məlumatlarının bazadan XML formatında
yüklənməsi xidmətləri var, onlardan qeydiyyatdan
keçmədən və pulsuz istifadə etmək olar.
NVD statistika mexanizmi konkret məhsullarda və ya konkret boşluq növlərində aşkarlama
reytinqində olan dəyişiklikləri qiymətləndirməyə imkan verir, zamana görə boşluqların trendi üzrə
statistika generasiya edir. Müəyyən məhsulları və istehsalçıları da izləmək olar.
Boşluqların qiymətləndirilməsi sistemləri
Boşluğun
risk dərəcəsi, bir qayda olaraq boşluq aşkarlanan sistemin istehsalçısı və ya
informasiya təhlükəsizliyi vasitələri istehsal edən (boşluq skanerləri, IDS sistem və s.)
şirkət
tərəfindən müəyyən edilir. Bu zaman yol hərəkəti qaydalarında olan işıqfor sxemi istifadə edilir:
aşağı dərəcədə risk (yaşıl), orta dərəcədə risk (sarı) və yüksək dərəcədə risk (qırmızı). Bəzən əlavə
olaraq riskin dördüncü dərəcəsi – kritik boşluqlar da daxil edilir.
Belə yanaşmadan istehsalçıların əksəriyyəti istifadə edir. Məsələn, Microsoft proqram
təminatı yenilənmələri haqqında elanlarında boşluqların kritikliyinin dörd səviyyəsindən istifadə
edir.
Bu sadə yanaşma administratorun tələblərini həmişə ödəmir. Boşluğun risk dərəcəsi zaman
keçdikcə dəyişə bilər. İstifadəsinin detalları yalnız istehsalçı şirkətin mütəxəssislərinə məlum olan
kritik boşluqla, istismar proqramı əlyetən olan boşluq arasındakı fərq böyükdür.
Boşluğun istifadə edilməsi ehtimalı ilə əlaqədar faktorları nəzərə almaq üçün standart
“işıqfor” modelinə əlavə şərtlər daxil etmək lazımdır. Məsələn, SANS İnstitutu boşluqların analizi
zamanı (SANS Critical Vulnerability Analysis) o boşluqlara kritik səviyyəsi verir ki, bu boşluqdan
istifadə edən, hamıya əlyetən və ya istismarı xüsusi vərdişlər tələb
etməyən proqram mövcud
olsun. Əks halda, hətta potensial olaraq çox təhlükəli boşluq kritik yox, yüksək səviyyəyə malik
olacaq. SANS metodikasında istismarın sadəliyi ilə yanaşı, boşluğa həssas sistemlərin yayılması
da nəzərə alınır.
Microsoft şirkətinin PSS (Product Support Services) qrupu ziyankar proqram təminatı ilə
bağlı riskin qiymətləndirilməsi metodikasında boşluğu aradan qaldıran yenilənmənin mövcudluğu,
hücum edənin istifadə edə biləcəyi hücum vektorlarının sayı, boşluğa həssas sistemlərin yayılması
nəzərə alınır. Məsələn, “kritik təhlükəli soxulcan” yenilənmə olmayan Microsoft proqram
təminatındakı lağım vasitəsilə, geniş yayılmış sistemlərdə iki və daha artıq hücum vektorundan
istifadə etməklə yayılmalıdır.
US-CERT-in istifadə etdiyi metodikada boşluğa aşağıdakı kriteriyalardan asılı olaraq qiyməti
0-180 arasında olan risk dərəcəsi müəyyən edilir.
– boşluq haqqında informasiya nə dərəcədə əlyetəndir?
– boşluqdan istifadə halları qeydə alınıbmı?
– şəbəkə üçün kritik İnternet-qovşaqlara təhlükə varmı?
– şəbəkənin boşluğa həssas qovşaqlarının sayı.
– boşluqdan istifadənin nəticələri necədir?
– boşluqdan istifadə nə dərəcədə asandır?
– boşluqdan istifadənin şərtləri necədir?
Təəssüf ki, kriteriyalar arasında onların mümkün çəkiləri və nəticədə alınan
risk dərəcəsi
formal müəyyən edilməyib, bu eyni boşluğun qiymətləndirilməsində ziddiyyətlər üçün geniş
meydan verir. Bundan başqa, sadalanmış metodikalar konkret iş üçün yox, bütövlükdə İnternet
üçün riskin qiymətini verir.
Yuxarıda qeyd
edilənləri ümumiləşdirərək, boşluğun qiymətləndirilməsi metodikasına
tələbləri aşağıdakıl kimi ifadə etmək olar:
– boşluğun risk dərəcəsinin boşluğun istismarı imkanından asılı olaraq qiymətləndirilməsi
imkanı olmalıdır;
– metodikanın tətbiqinin nəticəsi risklərin analizi zamanı istifadə üçün yararlı olan ədədi
qiymət olmalıdır;
– metodikanın konkret informasiya sisteminə adaptasiyası imkanı olmalıdır;
– qiymətləndirmə zamanı istifadə edilən parametrlər minimum müxtəlif yozuma malik
olmalıdır;
– yekun qiymətin hesablanması mexanizmi sadə və anlaşıqlı olmalıdır.
Dostları ilə paylaş: