Анализ защищенности веб-ресурсов на основе метрики CVSS

На основе анализа данных об уязвимостях веб-ресурсов и метрики CVSS (Common Vulnerability Scoring System) изучено распределение усредненной величины оценки по стандарту CVSS для расчета числового показателя уязвимости по десятибалльной шкале для сайтов Республики Беларусь. Проведена проверка гипотезы о распределении оценки уязвимостей CVSS по закону Пуассона методом критерия хи-квадрат. Установлено, что около 10 % веб-ресурсов из исходной генеральной выборки размером 19 000 имеют критическую усредненную оценку уязвимости. В рамках проведенного исследования создана универсальная система для сбора технической информации об активных веб-ресурсах в сети Интернет из общедоступных каталогов и реестров. Разработаны специальные шаблоны поиска с помощью RegExp-выражений языка программирования JavaScript для точного определения версий технологий, которые были использованы для создания веб-сайтов. На базе полученных данных установлены процентные соотношения используемых технологий, доменов верхнего уровня и географическое расположение серверов, которые обслуживают веб-ресурсы. Предлагаемая система может быть адаптирована под любые уникальные требования, необходимые специалистам по защите информации для проведения аудита безопасности веб-ресурсов.

1. Дойникова, Е. В., Чечулин, А. А., Котенко, И. В. Оценка защищенности компьютерных сетей на основе метрик CVSS // Информационно-управляющие системы, 76-87. DOI: 10.15217/issn1684-8853.2017.6.76

2. Li, Н., Zhao, L. Study on the distribution of CVSS environmental score // 5th International Conference on Electronics Information and Emergency Communication. May 2015. DOI: 10.1109/ICEIEC.2015.7284502

3. Bostic, T., Stanley J., Higgins, J., Chudnov, D., Montgomery, B., Brunell, J. Exploring the Intersections of Web Science and Accessibility // The MITRE Corporation Scientific journal. Aug 2019.

4. Likarish, P., Jung, E. A targeted web crawling for building malicious javascript collection // Proceeding of the ACM First International Workshop on Data-Intensive Software Management and Mining, Hong Kong, China, November 2009. DOI:10.1145/1651309.165131

5. Man, D., Yang, W., Yang, Y., Wang, W., Zhang, L., A Quantitative Evaluation Model for Network Security // Proc.of the 2007 Intern.Conf. on Computational Intelligence and Security. Dec 2007. P.773-777.