Где я?
ББ-Home > Бизнес-Среда > Бизнес в окружении > Вся кибер-адская рать

Вся кибер-адская рать

О новых угрозах в киберпространстве говорят каждый день. Их становится все больше, и сами они становятся все хитроумней и изощренней. Но мало у кого знания о компьютерных вредителях идут дальше слова «вирус», перенесенного в ИТ сферу из биологии и мало что говорящего о характере сегодняшних угроз и уязвимостей, о способах их распространения, о характере воздействия на мишень и, тем более, о существующей таксономии.

А существует ли вообще такая? И ведет ли кто-нибудь учет этих уязвимостей, их описание и анализ. Оказывается, что да.

NIST

Существующая сегодня в США Национальная база данных уязвимостей (National Vulnerability Database, NVD), администрируемая NIST (Национальным институтом по стандартам и технологиям), берет свое начало еще в 2000 году. Тогда она называлась ICAT (Internet – Categorization of Attacks Toolkit).

Сейчас в ней находится огромный набор т. н. CVE (Common Vulnerabilities and Exposures; общеизвестных уязвимостей). CVE имеют собственную номенклатуру, в общем виде представляемую в следующем виде:

CVE – [год] – [уникальный номер]

Анализ каждой конкретной уязвимости отражается в таких системах, как: система классификации ошибок CWE (Common Weakness Enumeration), система классификации приложимости к платформам CPE (Common Platform Enumeration) и общая система оценки опасности уязвимости CVSS (Common Vulnerability Scoring System).

MITRE

Другим полезным ресурсом могут оказаться проекты, поддерживаемые некоммерческой организацией MITRE Corporation.

В их числе:

Правда, OVAL сейчас перебрался в Center for Internet Security по адресу https://oval.cisecurity.org/.

БДУ ФСТЭК

В России Банк данных угроз безопасности информации ведет Федеральная служба по техническому и экспортному контролю (ФСТЭК).


Цифровая грамотность в наш век – не пустой звук. Всего знать невозможно, как невозможно предпринять и всех мер против всех угроз, да это и не нужно и тоже, в свою очередь, невозможно. (Кстати, может быть, этой житейской мудростью руководствовалась ФСТЭК, когда запускала свою базу на незащищенном сервере (посмотрите, какой протокол использует сервер)? Или сама еще не освоила «сетевой минимум»?)

Как бы там ни было, хотим мы того или нет, но набираться цифровой грамотности нам придется. И как можно быстрее. И перечисленные выше ресурсы и им подобные будут очень полезны всем, кто рано или поздно осознает эту необходимость и приступи к заполнению брешей в знаниях, пока они не превратились в бреши в кошельках и корпоративных хранилищах данных.


Серия «Бизнес в окружении»: краткие и регулярные срезы окружающей среды, в которой приходится действовать бизнесу с учетом ее недоброжелательности и враждебности.

Top