четверг, 16 февраля 2017 г.

БДУ ФСТЭК: состояние и перспективы

Продолжу рассказ о конференции «Актуальные вопросы защиты информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и уязвимостей и о перспективах его развития.
На момент доклада в БДУ содержались сведения о 15377 уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с БДУ станет более удобной.
В 2016 г реализовано представление сведений об уязвимостях в формате XML. Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:
Низкая опасность – 2%
Средняя – 31%
Высокая – 64%
Критическая – 3%.

Соотношение критических уязвимостей по производителям ПО:
 Равнение на лидеров! :)

Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости

В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент RSNet.  Подготовлен калькулятор CVSS v.3.0.

Наиболее популярные уязвимости в 2016г:

Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей:  


В 2017 г планируется ввести фильтрацию уязвимостей по способам их устранения и по способам их эксплуатации, должны появиться диаграммы по среднему времени устранения уязвимостей вендорами, планируется реализовать описание уязвимостей на языке OVAL.

Кроме того появится возможность создания личного кабинета пользователя на сайте БДУ и будет вестись рейтинг исследователей уязвимостей с «доской почета» наиболее эффективных исследователей. Критериями эффективности будут:

- важность объекта исследования,
- качество представленной доказательной базы,
- уровень опасности уязвимости,
- востребованность сведений об уязвимости.
Чем будут награждать «передовиков производства», докладчик не уточнил :)

По угрозам. В 2016 г проведена классификация угроз. Введены несколько классификационных признаков:




Интересно, будет ли она коррелировать с новой методикой определения угроз, которую нам так долго обещает регулятор? На факт. Дело в том, что эту классификацию вводят одни люди, а Методику пишут совсем другие. Посмотрим. Хотелось бы, конечно, единства подходов.


Но судя по выступлению С.В. Соловьева, ФСТЭК всерьез намерена сделать свой БДУ полезным и популярным ресурсом и для разработчиков ПО, и для его потребителей.


Комментариев нет:

Отправить комментарий