Güvenlik açığı veritabanı - Vulnerability database

Bir güvenlik açığı veritabanı (VDB), keşfedilen bilgiler hakkında bilgi toplamayı, korumayı ve yaymayı amaçlayan bir platformdur. bilgisayar güvenlik açıkları. veri tabanı tanımlanan güvenlik açığını geleneksel olarak tanımlayacak, etkilenen sistemler üzerindeki olası etkiyi ve sorunu hafifletmek için tüm geçici çözümleri veya güncellemeleri değerlendirecektir. Bir VDB, kataloglanan her güvenlik açığına bir numara (ör. 123456) veya alfanümerik atama (örn. VDB-2020-12345). Veritabanındaki bilgiler web sayfaları, dışa aktarmalar veya API. Bir VDB, bilgileri ücretsiz olarak, ücretli olarak veya bunların bir kombinasyonunu sağlayabilir.

Tarih

İlk güvenlik açığı veritabanı, 7 Şubat 1973'te yayımlanan "Multics'te Onarılmış Güvenlik Hataları" idi. Jerome H. Saltzer. Listeyi "bir kullanıcının koruma mekanizmalarını bozabileceği veya altından edebileceği bilinen tüm yolların bir listesi Multics ".[1] Liste başlangıçta, çözümler sunulana kadar güvenlik açığı ayrıntılarını saklamak amacıyla bir şekilde gizli tutuldu. Yayınlanan liste, iki yerel ayrıcalık yükseltme güvenlik açığı ve üç yerel hizmet reddi saldırısı içeriyordu.[2]

Güvenlik açığı veritabanı türleri

ISS X-Force veritabanı, Symantec / SecurityFocus BID veritabanı gibi büyük güvenlik açığı veritabanları ve Açık Kaynak Güvenlik Açığı Veritabanı (OSVDB)[a] Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) dahil olmak üzere genel olarak ifşa edilen geniş bir güvenlik açıkları yelpazesini bir araya getirir. CVE'nin birincil amacı, GÖNYE, genel güvenlik açıklarını bir araya getirmeye ve onlara standart bir format benzersiz tanımlayıcı vermeye çalışmaktır.[3] Birçok güvenlik açığı veritabanı, CVE'den alınan istihbaratı geliştirir ve güvenlik açığı risk puanları, etki derecelendirmeleri ve gerekli geçici çözümü sağlayarak daha fazla araştırma yapar. Geçmişte CVE, güvenlik açığı veritabanlarını bağlamak için çok önemliydi, bu nedenle bilgisayar korsanlarının özel sistemlerdeki hassas bilgilere erişmesini engellemek için kritik yamalar ve hata ayıklamalar paylaşılabilir.[4] Ulusal Güvenlik Açığı Veritabanı (NVD), Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), MITRE tarafından çalıştırılan CVE veritabanından ayrı olarak çalıştırılır, ancak yalnızca CVE'den gelen güvenlik açığı bilgilerini içerir. NVD, aşağıdakileri sağlayarak bu veriler için bir geliştirme görevi görür Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) risk puanlaması ve Ortak Platform Numaralandırması (CPE) verileri.

Açık Kaynak Güvenlik Açığı Veritabanı güvenlik açığı güvenliği konusunda doğru, teknik ve tarafsız bir dizin sağlar. Kapsamlı veritabanı, 113 yıllık bir dönemi kapsayan 121.000'den fazla güvenlik açığını katalogladı. OSVDB, Ağustos 2002'de kuruldu ve Mart 2004'te piyasaya sürüldü. İlkel başlangıcında, yeni tespit edilen güvenlik açıkları site üyeleri tarafından araştırıldı ve web sitesinde açıklamalar ayrıntılı olarak açıklandı. Bununla birlikte, hizmetin gerekliliği arttıkça, kendini adamış personele duyulan ihtiyaç, güvenlik projelerine ve öncelikle OSVDB'ye finansman sağlamak için 2005 yılında kar amacı gütmeyen bir kuruluş olarak kurulan Açık Güvenlik Vakfı'nın (OSF) kurulmasıyla sonuçlandı.[5]

