Информационная безопасностьНовости

Эксперты Recorded Future признали российскую базу данных уязвимостей (БДУ) неполной и медленной

На протяжении года специалисты компании Recorded Future анализировали работу крупнейших национальных баз данных уязвимостей, включая американскую NVD (National Vulnerability Database) и китайскую CNNVD  (China’s National Vulnerability Database). Теперь они уделили внимание и российской БДУ и пришли к выводу, что та серьезно отстает от «коллег по цеху».

Эксперты рассказывают, что американская NVD – это всеобъемлющая база багов в софте любого типа, куда попадает буквально все. NVD содержит более 108 000 записей. В свою очередь, в БДУ, похоже, попадают только аппаратные и софтверные проблемы, связанные с решениями, которые используют госорганы и компании, работающие с объектами критической инфраструктуры. БДУ насчитывает лишь около 11 000 записей, то есть покрывает только 10% известных проблем (данные приводятся по состоянию на март 2018 года).

75% уязвимостей в индексе БДУ связаны с браузерами и ICS, тогда как проблемы популярных систем управления контентом (CMS) здесь практически полностью игнорируются. Кроме того, баги в продуктах Microsoft, Adobe и Linux освещаются гораздо лучше, чем баги в решениях IBM или Huawei.

Эксперты Recorded Future признали российскую базу данных уязвимостей (БДУ) неполной и медленной

Эксперты Recorded Future признали российскую базу данных уязвимостей (БДУ) неполной и медленной

Recorded Future сообщает, что БДУ индексирует уязвимости крайне медленно. В среднем, когда дело доходит до публикации информации о новых брешах, российская БД на 83 дня отстает от коллег из Китая (11 дней на добавление нового бага) и на 50 дней от американской NVD (45 дней на добавление нового бага). Для попадания в БДУ уязвимости в среднем нужно 95 дней.

Эксперты Recorded Future признали российскую базу данных уязвимостей (БДУ) неполной и медленной

Исследователи подчеркивают, что такая информация может являться критически важной для многих компаний, предприятий и правительственных учреждений, когда от публикации деталей напрямую зависит безопасность и уязвимость перед потенциальными атаками.

Также аналитики обнаружили, что зачастую БДУ индексирует проблемы некорректно: разные уязвимости, с разными идентификаторами CVE оказываются записаны под одним БДУ ID, или же один и тот же баг, с одинаковым CVE получает разные БДУ ID.

Исследователи считают, что столь печальное положение дел обусловлено тем, что за БДУ отвечает ФСТЭК России (Федеральная служба по техническому и экспортному контролю). «У ФСТЭК очень специфическая и четкая задача — защищать государство и системы критической инфраструктуры, а также помогать работе контрразведки», — пишут авторы доклада.

В сущности, из-за этого БДУ концентрируется на безопасности внутренних российских сетей. Кроме того, исследователи пишут, что 30 из 49 уязвимостей (61%), использованных российскими кибершпионскими подразделениями, проиндексированы в БДУ. «Это число значительно выше средние для ФСТЭК 10%», — отмечают эксперты, намекая, что БДУ защищает внутренние системы страны, но не освещает уязвимости, которыми пользуются ее собственные «правительственные хакеры».

Однако также специалисты Recorded Future признают, что печальное состояние БДУ может быть обусловлено и более приземленными причинами, к примеру, банальной нехваткой персонала. Так, по данным компании, в ФСТЭК работают 1111 человек, а этого может быть недостаточно. В итоге в базу попадает ровно столько данных, сколько необходимо для поддержания статуса национальной базы данных уязвимостей.