Не раз я писал про то, что уровень стандартизации в области ИБ не так высок, как в других отраслях. В частности у нас отсутствуют стандарты на обмен сигналами тревоги между решениями разных фирм. Когда-то был стандарт RDEP, разработанный Cisco. Потом RDEP был поддержан NFR, ISS, Sourcefire и на его основе родился SDEE. Но и его постигла судьба RDEP — кроме Cisco его никто не использовал. Отчасти потому, что стандарт, разработанный конкретной компанией, мало кто поддерживает из конкурентов (даже если стандарт хорош).
Но сейчас ситуация меняется и в отрасли стали появляться стандарты. Первой ласточкой стал CVE — Common Vulnerabilities and Exposures — стандарт, определяющий единое именование уязвимостей. Потом появился OVAL — Open Vulnerability and Assessment Language — стандартизованный язык описания уязвимостей в сканерах и системах анализа защищенности. Оба эти стандарта были разработаны под эгидой MITRE.
С тех пор число стандартов, над которыми MITRE взяла шефство, только возросло. Среди них:
— CCE — Common Configuration Enumeration — стандарт описания конфигураций, которые затем могут проверяться в сканерах и системах анализа защищенности
— CEE — Common Event Expression — стандарт описания, хранения и обмена сигналами тревоги между разнородными средствами защиты
— CME — Common Malware Enumeration — стандарт, похожий на CVE, но ориентированный на вредоносное ПО
— CWE — Common Weakness Enumeration — стандартизованный набор слабых мест в ПО. Этот стандарт не зацикливается только на уязвимостях как CVE и является более высокоуровневым, описывая типы проблем, а не их конкретные имена и проявления
— CPE — Common Platform Enumeration — стандарт описания и именования элементов ИТ-инфраструктуры
— CAPEC — Common Attack Pattern Enumeration and Classification — создание публичного каталога и схемы классификации шаблонов атак
— CRF — Common Result Format — стандартизация описания результатов тестирования или оценки защищенности.
Еще три стандарта появились не в MITRE, но тоже в Америке и тоже в известной своей деятельностью в области ИБ организации — Национальном институте стандартов США (NIST):
— SCAP — Security Content Automation Protocol — это даже не стандарт, а метод используюзий различные стандарты для автоматизации процесса управления уязвимостями
— CVSS — Common Vulnerability Scoring System — стандарт рейтингования уязвимостей
— XCCDF — eXtensible Configuration Checklist Description Format — стандартизованный язык описания чеклистов, тестирований и т.п.
Не все стандарты еще получили широкое распространение, не все вышли из разряда «беты»… Но и этого уже немало. Мы в начале большого пути и главное, чтобы эти стандарты не постигла судьба SDEE.
Алексей, что касается SDEE, то его судьба более ли менее понятна — в каком то смысле это было «изобретение велосипеда», поскольку в настоящее время есть группа стандартов IDMEF и IDXP для передачи сообщений ИБ. На эти стандарты существуют (хоть и эксперементальные, но все таки) RFC, тогда как стандарт SDEE можно получить только по запросу и он действительно вендор-ориентированный. Кстати в подготовке RFC по IDMEF принимали участие специалисты Вашей уважаемой компании, не будет ли он использоваться и Cisco?
Ну про IDMEF и IDXP говорят уже лет десять (или около того) и толку никакого ;-(
Добрый день.
Алексей, а чтобы вы могли сказать о таких стандартах как AVDL и VulnXML?
Есть перспективы?
Все что делает OWASP имеет неплохие перспективы. Однако AVDL и VulnXML ориентированы на Web-приложения в первую очередь, а не на все уязвимости. Их и поддерживают то всякие Sanctum, SPI и т.п., т.е. разработчики Web-сканеров.