Birleşik Devletler. Ulusal Güvenlik Açığı Veritabanı CVE hakkında rapor veren, 2005 yılında oluşturulmuş kapsamlı bir siber güvenlik zafiyet veritabanıdır.[6] NVD, hem bireyler hem de endüstriler için mevcut güvenlik açıkları hakkında bilgilendirici kaynaklar sağlayan birincil bir siber güvenlik yönlendirme aracıdır. NVD, 50.000'den fazla kayıt tutmakta ve günde ortalama 13 yeni kayıt yayınlamaktadır. OSVDB'ye benzer şekilde, NVD, kullanıcılara anlaşılır bir arama sistemi sağlamak için etki derecelendirmelerini yayınlar ve materyalleri bir dizinde sınıflandırır.[7]

Çeşitli ticari şirketler de kendi güvenlik açığı veritabanlarını sürdürerek, müşterilere hem makine tarafından okunabilir formatta hem de web portalları aracılığıyla yeni ve güncellenmiş güvenlik açığı verilerini sunan hizmetler sunar. Örnekler arasında Symantec'in DeepSight'ı bulunur[8] portal ve güvenlik açığı veri akışı, Secunia'nın (Flexera tarafından satın alındı) güvenlik açığı yöneticisi[9] ve Accenture'ın güvenlik açığı istihbarat servisi[10] (eski adıyla iDefense).

Güvenlik açığı veritabanları, kuruluşlara kritik güvenlik açıklarını gidermeye çalışan yamalar veya diğer azaltıcılar geliştirmelerini, önceliklendirmelerini ve yürütmelerini tavsiye eder. Ancak, yamalar daha fazla sistem suistimalini ve ihlallerini engellemek için aceleyle oluşturulduğundan, bu genellikle ek duyarlılıkların yaratılmasına yol açabilir. Bir kullanıcının veya kuruluşun düzeyine bağlı olarak, kullanıcıya kendilerini etkileyebilecek bilinen güvenlik açıklarının ifşasını sağlayan bir güvenlik açığı veritabanına uygun erişimi garanti ederler. Bireylere erişimi sınırlamanın gerekçesi, bilgisayar korsanlarının potansiyel olarak daha fazla istismar edilebilecek kurumsal sistem güvenlik açıkları konusunda bilgili olmalarını engellemektir.[11]

Güvenlik açığı veritabanlarının kullanımı

Güvenlik açığı veritabanları, çok çeşitli tanımlanmış güvenlik açıkları içerir. Ancak, çok az kuruluş, tüm potansiyel sistem duyarlılıklarını gözden geçirmek ve gidermek için uzmanlığa, personele ve zamana sahiptir, bu nedenle güvenlik açığı puanlaması, bir sistem ihlalinin ciddiyetini nicel olarak belirleyen bir yöntemdir. US-CERT ve SANS Institute's gibi güvenlik açığı veri tabanlarında çok sayıda puanlama yöntemi mevcuttur. Kritik Zafiyet Analizi Ölçeği ama Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), OSVDB, vFeed dahil olmak üzere çoğu güvenlik açığı veritabanları için geçerli olan tekniktir.[12] ve NVD. CVSS, her biri bir güvenlik açığı derecesi sağlayan temel, zamansal ve çevresel olmak üzere üç temel ölçüme dayanmaktadır.[13]

Baz

Bu metrik, gizli bilgilerin açığa çıkmasının potansiyel etkisi, bilginin erişilebilirliği ve bilginin geri alınamaz şekilde silinmesi gibi bir güvenlik açığının değişmez özelliklerini kapsar.

