TerminologyБЛОГ

ПРОЗОРЕЦ НА УЯЗВИМОСТТА ПРИ РАЗРАБОТКАТА НА СОФТУЕР

Когато съществува уязвимост в сигурността на даден продукт, тя създава т. нар. прозорец на излагане (window of exposure/vulnerability window). Този прозорец съществува докато уязвимостта бъде отстранена (например чрез разработка и прилагане на софтуерен ъпдейт). Формата на този прозорец зависи от броят на хората, които могат да използват уязвимостта и колко бързо тя ще бъде отстранена. Целта е този прозорец да бъде възможно най-малък. Прозорецът на уязвимост има пет отделни фази:

  • Фаза 1 – преди да бъде открита уязвимостта. На този етап тя съществува, но никой не е в състояние да я експлоатира;
  • Фаза 2 – след откриване на уязвимостта, но преди нейното обявяване. На този етап много малко хора знаят за нея, но няма мерки за защита. В зависимост от това кой я е открил и нивото на неговите умения, тази фаза може да представлява изключително голям риск или точно обратното. Не е изключен и факта, че уязвимостта може да бъде открита от няколко човека в различен момент от време, което допълнително усложнява модела;
  • Фаза 3 – след обявяване на уязвимостта – може да бъде обявена от човека, който я е открил във фаза 2 или от някой друг, който независимо от първия я е открил по-късно. На този етап много хора научават за уязвимостта и риска нараства;
  • Фаза 4 – публикуване на инструмент за експлоатиране на уязвимостта. На този етап броят на хората, способни да я експлоатират расте експоненциално;
  • Фаза 5 – разработчика пуска софтуерно обновление (patch), който бива инсталиран на потребителските машини. С това действие риска значително намалява, но не до нулева стойност, тъй като винаги съществуват системи, които не са обновени с последните ъпдейти.

В някои случаи фазите могат да са продължителни, в други краткотрайни. Понякога фаза 5 е толкова бърза, че фази 3 и 4 дори не се случват. Не са малко и примерите, в които фаза 5 не съществува, поради нехайство от страна на разработчика, невъзможност за решаване на проблема или други фактори.
Целта на всеки професионалист по сигурност е да редуцира възможно най-много прозорецът на уязвимост.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *