Конференция ФСТЭК: банк данных угроз и уязвимостей

Угрозы
Еще одним интересным докладом на конференции ФСТЭК оказалось выступление Владимира Минакова из воронежского ГНИИ ПТЗИ, который рассказывал о том, что из себя сегодня представляет банк данных угроз и уязвимостей, разработку и ведение которого поручено ФСТЭК России.

За прошедший с прошлой конференции год БДУ сильно изменился — добавилось 20 новых угроз и около 3000 тысяч уязвимостей, общее число которых составило соответственно 182 и 13052 (на 25-е января).

Представитель Воронежа сделал очень недурной обзор существующих в мире баз уязвимостей угроз и уязвимостей. Я не буду его повторять — отмечу только два момента. На фоне многих других баз уязвимостей ФСТЭКовская выглядит очень и очень достойно. И это всего за один год ее работы. А вот в части угроз мне не совсем понятно оказалось исключение из списка сравнения американской базы CAPEC — по сути она схожа с тем, что делает наш регулятор.

В части развития ФСТЭК видит несколько направления приложения своих сил:

  • расширение числа угроз (порядка 140 еще находятся на стадии рассмотрения) и уязвимостей
  • введение разных классификаций угроз и уязвимостей для облегчения поиска по ним и фильтрации
  • связь с CVSS 3.0
  • включение поля «дата устранения уязвимости» для каждой из полутора десятков тысяч дыр
  • описание уязвимостей на языке OVAL
  • описание способа нейтрализации уязвимости
  • активизация поиска уязвимостей в отечественном, а не только в западном ПО.

В части функционала самого банка данных ФСТЭК вместе с ГНИИ ПТЗИ планирует сделать тоже немало и, в частности, подписку на обновления БДУ, описание небезопасных конструкций кода (в контексте SDLC), «личный кабинет» для формирования собственного профиля интересующих уязвимостей и ряд других новшеств.

Я в своей презентации про моделирование угроз в UEFI и BIOS приводил на последнем слайде скриншот разработанного в Cisco внутреннего инструментария по моделированию угроз, который позволяет автоматизировать непростую задачу и дать аналитику возможность отрисовать схему анализируемого объекта защиты и подгрузить в нее данные об уязвимостях, угрозах и мерах защиты из внешних и внутренних баз данных. Этакая экспертная система, задача которой — снизить вероятность ошибки и автоматизировать процесс, что приведет к оперативному составлению качественных моделей угроз. Вот если бы ФСТЭК запланировала создание такого инструмента — в виде Web-инструмента или в виде open source проекта. Цены бы ему не было.

ЗЫ. Пожалуй, это все, что я хотел рассказать про мероприятие ФСТЭК. Про аккредитацию я писать не буду. Про новые требования к лицензиатам я уже высказывался. Выступления других участников — лицензиатов ФСТЭК — пересказать не могу, так как убежал. В любом случае все материалы выложены на сайте организатора или вот тут.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. r1j1k

    Анонс появления русскоязычных сканеров безопасности по аналогии с HackerGuardian)

    Ответить