Geçici

Geçici ölçütler, bir güvenlik açığının değişken doğasını, örneğin bir istismar edilebilirliğin güvenilirliğini, bir sistem ihlalinin mevcut durumunu ve uygulanabilecek herhangi bir geçici çözümün geliştirilmesini gösterir.[14]

Çevresel

CVSS'nin bu yönü, bir güvenlik açığından bireylere veya kuruluşlara yönelik potansiyel kaybı derecelendirir. Ayrıca, kişisel sistemlerden büyük kuruluşlara ve potansiyel olarak etkilenen bireylerin sayısına kadar bir güvenlik açığının birincil hedefini ayrıntılarıyla anlatır.[15]

Farklı puanlama sistemlerini kullanmanın karmaşıklığı, bir güvenlik açığının ciddiyeti konusunda bir fikir birliğinin olmamasıdır, bu nedenle farklı kuruluşlar, kritik sistem açıklarını gözden kaçırabilir. CVSS gibi standartlaştırılmış bir puanlama sisteminin temel faydası, yayınlanan güvenlik açığı puanlarının hızla değerlendirilebilmesi, takip edilebilmesi ve düzeltilebilmesidir. Hem kuruluşlar hem de bireyler, bir güvenlik açığının sistemleri üzerindeki kişisel etkisini belirleyebilir. Güvenlik açığı veritabanlarından tüketicilere ve kuruluşlara sağlanan faydalar, bilgi sistemleri giderek daha fazla yerleşik hale geldikçe, bunlara bağımlılığımız ve bunlara olan bağımlılığımız ve veri kullanımı fırsatı arttıkça katlanarak artmaktadır.[16]

Güvenlik açığı veritabanlarında listelenen yaygın güvenlik açıkları

İlk dağıtım hatası

Bir veritabanının işlevselliği titiz testler yapılmadan kusursuz görünse de, önemli kusurlar bilgisayar korsanlarının bir sistemin siber güvenliğine sızmasına izin verebilir. Veritabanları sıklıkla sıkı güvenlik kontrolleri olmadan yayınlanır, bu nedenle hassas materyale kolayca erişilebilir.[17]

SQL enjeksiyonu

Veritabanı saldırıları, güvenlik açığı veritabanlarında kaydedilen siber güvenlik ihlallerinin en sık tekrarlanan biçimidir. SQL ve NoSQL enjeksiyonları, sırasıyla geleneksel bilgi sistemlerine ve büyük veri platformlarına nüfuz eder ve bilgisayar korsanlarının düzensiz sistem erişimine izin veren kötü niyetli ifadeleri hesaplar.[18]

Yanlış yapılandırılmış veritabanları

Kurulan veritabanları, aşırı iş yükü ve yamaların hatalı sistem güvenlik açığını güncellemesini sağlamak için kapsamlı bir deneme yapılması gerekliliği nedeniyle güvenlik açığı veritabanları tarafından önerilen önemli yamaları uygulayamaz. Veritabanı operatörleri çabalarını, bilgisayar korsanlarına ihmal edilmiş yamalar aracılığıyla tam sistem erişimi sunan büyük sistem eksikliklerine yoğunlaştırır.[19]

Yetersiz denetim

Tüm veritabanları, verilerin ne zaman değiştirildiğini veya erişildiğini kaydetmek için denetim izlerini gerektirir. Sistemler gerekli denetim sistemi olmadan oluşturulduğunda, sistem güvenlik açıklarından yararlanmanın belirlenmesi ve çözülmesi güçtür. Güvenlik açığı veritabanları, siber saldırıların caydırıcı bir unsuru olarak denetim izlemenin önemini duyurur.[20]

Kişisel ve finansal bilgiler önemli bir varlık olduğundan ve hassas materyallerin kullanılması bir firmanın itibarını zedeleyebileceğinden, verilerin korunması her işletme için çok önemlidir. Veri koruma stratejilerinin uygulanması, gizli bilgilerin korunması için zorunludur. Bazıları, yazılım tasarımcılarının başlangıçtaki ilgisizliğinin, güvenlik açığı veritabanlarının varlığını gerektirdiği görüşüne sahiptir. Sistemler daha fazla titizlikle tasarlandıysa, güvenlik açığı veritabanlarını gereksiz kılan SQL ve NoSQL enjeksiyonlarından aşılamayabilirler.[21]

