22.06.2008

Стандартизация в ИБ - лед сдвинулся

Не раз я писал про то, что уровень стандартизации в области ИБ не так высок, как в других отраслях. В частности у нас отсутствуют стандарты на обмен сигналами тревоги между решениями разных фирм. Когда-то был стандарт RDEP, разработанный Cisco. Потом RDEP был поддержан NFR, ISS, Sourcefire и на его основе родился SDEE. Но и его постигла судьба RDEP - кроме Cisco его никто не использовал. Отчасти потому, что стандарт, разработанный конкретной компанией, мало кто поддерживает из конкурентов (даже если стандарт хорош).

Но сейчас ситуация меняется и в отрасли стали появляться стандарты. Первой ласточкой стал CVE - Common Vulnerabilities and Exposures - стандарт, определяющий единое именование уязвимостей. Потом появился OVAL - Open Vulnerability and Assessment Language - стандартизованный язык описания уязвимостей в сканерах и системах анализа защищенности. Оба эти стандарта были разработаны под эгидой MITRE.

С тех пор число стандартов, над которыми MITRE взяла шефство, только возросло. Среди них:
- CCE - Common Configuration Enumeration - стандарт описания конфигураций, которые затем могут проверяться в сканерах и системах анализа защищенности
- CEE - Common Event Expression - стандарт описания, хранения и обмена сигналами тревоги между разнородными средствами защиты
- CME - Common Malware Enumeration - стандарт, похожий на CVE, но ориентированный на вредоносное ПО
- CWE - Common Weakness Enumeration - стандартизованный набор слабых мест в ПО. Этот стандарт не зацикливается только на уязвимостях как CVE и является более высокоуровневым, описывая типы проблем, а не их конкретные имена и проявления
- CPE - Common Platform Enumeration - стандарт описания и именования элементов ИТ-инфраструктуры
- CAPEC - Common Attack Pattern Enumeration and Classification - создание публичного каталога и схемы классификации шаблонов атак
- CRF - Common Result Format - стандартизация описания результатов тестирования или оценки защищенности.

Еще три стандарта появились не в MITRE, но тоже в Америке и тоже в известной своей деятельностью в области ИБ организации - Национальном институте стандартов США (NIST):
- SCAP - Security Content Automation Protocol - это даже не стандарт, а метод используюзий различные стандарты для автоматизации процесса управления уязвимостями
- CVSS - Common Vulnerability Scoring System - стандарт рейтингования уязвимостей
- XCCDF - eXtensible Configuration Checklist Description Format - стандартизованный язык описания чеклистов, тестирований и т.п.

Не все стандарты еще получили широкое распространение, не все вышли из разряда "беты"... Но и этого уже немало. Мы в начале большого пути и главное, чтобы эти стандарты не постигла судьба SDEE.

4 коммент.:

Vair комментирует...

Алексей, что касается SDEE, то его судьба более ли менее понятна - в каком то смысле это было "изобретение велосипеда", поскольку в настоящее время есть группа стандартов IDMEF и IDXP для передачи сообщений ИБ. На эти стандарты существуют (хоть и эксперементальные, но все таки) RFC, тогда как стандарт SDEE можно получить только по запросу и он действительно вендор-ориентированный. Кстати в подготовке RFC по IDMEF принимали участие специалисты Вашей уважаемой компании, не будет ли он использоваться и Cisco?

Алексей Лукацкий комментирует...

Ну про IDMEF и IDXP говорят уже лет десять (или около того) и толку никакого ;-(

Андрей комментирует...

Добрый день.

Алексей, а чтобы вы могли сказать о таких стандартах как AVDL и VulnXML?
Есть перспективы?

Алексей Лукацкий комментирует...

Все что делает OWASP имеет неплохие перспективы. Однако AVDL и VulnXML ориентированы на Web-приложения в первую очередь, а не на все уязвимости. Их и поддерживают то всякие Sanctum, SPI и т.п., т.е. разработчики Web-сканеров.