas. Masalan, Unix OS operatsion tizimida ekspluatatsiya qilish (masalan, statd demon buferining to'lib toshishi) eng dahshatli oqibatlarga olib kelishi mumkin bo'lgan zaiflik (eng yuqori ustuvorlik) hech qachon Windows NT-ga qo'llanilmasligi mumkin. Bundan tashqari, hujumlar va zaifliklar nomlarida chalkashliklar mavjud. Masalan, bir xil hujum, yuvinish turli ishlab chiqaruvchilarning mutlaqo boshqa nomlariga ega (1-jadval). Jadval 1. Bir xil zaiflik uchun turli xil nomlar Tashkilot \ Kompaniyani nomlash hujumi CERT CA-96.06.cgi_example_code CyberSafe Network: HTTP 'phf' hujumi ISS http-cgi-phf AXENT phf CGI buyruqni masofadan bajarishga imkon beradi Bugtraq PHF hujumlari - butun oila uchun o'yin-kulgi va o'yinlar BindView # 107 - cgi-phf Cisco # 3200 - WWW phf hujumi NCSA / Apache namunaviy kodidagi IBM ERS zaifligi CERIAS http_escshellcmd L-3 # 180 HTTP Server CGI kod namunasi HTTP serverini murosaga keltiradi 1999 yilda MITER korporatsiyasi (http://www.mitre.org) zaifliklar va hujumlarni nomlash bilan tavsiflangan chalkashliklarni bartaraf etish uchun turli xil zaifliklarni sotuvchisidan mustaqil bo'lgan echimni taklif qildi. Ushbu yechim CVE (Common Vulnerability Enumeration) ma'lumotlar bazasi shaklida amalga oshirilib, keyinchalik Umumiy zaifliklar va ta'sirlar deb o'zgartirildi. Bu barcha mutaxassislar va ishlab chiqaruvchilarga bir xil tilda gaplashishga imkon berdi. Masalan, 1-jadvalda tasvirlangan bir xil zaiflikning turli xil chertishlari bitta CVE-1999-0067 kodini oldi. CVE pomito ma'lumotlar bazasini ishlab chiqishda MITER mutaxassislari ko'plab taniqli kompaniya va tashkilotlarning mutaxassislari ishtirokida qatnashdilar. Masalan, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Karnegi Mellon universiteti, SANS instituti, UC Devis Computer Security Lab, CERIAS va boshqalar. Internet xavfsizlik tizimlari CVE bazalarini qo'llab-quvvatlash uchun Cisco, Axent, BindView, IBM va boshqalar. Biroq, imtiyozli tashabbusni ko'rib chiqmasdan, CVE bazasi hali ko'plab tijorat mahsulotlarini olmagan. Amaliy faoliyat yoki rivojlanish jarayonida har qanday axborot tizimining hayot tsiklining bosqichini aks ettiruvchi uning tasnifi (2-jadval). Jadval 2. Zaiflik toifalari IP hayot tsiklining bosqichlari IP zaifliklari toifalari IS dizayni Dizaynning zaif tomonlari ISni amalga oshirish Amaliy zaifliklar IS ekspluatatsiyasi Xavfsizlik konfiguratsiyasi Eng xavfli - dizayndagi zaifliklar, ularni aniqlash va tuzatish qiyin. Bunday holda, o'z loyihasi yoki algoritmining zaifligi va undan kelib chiqadiki, hatto uni mukammal amalga oshirish (printsipial jihatdan imkonsiz) ham o'ziga xos zaiflikdan xalos bo'lolmaydi. Masalan, TCP / IP protokoli stekining mosligi. Ushbu protokol stekini yaratishda xavfsizlik talablarining past baholanishi, TCP / IP protokolida yangi zaiflik e'lon qilinmasdan bir oy ham o'tmaganiga olib keldi. Masalan, 2000 yil 7 va 8 fevral kunlari Yahoo (http://www.yahoo.com), eBay (http://www.ebay.com), Amazon (http) kabi mashhur va ommabop Internet-serverlarning funktsional imkoniyatlari. : //www.amazon.com), sotib oling (http://www.buy.com) va CNN (http://www.cnn.com). 9 fevralda xuddi shunday xabar ZDNet (http://www.zdnet.com), Datek (http: Download 15.43 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling