Уязвимость в информационной безопасности

Для начала разберемся в терминологии. Уязвимости — это ошибки в программном обеспечении, случайные или намеренные. Злоумышленник может воспользоваться ими для получения несанкционированного доступа, изменения настроек, кражи данных и нанесения вреда системе. 

Уязвимости в информационной безопасности возникают из-за множества причин. Самые серьезные из них — пренебрежение тестированием кода на безопасность и отсутствие код-ревью, которое позволяет выявить недоработки и вовремя их устранить. Помимо прочего, уязвимости иногда закладывают намеренно, например, разработчиками-инсайдерами, которые планируют использовать их в личных целях.

Чем отличается уязвимость от угрозы 

Угрозы информационной безопасности (ИБ) — это возможность нанести вред системе. Их реализуют через использование уязвимости. Чаще всего выделяют два вида угроз: внутренние и внешние.

• Внутренние — например, человеческий фактор или намеренное модифицирование системы для ее компрометации;
• Внешние — фишинг, DDoS-атаки и другие угрозы, инициируемые из внешней среды.

Главное отличие между угрозой и уязвимостью в том, что угроза — это потенциальная опасность для системы, а уязвимость — возможность, через которую опасность может быть реализована. Например, неправильно настроенный межсетевой экран — это уязвимость. Он создает риск реализации угрозы — внешней атаки.

Чем отличается уязвимость от эксплойта

Эксплойт — это программный код, инструмент или метод воздействия, с помощью которого атакующие используют уязвимость в системе. При этом задачи злоумышленников — получить несанкционированный доступ в систему, выполнить произвольный код, повредить данные, нарушить работу системы или повысить привилегии.

Важно различать эксплойт и уязвимость. Например, Heartbleed — это уязвимость в безопасности программной библиотеки OpenSSL. А эксплойт — это специально сформированные запросы типа Heartbeat, который позволяет получить данные из памяти сервера.

Виды уязвимостей

Уязвимости классифицируют по типам воздействия и методам эксплуатации. Некоторые из них особенно опасны из-за масштабов потенциального ущерба. Ниже — ключевые типы уязвимостей, с которыми сталкиваются современные системы.

Уязвимость удаленного выполнения кода

Уязвимость удаленного выполнения кода (Remote code execution) позволяет злоумышленнику выполнять произвольный код на удаленной системе через сеть. Это одна из самых опасных уязвимостей: она может привести к полному захвату системы.

Злоумышленники часто используют RCE через уязвимости в сетевых протоколах, веб-приложениях или сторонних библиотеках — например, уязвимость Log4Shell в библиотеке Log4j.

Меры защиты от RCE:

• проверка и фильтрация данных, поступающих от внешних источников;
• регулярное обновление библиотек и фреймворков; 
• мониторинг трафика силами IDPS-систем и блокировка подозрительной активности.

SQL-инъекция

SQL-инъекция — уязвимость, при которой хакер внедряет SQL-код в поля ввода формы, URL или заголовки запроса, чтобы выполнять несанкционированные команды в базе данных и манипулировать ею.

• Командная инъекция — добавление новых произвольных SQL-команд. Самый популярный пример — DROP TABLE.
• Булева инъекция — проверка условий типа OR 1=1, она позволяет понять, как реагирует сервер.
• Тайм-бейс инъекция — замер времени выполнения запроса для извлечения данных.
• UNION-инъекция — объединение запросов через UNION SELECT и извлечение данных из других таблиц.
• Ошибка-инъекция — намеренный вызов ошибок, чтобы получить сообщения с данными о структуре БД.

Классический пример SQL-запроса — 'OR '1'='1. Он ломает условие WHERE и позволяет войти как любой пользователь.

Меры защиты от SQL-инъекций:

• использование параметризованных запросов (плейсхолдеров ? или :name);
• экранирование специальных символов (', ;, «);
• минимальные права доступа к базе данных.

Уязвимость несанкционированного доступа

Уязвимость несанкционированного доступа — это возможность получить доступ к ресурсам без разрешения владельца. Она часто возникает из-за ошибок в механизмах аутентификации, авторизации или управления сессиями.

