Базы уязвимостей_обзор
DESCRIPTION
TRANSCRIPT
Аналитический обзор открытых базАналитический обзор открытых баз уязвимостей программно‐аппаратного у р р р
обеспечения
Федорченко А.В. «Опытное конструкторское бюро «КАРАТ»«Опытное конструкторское бюро «КАРАТ»
Чечулин А.А., Котенко И.В.Лаборатория проблем компьютерной безопасности
Санкт‐Петербургского Института Информатики и Автоматизации РАН
Санкт‐Петербург, Россия
РусКрипто`1425 — 28 марта 2014 г.
М Ц б
Киберугрозы
Мировые лидеры киберпреступности
Цели кибершпионажаДипломаты/ Правительство
41%36%
Китай
США
Турция7%
6%16% Частные
пользователиАрмия
10%
Россия
Тайвань
Другие страны
51%
11%9%
7% Промышленность/ ИнфраструктураВоздушные сообщение10%
5%4%4%
11% щДругие
Методы кибератак
31%8%
Взлом с помощью уязвимого ПОВредоносное ПО
31%
21%
17% Физический доступ
Психологическая атака
23%21% Использование не по
назначению
2
Базы данных уязвимостей
Common Vulnerabilities & Exposures (Общие уязвимости и воздействия)
National Vulnerabilities Database (Национальная база данных уязвимостей США)(Национальная база данных уязвимостей США)
Open Source Vulnerabilities Data Base(Открытая база данных уязвимостей)
Vulnerability Notes Database(База данных записей уязвимостей)
BugTraq(Поддерживается открытым сообществом)
Secunia(Коммерческая база данных уязвимостей)
3
Задачи
1. Анализ структур открытых баз уязвимостейру ур р у
2. Анализ обнаруженных уязвимостей программно‐аппаратногообеспечения крупнейших мировых производителей
3. Прогноз обнаружения уязвимостей наиболее используемыхпродуктов в будущем
4
Анализ баз уязвимостей (1/4)
Сравнительный анализ баз уязвимостей CVE, NVD и OSVDB
База данных Ссылки на сторонние
Ссылки на уязвимое
программно‐
Унифицированныйформат записей программно‐
Зависимости программно‐
Показатели,характери‐ Прямая
уязвимостей базы данных уязвимостей
программноаппаратное обеспечение
программноаппаратного обеспечение
аппаратного обеспечения
зующиеуязвимости
загрузка
CVE + ‐ ‐ ‐ ‐ +
NVD ±NVD ± + + + + +
OSVDB + + ‐ ‐ ‐ ‐OSVDB + + ‐ ‐ ‐ ‐
+ наличие± условное наличие‐ отсутствие
5
Анализ баз уязвимостей (2/4)
йБазы данных уязвимостей CVE и NVDРаспределение уязвимостей по годам
5000600070008000
1000200030004000
Ссылки на сторонние источники описания
0
60000
Ссылки на сторонние источники описания уязвимостей
Количество уникальных ссылок
б й
20000
40000Количество употреблений ссылок
Количество многоразовых ссылок
К0 Количество одноразовых ссылок
6
й
Анализ баз уязвимостей (3/4)
Распределение уязвимостей в типизированных продуктах
Базы данных уязвимостей CVE и NVD
500060007000
продуктах
1000200030004000
Приложения
Операционные системы
Аппаратура
й
0
80%90%100%
Статистика уязвимостей с зависимостями
Уязвимостей продуктов без зависимостей
30%40%50%60%70%
Уязвимостей продуктов с одной зависимостью
0%10%20%
7
б й
Анализ баз уязвимостей (4/4)
Открытая база данных уязвимостей OSVDBРаспределение уязвимостей по
годам
80001000012000
годам
0200040006000
Ссылки на сторонние источники описания уязвимостей
80000100000120000140000
Количество уникальных ссылок
Количество употреблений ссылок
020000400006000080000
Количество многоразовых ссылок
Количество одноразовых ссылок
0
8
Словарь продуктов
Common platform enumeration ( б ф )
Использование словаря CPE базой NVD
(Общее перечисление платформ)
70,00%
80,00%
ктов
2.2
Использование словаря CPE базой NVD
40,00%
50,00%
60,00%
аписей
про
дук
в слов
аре CP
E 2
Всего записей – 82987Продуктов – 10593Производителей – 2614
10,00%
20,00%
30,00%
Отсутстви
е за
базы
NVD
в Производителей 2614
0,00%1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Год
9
Виды продуктов
Распределение уязвимостей однотипных продуктов
500
600
Распределение уязвимостей однотипных продуктов
300
400
500
100200300 Операционные системы
Серверные ОСВ б б
0100
003
004
05 06 07 8 9Веб‐браузеры
20 20 20 200
200
2008
2009
2010
2011
2012
2013
10
Операционные системы
160
180
Распределение уязвимостей среди операционных систем
100
120
140Linux (kernel)
MacOS X
S l i
60
80
100 Solaris
Windows 2000
Windows XP
Windows Vista
0
20
40Windows Vista
Windows 7
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Среднее количество уязвимостей в год
60 75 95
Windows Mac OS Linux
11
Серверные ОС
Распределение уязвимостей среди серверных ОС
100
120
Распределение уязвимостей среди серверных ОС
80
100
60MacOS X Server
Windows Server 2003
Windows Server 2008
20
40
02003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
12
Веб‐браузеры
Распределение уязвимостей среди веб‐браузеров
400
Распределение уязвимостей среди веб браузеров
300
200 Internet explorerFirefox
0
100 SafariChrome
0
2007 2008 2009 2010 20112010 2011 2012 2013
13
Производители
Распределение уязвимостей крупнейших производителей программно‐аппаратного обеспечения
450
500
350
400 Microsoft
Sun
Apple
IBM
250
300IBM
RedHat
HP
Apache
150
200 Cisco
Linux
Mozilla
50
100 Oracle
02003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
14
Популярные продукты
Р й б400
Распределение уязвимостей среди наиболее популярных продуктов
300
350Linux (kernel)
MacOS X
250
300 Solaris
Windows 2000
Windows XP
Windows Vista
200
Windows Vista
Windows 7
MacOS X Server
Windows Server 2003
150Windows Server 2008
iOS
Internet explorer
50
100Firefox
Safari
Chrome
JRE
0
50
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
JRE
15
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
ЗаключениеПроизводители‐лидеры по числу обнаруженных Прогноз количестваПроизводители лидеры по числу обнаруженных уязвимостей разрабатываемого программно‐аппаратного обеспечения в период 2003‐2013гг.
Прогноз количества обнаруживаемых уязвимостей
в продуктах в 2014 году
RedHat; 1,11% Apache; 0,77%
Microsoft; 4,67%
Google; 1 88%
HP; 1,59%
Apple; 3,93%Linux; 1,99%
Google; 1,88%
Mozilla; 2,28%
Oracle; 3,65%Sun; 2,33%
IBM; 3,08%Cisco; 2,65%
16
Контактная информация
СПАСИБО ЗА ВНИМАНИЕ!
Федорченко Андрей Владимирович[email protected]
Чечулин Андрей Алексеевичh h li @ [email protected]
http://comsec.spb.ru/chechulin
Котенко Игорь Витальевич ivkote@comsec spb [email protected]
http://comsec.spb.ru/kotenko
17