Your SlideShare is downloading. ×
0
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Базы уязвимостей_обзор
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Базы уязвимостей_обзор

221

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
221
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Аналитический обзор открытых базАналитический обзор открытых баз  уязвимостей программно‐аппаратного у р р р обеспечения Федорченко А.В.  «Опытное конструкторское бюро «КАРАТ»«Опытное конструкторское бюро «КАРАТ» Чечулин А.А., Котенко И.В. Лаборатория проблем компьютерной безопасности  Санкт‐Петербургского Института Информатики и Автоматизации РАН Санкт‐Петербург, Россия РусКрипто`14 25 — 28 марта 2014 г.
  • 2. М Ц б Киберугрозы Мировые лидеры  киберпреступности Цели кибершпионажа Дипломаты/  Правительство 41%36% Китай США Турция 7% 6% 16% Частные  пользователи Армия 10% Россия Тайвань Другие страны 51% 11% 9% 7% Промышленность/  Инфраструктура Воздушные  сообщение 10% 5%4% 4% 11% щ Другие Методы кибератак 31% 8% Взлом с помощью  уязвимого ПО Вредоносное ПО 31% 21% 17% Физический доступ Психологическая атака 23% 21% Использование не по  назначению 2
  • 3. Базы данных уязвимостей Common Vulnerabilities & Exposures  (Общие уязвимости и воздействия) National Vulnerabilities Database  (Национальная база данных уязвимостей США)(Национальная база данных уязвимостей США) Open Source Vulnerabilities Data Base (Открытая база данных уязвимостей) Vulnerability Notes Database (База данных записей уязвимостей) BugTraq (Поддерживается открытым сообществом) Secunia (Коммерческая база данных уязвимостей) 3
  • 4. Задачи 1. Анализ структур открытых баз уязвимостейру ур р у 2. Анализ обнаруженных уязвимостей программно‐аппаратного обеспечения крупнейших мировых производителей 3. Прогноз обнаружения уязвимостей наиболее используемых продуктов в будущем 4
  • 5. Анализ баз уязвимостей (1/4) Сравнительный анализ баз уязвимостей CVE, NVD и OSVDB База данных  Ссылки на  сторонние  Ссылки на  уязвимое  программно‐ Унифицированный формат записей  программно‐ Зависимости  программно‐ Показатели, характери‐ Прямая  уязвимостей базы данных  уязвимостей программно аппаратное  обеспечение программно аппаратного  обеспечение аппаратного  обеспечения зующие уязвимости загрузка CVE + ‐ ‐ ‐ ‐ + NVD ±NVD ± + + + + + OSVDB + + ‐ ‐ ‐ ‐OSVDB + + ‐ ‐ ‐ ‐ +    наличие ± условное наличие ‐ отсутствие 5
  • 6. Анализ баз уязвимостей (2/4) йБазы данных уязвимостей CVE и NVD Распределение уязвимостей по годам 5000 6000 7000 8000 1000 2000 3000 4000 Ссылки на сторонние источники описания 0 60000 Ссылки на сторонние источники описания  уязвимостей Количество уникальных ссылок б й 20000 40000 Количество употреблений ссылок Количество многоразовых  ссылок К 0 Количество одноразовых ссылок 6
  • 7. й Анализ баз уязвимостей (3/4) Распределение уязвимостей в типизированных  продуктах Базы данных уязвимостей CVE и NVD 5000 6000 7000 продуктах 1000 2000 3000 4000 Приложения Операционные системы Аппаратура й 0 80% 90% 100% Статистика уязвимостей с зависимостями Уязвимостей продуктов без  зависимостей 30% 40% 50% 60% 70% Уязвимостей продуктов с одной  зависимостью 0% 10% 20% 7
  • 8. б й Анализ баз уязвимостей (4/4) Открытая база данных уязвимостей OSVDB Распределение уязвимостей по  годам 8000 10000 12000 годам 0 2000 4000 6000 Ссылки на сторонние источники описания уязвимостей 80000 100000 120000 140000 Количество уникальных ссылок Количество употреблений ссылок 0 20000 40000 60000 80000 Количество многоразовых ссылок Количество одноразовых ссылок 0 8
  • 9. Словарь продуктов Common platform enumeration  ( б ф ) Использование словаря CPE базой NVD (Общее перечисление платформ) 70,00% 80,00% ктов  2.2 Использование словаря CPE базой NVD 40,00% 50,00% 60,00% аписей продук в словаре CPE 2 Всего записей  – 82987 Продуктов  – 10593 Производителей – 2614 10,00% 20,00% 30,00% Отсутствие за базы NVDв Производителей  2614  0,00% 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Год  9
  • 10. Виды продуктов Распределение уязвимостей однотипных продуктов 500 600 Распределение уязвимостей однотипных продуктов 300 400 500 100 200 300 Операционные системы Серверные ОС В б б 0 100 003 004 05 06 07 8 9 Веб‐браузеры 20 20 20 200 200 2008 2009 2010 2011 2012 2013 10
  • 11. Операционные системы 160 180 Распределение уязвимостей среди операционных систем  100 120 140 Linux (kernel) MacOS X S l i 60 80 100 Solaris Windows 2000 Windows XP Windows Vista 0 20 40 Windows Vista Windows 7 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Среднее количество уязвимостей в год 60 75 95 Windows Mac OS Linux 11
  • 12. Серверные ОС Распределение уязвимостей среди серверных ОС 100 120 Распределение уязвимостей среди серверных ОС  80 100 60 MacOS X Server Windows Server 2003 Windows Server 2008 20 40 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 12
  • 13. Веб‐браузеры Распределение уязвимостей среди веб‐браузеров 400 Распределение уязвимостей среди веб браузеров 300 200 Internet explorer Firefox 0 100 Safari Chrome 0 2007 2008 2009 2010 20112010 2011 2012 2013 13
  • 14. Производители Распределение уязвимостей крупнейших производителей  программно‐аппаратного обеспечения 450 500 350 400 Microsoft Sun Apple IBM 250 300 IBM RedHat HP Apache 150 200 Cisco Linux Mozilla 50 100 Oracle Google 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 14
  • 15. Популярные продукты Р й б 400 Распределение уязвимостей среди наиболее популярных продуктов 300 350 Linux (kernel) MacOS X 250 300 Solaris Windows 2000 Windows XP Windows Vista 200 Windows Vista Windows 7 MacOS X Server Windows Server 2003 150 Windows Server 2008 iOS Internet explorer 50 100 Firefox Safari Chrome JRE 0 50 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 JRE 15 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
  • 16. Заключение Производители‐лидеры по числу обнаруженных Прогноз количестваПроизводители лидеры по числу обнаруженных  уязвимостей разрабатываемого программно‐ аппаратного обеспечения в период 2003‐2013гг. Прогноз количества  обнаруживаемых уязвимостей  в продуктах в 2014 году RedHat; 1,11% Apache; 0,77% Microsoft; 4,67% Google; 1 88% HP; 1,59% Apple; 3,93% Linux; 1,99% Google; 1,88% Mozilla; 2,28% Oracle; 3,65% Sun; 2,33% IBM; 3,08% Cisco; 2,65% 16
  • 17. Контактная информация СПАСИБО ЗА ВНИМАНИЕ! Федорченко Андрей Владимирович fedorchenkoandrei28@rambler.ru Чечулин Андрей Алексеевич h h li @ bchechulin@comsec.spb.ru http://comsec.spb.ru/chechulin Котенко Игорь Витальевич  ivkote@comsec spb ruivkote@comsec.spb.ru http://comsec.spb.ru/kotenko 17

×