Professional Documents
Culture Documents
İnformasiya Təhlükəsizliyi Bülletenlərinin Yaradılması Insident11
İnformasiya Təhlükəsizliyi Bülletenlərinin Yaradılması Insident11
bülletenlərinin yaradılması
• Həyəcan siqnallarının, bülletenlərin, xəbərdarlıqların və elanların
yaradılması eyni sxem üzrə aparılır:
• informasiyanın toplanması;
• informasiyanın vacibliyinin və mənbəyinin yoxlanması; toplanmış
informasiya əsasında risqin qiymətləndirilməsi; informasiyanın
yayımlanması;
Aşağıda bu iş sxemi ətraflı izah edilir.
•
• İstifadəçilərin və administratorların informasiya təhlükəsizliyi problemləri
barəsində vaxtında məlumatlandırılması istehsalçılar və CSIRT komandaları
üçün vacib məsələdir. Bunu həyata keçirmək üçün geniş yayılmış üsul
“təhlükəsizlik bülletenləri”nin buraxılmasıdır. 2000-ci illərin əvvəlində
təhlükəsizlik bülletenləri üçün müxtəlif formatlar istifadə edilirdi, bülletenlər
müxtəlif struktura, terminologiyaya, dəqiqliyə malik idilər və bu müxtəlif
mənbələrdən alınmış bülletenlərin öyrənilməsi, analizi, müqayisəsi zamanı bir
çox çətinliklər yaradırdı.
• Buna görə də 2002-2004-cü illərdə təhlükəsizlik bülletenlərinin tərtibi və
mübadiləsi üçün bir sıra standartlar işləndi. Təhlükəsizlik
bülletenlərinin ümumi formatı oxucuların, bülleten müəlliflərinin və
naşirlərinin ehtiyaclarını əks etdirməli, əməkdaşlığa və təkrar istifadəyə
imkan verməli, proseslərin avtomatlaşdırılmasını dəstəkləməli, asanlıqla
genişləndirilə bilməlidir. Aşağıda onlar qısa təsvir olunur.
• CAIF (Common Announcement Interchange Format) – təhlükəsizlik
elanlarının saxlanması və emalı üçün XML-əsasında yaradılmış formatdır.
Təhlükəsizliyə aid məsələnin əsas aspektlərini təsvir etmək üçün zəruri
elementlərin baza, lakin müfəssəl toplusunu təqdim edir. Standartın
yaradılması layihəsi 2002-2004-cü illərdə Ştutqart Universitetinin CERT
komandası (RUS-CERT) tərəfindən icra edilmişdir (
http://cert.uni-stuttgart.de/projects/caif/).
• Elementlər toplusunu müvəqqəti, ekzotik və ya yeni tələbləri əks etdirmək
üçün asanlıqla genişləndirmək olar. Bir sənəd daxilində bir neçə problemi
təsvir etməklə yanaşı, format informasiyanı oxucuların bir neçə qrupu
üçün qruplaşdırmağa, sənəddə bir neçə dildə mətn verməyə imkan verir.
CAIF elanları təcililik meyarına görə həyəcan, xəbərdarlıq, məsləhət,
məlumat və digər xarakterli ola bilər, təfsilatına görə qısa, tam, annotasiya
və s. olmaqla boşluğun təsvirinə, yamaq haqqında bildirişə, nəzərə
çatdırma məlumatına həsr oluna bilər.
• EISPP (European Information Security Promotion Program) –
• 2002-2004-cü illərdə Avropa İttifaqının 5-ci Çərçivə Proqramı (5th
• Framework Programme) daxilində yerinə yetirilib
(http://www.eispp.org/).
• Layihənin məqsədi – kiçik biznesə təhlükəsizlik üzrə müntəzəm
informasiya, ilk növbədə boşluqlar və təhdidlər haqqında mümkün
xəbərdarlıqlar almaqda kömək etmək idi. İnformasiya təhlükəsizliyi
məlumatları ilə işləmək müəyyən kvalifikasiya tələb edir ki, bu da kiçik
biznes təşkilatlarında çox zaman çatışmır. Layihənin müsbət nəticələrinə
xəbərdarlıqlar üçün EISPP Common Advisory Format standartının
işlənməsini aid etmək olar.
• DAF (Deutsches Advisory Format) formatı hazırda CSIRT-lər tərəfindən
təhlükəsizlik bülletenlərinin yaradılması və müxtəlif komandalar arasında
mübadiləsi üçün standart kimi istifadə edilir. DAF Almaniya CERT-
Verbund-un təşəbbüsüdür və EISPP Common Advisory Format əsasında
xüsusi olaraq alman CERT-lərinin ehtiyacları üçün hazırlanmışdır, CERT-
Bund, DFN-CERT, PRESECURE və Siemens-CERT kimi komandalar
tərəfindən təkmilləşdirilir və dəstəklənir.
Təhlükəsizlik bülletenində ən azı aşağıdakı informasiya olmalıdır.