Notlar

  1. ^ OSVDB Nisan 2016'da kapatıldı; onların yerini ücretli bir servis VulnDB aldı

Referanslar

  1. ^ Saltzer, J. H. "Multics'te Onarılmış Güvenlik Hataları". www.semanticscholar.org. Alındı 2020-09-29.
  2. ^ "MULTICS'TE ONARILAN GÜVENLİK HATALARI" (PDF).
  3. ^ "Ortak Güvenlik Açıkları ve Etkilenmeler (CVE)". Cve.mitre.org. Alındı 1 Kasım 2015.
  4. ^ Yun-Hua, G; Pei, L (2010). "Güvenlik Açığı Veritabanları Üzerine Tasarım ve Araştırma": 209–212. Alıntı dergisi gerektirir | günlük = (Yardım)
  5. ^ Karlsson, M (2012). "Ulusal Güvenlik Açığı Veritabanı ve benzer Güvenlik Açığı Veritabanlarının Düzenleme Geçmişi". Alıntı dergisi gerektirir | günlük = (Yardım)
  6. ^ "Ulusal Güvenlik Açığı Veritabanı Açıklaması". kaynaklar.whitesourcesoftware.com. Alındı 2020-12-01.
  7. ^ "NVD Birincil Kaynakları". Ulusal Güvenlik Açığı Veritabanı. Alındı 1 Kasım 2015.
  8. ^ "DeepSight Teknik Zeka | Symantec". www.symantec.com. Alındı 2018-12-05.
  9. ^ "Secunia'nın Güvenlik Açığı Yöneticisi".
  10. ^ "Accenture Güvenlik Açığı İstihbaratı" (PDF).
  11. ^ Erickson, J (2008). Hacking - Sömürü Sanatı (1. baskı). San Francisco: Nişasta Presi Yok. ISBN  1593271441.
  12. ^ vFeed. "vFeed İlişkili Güvenlik Açığı ve Tehdit İstihbaratı".
  13. ^ İlk. "Ortak Güvenlik Açığı Puanlama Sistemi (CVSS-SIG)". Alındı 1 Kasım 2015.
  14. ^ Mell, P; Romanosky, S (2006). "Ortak Güvenlik Açığı Puanlama Sistemi". IEEE Güvenlik ve Gizlilik Dergisi. 4 (6): 85–89.
  15. ^ Hayden, L (2010). BT Güvenlik Ölçütleri (1. baskı). New York: McGraw Tepesi.
  16. ^ Chandramouli, R; Grance, T; Kuhn, R; Landau, S (2006). "Ortak Güvenlik Açığı Puanlama Sistemi": 85–88. Alıntı dergisi gerektirir | günlük = (Yardım)
  17. ^ "2015 Yılının En Önemli Riskleri ve Bunları Nasıl Azaltabiliriz?" (PDF). Imperva. Alındı 2 Kasım 2015.
  18. ^ Natarajan, K; Subramani, S (2012). "Sql-Injection Saldırılarını Algılamak ve Önlemek için Sql-injection Ücretsiz Güvenli Algoritmanın Üretimi". Prosedür Teknolojisi. 4: 790–796.
  19. ^ "Güvenlik Açığı Veritabanı - İlk 1000 Kusur". Ağ güvenliği. 8 (6). 2001.
  20. ^ Afyouni, H (2006). Veritabanı Güvenliği ve Denetimi (1. baskı). Boston: Thomson Kurs Teknolojisi.
  21. ^ Sirohi, D (2015). Siber Suçun Dönüştürücü Boyutları. Hindistan: Vij Books. s. 54–65.

Ayrıca bakınız