Каталог уязвимостей Сканер-ВС

Навигация

Справка и документацияОбзор платформыКак использовать платформуСистемы оценки уязвимостейЧасто задаваемые вопросыИстория релизов

Каталог уязвимостей использует профессиональные системы оценки рисков, применяемые в коммерческом Сканер-ВС 7 от АО “Эшелон Технологии”. Понимание этих систем критично для эффективного анализа угроз и принятия обоснованных решений по защите.

CVSS — Common Vulnerability Scoring System

CVSS — международный стандарт количественной оценки серьезности уязвимостей информационной безопасности, принятый как в российских, так и в зарубежных системах анализа угроз.

Принципы оценки CVSS

Основная концепция: CVSS оценивает максимально возможное воздействие уязвимости при наиболее неблагоприятном сценарии эксплуатации, предоставляя числовую оценку от 0.0 до 10.0.

Математическая модель: Итоговая оценка вычисляется на основе восьми основных метрик, охватывающих:

  • Сложность эксплуатации (Attack Complexity)
  • Необходимые привилегии (Privileges Required)
  • Взаимодействие с пользователем (User Interaction)
  • Воздействие на конфиденциальность, целостность и доступность

Классификация по уровням критичности

Критичность Диапазон Описание Временные рамки реагирования
🔴 Критический 9.0 - 10.0 Уязвимости с катастрофическим воздействием на системы 24 часа
🟠 Высокий 7.0 - 8.9 Серьезные уязвимости, требующие немедленного внимания 7 дней
🟡 Средний 4.0 - 6.9 Значимые уязвимости для планового устранения 30 дней
🟢 Низкий 0.1 - 3.9 Уязвимости с ограниченным воздействием 90 дней
Отсутствует 0.0 Информационные сообщения без влияния на безопасность По необходимости

Эволюция стандарта CVSS

CVSS v2.0 (Legacy)

Исторический контекст:

  • Первая широко принятая система стандартизации
  • Базовые метрики воздействия и эксплуатации
  • Используется для совместимости со старыми системами

Основные компоненты:

  • Access Vector (локальный/удаленный доступ)
  • Access Complexity (простота эксплуатации)
  • Authentication (требования аутentification)
  • Impact metrics (CIA - Confidentiality, Integrity, Availability)

CVSS v3.1 (Текущий стандарт)

Улучшения по сравнению с v2.0:

  • Более точная градация сложности атак
  • Учет современных векторов атак
  • Разделение привилегий и взаимодействия с пользователем
  • Улучшенные алгоритмы расчета итоговой оценки

Ключевые метрики v3.1:

  • Attack Vector — сетевой/смежный/локальный/физический
  • Attack Complexity — низкая/высокая сложность
  • Privileges Required — отсутствуют/низкие/высокие
  • User Interaction — не требуется/требуется
  • Scope — неизменная/измененная
  • Impact — воздействие на CIA (0-High)

CVSS v4.0 (Новейшая версия)

Революционные изменения:

  • Расширенная детализация векторов атак
  • Новые метрики для IoT и облачных сред
  • Улучшенная точность для современных угроз
  • Поддержка Supply Chain атак

Нововведения v4.0:

  • Attack Requirements — требования к условиям атаки
  • Vulnerable System Impact — воздействие на уязвимую систему
  • Subsequent System Impact — воздействие на связанные системы
  • Safety Impact — влияние на физическую безопасность

Практическое применение CVSS

Интерпретация векторов CVSS

Пример критической уязвимости:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Score: 10.0 (Critical)

Расшифровка:

  • AV:N — сетевая атака (Network)
  • AC:L — низкая сложность (Low)
  • PR:N — привилегии не требуются (None)
  • UI:N — взаимодействие с пользователем не нужно (None)
  • S:C — изменение области воздействия (Changed)
  • C:H/I:H/A:H — высокое воздействие на все аспекты CIA

Пример уязвимости среднего уровня:

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N
Score: 3.8 (Low)

Расшифровка:

  • AV:L — локальная атака (Local)
  • AC:H — высокая сложность (High)
  • PR:H — высокие привилегии (High)
  • UI:R — требуется взаимодействие (Required)
  • S:U — область воздействия неизменна (Unchanged)
  • C:L/I:L/A:N — ограниченное воздействие

EPSS — Exploit Prediction Scoring System

EPSS представляет инновационный подход к оценке угроз, используя машинное обучение и threat intelligence для прогнозирования реальной вероятности эксплуатации уязвимостей.