При использовании слабых паролей, отсутствии двухфакторной аутентификации, перехвате токенов сессий или нарушении принципа минимальных привилегий значительно возрастает риск несанкционированного доступа к учетным записям через эксплуатацию уязвимостей.

Меры защиты от уязвимости несанкционированного доступа:

• обязательное внедрение 2FA (двухфакторной аутентификации);
• создание матрицы доступа и разграничение ролей;
• шифрование сессионных токенов и контроль времени жизни сессий;
• принцип наименьших привилегий.

Уязвимость переполнения буфера

Переполнение буфера возникает, когда программа записывает больше данных, чем выделено в памяти, что приводит к перезаписи соседних областей. Это может вызвать сбой программы или позволить выполнить вредоносный код.

Рассмотрим ключевые виды переполнений.

• Стековое переполнение — буфер в стеке переполняется, адрес возврата перезаписывается.
• Переполнение формата строк — использование printf() без форматирования позволяет перезаписывать и читать память.
• Целочисленное переполнение — переход значения переменной за пределы допустимого диапазона. Злоумышленники используют его для обхода проверок и переполнения буфера.
• Кучное переполнение — данные записываются за пределами памяти программы, что вызывает переполнение динамической памяти.

Меры защиты на уровне кода:

• использование безопасных функций, таких как strncpy, snprintf и других. Например, strncpy копирует строку с ограничением на количество символов, предотвращая переполнение буфера;
• автоматическое управление памятью (Python, Java).

Меры защиты на уровне ОС:

• ASLR (Address Space Layout Randomization) — рандомизация адресов памяти, чтобы усложнить предсказание;
• DEP (Data Execution Prevention) — запрет выполнения кода в области данных;
• Stack Canaries — контроль целостности стека с помощью «канареек» — специальных маркеров, проверяемых перед возвратом из функции.

Уязвимость «испорченного ввода» 

Уязвимость некорректной обработки входных данных возникает, когда приложение не проверяет или не фильтрует пользовательский ввод. Это может привести к сбоям, утечкам данных или выполнению произвольного кода.

Рассмотрим наиболее популярные типы атак.

Меры защиты:

• валидировать входные данные: тип, длину, диапазон, формат;
• кодировать специальные символы, такие как <, >, ;, &. Например, в URL пробел кодируется как %20, а в языке C обратный слэш экранируется как \\;
• ограничивать типы и размеры загружаемых файлов.

Уязвимость из-за ошибок синхронизации

Ошибка синхронизации возникает, когда несколько потоков или процессов одновременно обращаются к одному и тому же ресурсу без должной координации. Это приводит к непредсказуемому поведению системы.

Рассмотрим типовые случаи.

• Проверка файла происходит до его использования, что позволяет заменить его.
• Конкуренция за доступ к общим ресурсам — несколько процессов одновременно модифицируют переменную, файл, очередь и т. д.
• Взаимная блокировка потоков из-за неправильного порядка захвата блокировок.

Меры защиты:

• использование синхронизирующих примитивов — например, mutex и semaphore;
• исключение общих точек записи — работа через очереди или передачу данных по каналам;
• минимизация времени удержания блокировок;
• использование иммутабельных структур данных.

Типы уязвимостей

Уязвимости в информационных системах можно классифицировать по этапам их возникновения: проектирование, реализация, конфигурация. Каждому типу соответствуют свои подходы к предотвращению и обнаружению.

Уязвимости при проектировании

Уязвимости при проектировании возникают на этапе разработки архитектуры или концепции системы. Их сложно исправить без переписывания логики работы системы. Рассмотрим примеры таких уязвимостей.

• Слабые протоколы аутентификации — отсутствие двухфакторной аутентификации, использование простых паролей, устаревших или нестойких алгоритмов.
• Неправильная модель управления доступом — назначение избыточных привилегий пользователям, отсутствие разграничения прав.
• Утечка данных через логи или API — архитектура не предусматривает фильтрацию чувствительной информации.
• Отсутствие шифрования — передача данных в открытом виде без TLS.

Меры защиты: 

• моделирование угроз (Threat Modeling) — выявление рисков на этапе проектирования с помощью методологий вроде STRIDE или DREAD;
• проверка архитектуры — аудит схем системы с участием специалистов по информационной безопасности;
• альфа-тестирование — проверка концепции безопасности на этапе прототипирования.

