Ни для кого не секрет, что вопросы безопасности часто являются ключевым аргументом при выборе той или иной системы. Но в чем мерить безопасность?
Основным аргументом, как правило, служат результаты независимых исследований. Что ж, разумно. Но все же, пожалуй, стоит посмотреть, насколько эти исследования отражают реальную картину.
Одним из основных источников информации об уязвимостях служит база NVD (National Vulnerability Database), поддерживаемая комитетом при правительстве США. Эта база содержит полный список всех известных уязвимостей во всех программных продуктах и их рейтинги критичности. Рейтинги могут иметь значение «Высокий», «Средний» и «Низкий» в зависимости от того, насколько опасной признана уязвимость.
Инженеры Red Hat провели сравнение уязвимостей, относящихся к Red Hat Enterprise Linux 4 за последние 12 месяцев, по данным NVD и по данным Red Hat.
В Red Hat используют чуть другую систему оценки критичности уязвимостей - «Критичная», «Важная», «Средняя» и «Второстепенная». К «Критичным» уязвимостям относятся те, которые могут быть использованы без участия пользователя. Именно эти уязвимости представляют наибольшую опасность, так как от любых других можно защититься грамотными политиками безопасности.
Теперь посмотрим на результаты сравнения. NVD присвоила рейтинг «Высокий» 90 уязвимостям, относящимся к Red Hat Enterprise Linux 4. Рейтинги Red Hat для этих уязвимостей:
23 - «Критичная»
24 - «Важная»
35 - «Средняя»
8 - «Второстепенная»
NVD присвоила рейтинг «Средний» 61 уязвимости. Рейтинги Red Hat для этих уязвимостей:
9 - «Критичная»
18 - «Важная»
22 - «Средняя»
12 - «Второстепенная»
NVD присвоила рейтинг «Низкий» 152 уязвимостям. Рейтинги Red Hat для этих уязвимостей:
7 - «Критичная»
32 - «Важная»
62 - «Средняя»
51 - «Второстепенная»
Таким образом, мы видим, что среди уязвимостей, которым NVD присвоила высший рейтинг, меньше четверти были критичными для Red Hat Enterprise Linux. При этом среди неопасных по мнению NVD уязвимостей были критичные для RHEL.
Почему же так происходит? На самом деле, ничего странного в этом нет. Дело в том, что NVD содержит один рейтинг для каждой уязвимости вне зависимости от платформы, на которой работает приложение.
Рассмотрим популярный web-сервер Apache. Он работает на множестве платформ (Linux, Windows, FreeBSD и т.д.), многие компании включают его в свои продукты. При этом, например, одна и та же уязвимость в нем приводила к исполнению произвольного кода под FreeBSD, вызывала отказ в обслуживании под Windows, но ей нельзя было воспользоваться под Linux. При этом в базе NVD у нее был один рейтинг, на зависящий от платформы.
Обобщенные независимые базы уязвимостей на сегодняшний день не содержат рейтинги уязвимостей ПО для конкретных платформ, для конкретных сборок. Поэтому они, к сожалению, не отражают реальной ситуации.
Что же делать в такой ситуации? Как сравнивать защищенность различных платформ? Путь здесь один – поставщики должны регулярно предоставлять полностью прозрачные отчеты по безопасности с разбором всех уязвимостей. Red Hat такие отчеты предоставляет. Надеемся, другие поставщики последуют его примеру.
Комментариев нет:
Отправить комментарий