Концепция и методология

Основной принцип: В отличие от CVSS, который оценивает потенциальное воздействие, EPSS прогнозирует вероятность того, что конкретная уязвимость будет эксплуатирована в реальных условиях в течение следующих 30 дней.

Источники данных для модели:

  • Публичные базы эксплойтов (Exploit-DB, Metasploit)
  • Threat intelligence feeds от ведущих поставщиков
  • Анализ активности в даркнете
  • Статистика реальных инцидентов кибербезопасности
  • Социальные сети и форумы хакеров

Шкала оценки EPSS

Вероятностная модель (0.0 - 1.0):

Уровень риска Диапазон EPSS Интерпретация Практические рекомендации
🔴 Критический 0.8 - 1.0 80-100% вероятность эксплуатации Немедленные меры защиты
🟠 Высокий 0.6 - 0.8 60-80% вероятность атак Приоритетное устранение
🟡 Средний 0.4 - 0.6 40-60% вероятность использования Плановые меры в течение месяца
🟢 Низкий 0.2 - 0.4 20-40% вероятность атак Мониторинг и оценка
Минимальный 0.0 - 0.2 0-20% вероятность эксплуатации Фоновое наблюдение

Динамическая природа EPSS

Ежедневные обновления: EPSS scores обновляются каждые 24 часа на основе:

  • Новых обнаруженных эксплойтов
  • Изменений в threat landscape
  • Актуальности уязвимости в сообществе
  • Появления автоматизированных инструментов эксплуатации

Факторы, влияющие на изменение EPSS:

  • Публикация PoC эксплойтов — резкое увеличение score
  • Интеграция в exploit kits — значительный рост вероятности
  • Массовые кампании — временное повышение актуальности
  • Выход патчей — постепенное снижение score

Синергия CVSS и EPSS в профессиональном анализе

Матрица принятия решений

Критический приоритет (Немедленная реакция):

  • CVSS ≥ 9.0 + EPSS ≥ 0.8
  • Высокое воздействие + Высокая вероятность эксплуатации
  • Примеры: RCE в популярных веб-серверах, критические уязвимости ОС

Высокий приоритет (В течение недели):

  • CVSS 7.0-8.9 + EPSS ≥ 0.6 ИЛИ CVSS ≥ 9.0 + EPSS 0.2-0.6
  • Серьезное воздействие с умеренной вероятностью ИЛИ критическое воздействие с низкой вероятностью
  • Примеры: Privilege escalation с доступными эксплойтами

Средний приоритет (В течение месяца):

  • CVSS 4.0-6.9 + EPSS 0.3-0.6
  • Умеренное воздействие с умеренной вероятностью
  • Примеры: Information disclosure в специализированном ПО

Низкий приоритет (Плановые меры):

  • CVSS ≤ 4.0 ИЛИ EPSS ≤ 0.3
  • Низкое воздействие ИЛИ низкая вероятность эксплуатации
  • Примеры: DoS уязвимости с локальным доступом

Кейсы комплексного анализа

Кейс 1: Критическая веб-уязвимость

Характеристики:

  • CVE-2024-XXXX: Remote Code Execution in Apache HTTP Server
  • CVSS 3.1: 9.8 (Critical)
  • EPSS: 0.95 (Critical)
  • Доступные эксплойты: Metasploit, публичные PoC

Анализ:

  • Максимальная критичность по обеим метрикам
  • Широкое распространение Apache HTTP Server
  • Активная эксплуатация в дикой природе
  • Решение: Немедленное экстренное патчинг (в течение 24 часов)

Кейс 2: Локальная эскалация привилегий

Характеристики:

  • CVE-2024-YYYY: Local Privilege Escalation in Windows
  • CVSS 3.1: 8.8 (High)
  • EPSS: 0.15 (Very Low)
  • Эксплойты: Только proof-of-concept

Анализ:

  • Высокое воздействие, но низкая вероятность эксплуатации
  • Требуется локальный доступ к системе
  • Сложные условия для эксплуатации
  • Решение: Плановое обновление в течение месяца

Кейс 3: IoT уязвимость

Характеристики:

  • CVE-2024-ZZZZ: Authentication Bypass in Smart Cameras
  • CVSS 3.1: 6.5 (Medium)
  • EPSS: 0.85 (Critical)
  • Эксплойты: Массовые botnet атаки

Анализ:

  • Умеренное техническое воздействие
  • Очень высокая вероятность массовой эксплуатации
  • Простота автоматизации атак
  • Решение: Приоритетные меры защиты (изоляция устройств)

Российская специфика оценки угроз

Интеграция с БДУ ФСТЭК России

Особенности российской классификации:

  • Учет специфики отечественной IT-инфраструктуры
  • Соответствие требованиям регуляторов (ФСТЭК, ФСБ)
  • Приоритет защиты критической информационной инфраструктуры
  • Особое внимание к уязвимостям в сертифицированном ПО

Адаптация международных стандартов:

  • Соответствие CVSS международным практикам
  • Дополнительный анализ для отечественных решений
  • Учет геополитических факторов в threat intelligence
  • Специализированные источники данных об угрозах

Применение в Сканер-ВС 7

Интеллектуальная приоритизация: Коммерческий Сканер-ВС 7 использует усовершенствованную модель, комбинирующую:

  • CVSS scores всех версий (2.0, 3.1, 4.0)
  • EPSS прогнозы с учетом российского threat landscape
  • Анализ применимости к конкретной IT-среде
  • Автоматическую корреляцию с имеющимися защитными мерами

Contextual scoring:

  • Учет сетевой архитектуры организации
  • Анализ критичности защищаемых активов
  • Интеграция с SIEM для оценки текущих угроз
  • Персонализированные рекомендации по устранению

Практические рекомендации

Для специалистов по ИБ

Ежедневная работа:

  1. Мониторинг критических изменений — отслеживание уязвимостей с CVSS ≥ 9.0
  2. Анализ EPSS динамики — выявление растущих угроз
  3. Корреляция с активами — оценка применимости к вашей среде
  4. Планирование мер — разработка roadmap устранения уязвимостей

Стратегическое планирование:

  • Построение программы управления уязвимостями
  • Интеграция с процессами управления рисками
  • Автоматизация рутинных процессов оценки
  • Обучение команды профессиональным методикам

Для руководителей ИБ

Метрики для отчетности:

  • Количество критических уязвимостей (CVSS ≥ 9.0)
  • Среднее время устранения по категориям критичности
  • Динамика изменения risk exposure
  • ROI от инвестиций в системы управления уязвимостями

Обоснование инвестиций:

  • Демонстрация реальных рисков через EPSS scores
  • Расчет потенциального ущерба от инцидентов
  • Сравнение затрат на превентивные меры vs. реагирование
  • Соответствие требованиям регуляторов

Переход к автоматизированной оценке

Ограничения ручного анализа

Проблемы масштабирования:

  • Тысячи новых уязвимостей ежемесячно
  • Сложность отслеживания изменений EPSS
  • Необходимость экспертной оценки применимости
  • Человеческий фактор в принятии решений

Возможности Сканер-ВС 7

Автоматизированный scoring:

  • Непрерывный мониторинг изменений в базах данных
  • Автоматическая переоценка рисков при изменении EPSS
  • Интеллектуальная фильтрация по релевантности
  • Персонализированные алерты и рекомендации

Интеграция с IT-процессами:

  • Автоматическое обнаружение уязвимого ПО в инфраструктуре
  • Приоритизация патчинга на основе реальных рисков
  • Интеграция с системами управления конфигурациями
  • Отчетность для различных уровней управления

Получение профессиональной системы оценки

Преимущества коммерческого решения

Сканер-ВС 7 предоставляет полный цикл управления уязвимостями:

  • Автоматическое обнаружение уязвимостей в IT-инфраструктуре
  • Интеллектуальная приоритизация на основе CVSS/EPSS и контекста среды
  • Быстрое развертывание — установка за 1 минуту
  • Минимальные требования — 2 ГБ ОЗУ, 2 ядра ЦП
  • Сертификация ФСТЭК России №2204 для критических систем
  • Поддержка отечественных ОС (Astra Linux, РЕД ОС, Alt Linux)

Контакты для внедрения

АО “Эшелон Технологии”:

  • 📧 Email: partners@npo-echelon.ru
  • 📞 Телефон: 8 (495) 223-23-92
  • 🏢 Адрес: 107023, г. Москва, ул. Электрозаводская, д. 24
  • 🛠️ Техподдержка: 8 (800) 100-05-02

Понимание систем оценки CVSS и EPSS является фундаментом для эффективного управления рисками информационной безопасности. Каталог уязвимостей предоставляет образовательную основу для освоения этих технологий, а Сканер-ВС 7 — профессиональный инструмент для их применения в промышленных масштабах.