Bülletenin adı
...................................................................
Nömrə
...................................................................
Təsirlənən sistemlər
- ....................................................................
- ....................................................................
•
• Boşluğun risq dərəcəsi, bir qayda olaraq boşluq aşkarlanan sistemin
istehsalçısı və ya informasiya təhlükəsizliyi vasitələri istehsal edən
(boşluq skanerləri, IDS sistem və s.) şirkət tərəfindən müəyyən edilir. Bu
zaman yol hərəkəti qaydalarında olan işıqfor sxemi istifadə edilir: aşağı
dərəcədə risq (yaşıl), orta dərəcədə risq (sarı) və yüksək dərəcədə risq
(qırmızı). Bəzən əlavə olaraq risqin dördüncü dərəcəsi – kritik boşluqlar
da daxil edilir.
• Belə yanaşmadan istehsalçıların əksəriyyəti istifadə edir. Məsələn,
Microsoft proqram təminatı yenilənmələri haqqında elanlarında
boşluqların kritikliyinin dörd səviyyəsindən istifadə edir.
• Bu sadə yanaşma administratorun tələblərini həmişə ödəmir. Boşluğun
risq dərəcəsi zaman keçdikcə dəyişə bilər. İstifadəsinin
detalları yalnız istehsalçı şirkətin mütəxəssislərinə məlum olan kritik
boşluqla, istismar proqramı əlyetən olan boşluq arasındakı fərq böyükdür.
• Boşluğun istifadə edilməsi ehtimalı ilə əlaqədar faktorları nəzərə almaq
üçün standart “işıqfor” modelinə əlavə şərtlər daxil etmək lazımdır.
Məsələn, SANS İnstitutu boşluqların analizi zamanı (SANS Critical
Vulnerability Analysis) o boşluqlara kritik səviyyəsi verir ki, bu boşluqdan
istifadə edən, hamıya əlyetən və ya istismarı xüsusi vərdişlər tələb
etməyən proqram mövcud olsun. Əks halda, hətta potensial olaraq çox
təhlükəli boşluq kritik yox, yüksək səviyyəyə malik olacaq. SANS
metodikasında istismarın sadəliyi ilə yanaşı, boşluğa həssas sistemlərin
yayılması da nəzərə alınır.
• Microsoft şirkətinin PSS qrupu ziyankar proqram təminatı ilə bağlı risqin
qiymətləndirilməsi metodikasında boşluğu aradan qaldıran yenilənmənin
mövcudluğu, hücum edənin istifadə edə biləcəyi hücum vektorlarının sayı,
boşluğa həssas sistemlərin yayılması nəzərə alınır. Məsələn, “kritik
təhlükəli soxulcan” yenilənmə olmayan Microsoft proqram təminatındakı
lağım vasitəsilə, geniş yayılmış sistemlərdə iki və daha artıq hücum
vektorundan istifadə etməklə yayılmalıdır.
• US-CERT-in istifadə etdiyi metodikada boşluğa aşağıdakı kriteriyalardan asılı olaraq qiyməti 0-180 arasında olan risq dərəcəsi müəyyən edilir.
•
• – boşluq haqqında informasiya nə dərəcədə əlyetəndir?
• – boşluqdan istifadə halları qeydə alınıbmı?
•
• – şəbəkə üçün kritik İnternet-qovşaqlara təhlükə varmı?
• – şəbəkənin boşluğa həssas qovşaqlarının sayı.
•
• – boşluqdan istifadənin nəticələri necədir?
• – boşluqdan istifadə nə dərəcədə asandır?
•
• – boşluqdan istifadənin şərtləri necədir?
• Təəssüf ki, kriteriyalar arasında onların mümkün çəkiləri və nəticədə
alınan risq dərəcəsi formal müəyyən edilməyib, bu eyni boşluğun
qiymətləndirilməsində ziddiyyətlər üçün geniş meydan verir. Bundan
başqa, sadalanmış metodikalar konkret iş üçün yox, bütövlükdə İnternet
üçün risqin qiymətini verir.
• Yuxarıda qeyd edilənləri ümumiləşdirərək, boşluğun qiymətləndirilməsi metodikasına tələbləri aşağıdakıl
kimi ifadə etmək olar:
•
• – boşluğun risq dərəcəsinin boşluğun istismarı imkanından asılı olaraq qiymətləndirilməsi imkanı
olmalıdır;
•
• – metodikanın tətbiqinin nəticəsi risqlərin analizi zamanı istifadə üçün yararlı olan ədədi qiymət olmalıdır;
•
•
• – metodikanın konkret informasiya sisteminə adaptasiyası imkanı
olmalıdır;
•
• – qiymətləndirmə zamanı istifadə edilən parametrlər minimum müxtəlif
yozuma malik olmalıdır;
•
• – yekun qiymətin hesablanması mexanizmi sadə və anlaşıqlı olmalıdır.