Уязвимости реализации

Уязвимости реализации возникают на этапе написания кода или при интеграции компонентов. Часто они связаны с программными дефектами (багами), неправильным использованием библиотек или пренебрежением принципами безопасного программирования.

Типичные примеры:

• SQL-инъекции — неправильная обработка входных данных в SQL-запросах;
• переполнение буфера — использование небезопасных функций вроде gets(), strcpy() в C;
• командные инъекции — выполнение shell-команд через поля ввода без фильтрации;
• нарушение синхронизации — «гонка» за ресурсы в многопоточных приложениях.

Методы защиты от уязвимости:

• код-ревью и безопасное программирование, соблюдение стандартов вроде CERT Secure Coding или OWASP ASVS;
• автоматизированный анализ кода (SAST/DAST) — использование инструментов — например, Burp Suite, OWASP ZAP;
• тестирование на проникновение (Pentest) — ручная или автоматизированная эмуляция атак для выявления уязвимостей в коде.

Ошибки конфигурации аппаратной части и уязвимости

Ошибки конфигурации — один из самых распространенных классов уязвимостей, он возникает как на уровне оборудования, так и на уровне ОС, сервисов и сетевых устройств. Часто такие ошибки появляются при ручной настройке или при неправильной автоматической конфигурации. Рассмотрим на примерах.

• Неправильные настройки серверов — открытые порты, дефолтные пароли, по умолчанию включенный режим администратора.
• Некорректные политики безопасности — слабые правила файрволов или отсутствие ограничений на входящий трафик, открытые порты.
• Несовместимость версий программного обеспечения — использование уязвимых версий библиотек или ОС.

Как не допустить возникновение ошибок:

• автоматизировать конфигурации — использовать Ansible, Puppet и прочее ПО для унификации настроек с обязательной перепроверкой конфигураций человеком;
• Hardening (харденинг) — отключать ненужные сервисы и закрывать не используемые порты, изменять дефолтные учетные записи;
• регулярные аудиты — проверять конфигурации с помощью инструментов вроде CIS Benchmarks или Lynis.

Уязвимости из-за человеческого фактора

Помимо прочего, важно помнить об уязвимостях, связанных с человеческим фактором. Ошибки людей — как пользователей, так и администраторов — все чаще становятся причиной инцидентов. Социальная инженерия и фишинг особенно опасны, так как могут обойти любые технологии и меры защиты.

Социальная инженерия

К социальной инженерии относятся манипуляции, направленные на получение информации от человека — например, просьба назвать пароль, выдать доступ или «помочь коллеге». Если с вами вступает в диалог незнакомый контакт и вы замечаете подозрительные просьбы о предоставлении данных, лучшая тактика — заблокировать потенциального злоумышленника и не пытаться выяснить, что ему нужно.

Ошибки в работе с ОС и ПО

Скачивание подозрительных программ, запуск неизвестных файлов, использование слабых паролей, подключение к незащищенным Wi-Fi — все это делает систему уязвимой. Для предотвращения таких случаев компании всегда повышают компетенции сотрудников инструкциями и обучениями, защищают конечные устройства антивирусами, а также дают пользователю минимально необходимые привилегии.

Классификация уязвимостей OWASP

Open Web Application Security Project (OWASP) — это международная некоммерческая организация, которая занимается повышением безопасности веб-приложений. Все материалы OWASP общедоступны, так что каждый может повысить защищенность своих решений и поддерживать осведомленность в вопросах информационной безопасности.

Основной продукт OWASP — список десяти наиболее распространенных и опасных уязвимостей в веб-приложениях. Актуальная версия была опубликована в 2021 году, однако в 2025 может выйти обновление. За ходом подготовки нового релиза можно следить на официальном сайте.

Кратко рассмотрим текущий OWASP Toп-10 2021 года.

№	Уязвимость	Краткое описание	Меры защиты
A01	Broken Access Control	Нарушение контроля доступа — пользователь получает доступ к чужим данным или функциям	Проверка прав на сервере, контроль доступа по ролям, логирование несанкционированных попыток
A02	Cryptographic Failures	Слабое или отсутствующее шифрование данных	Использование TLS 1.3, хеширование паролей с «солью» — добавлением к входным данным случайных символов
A03	Injection	Внедрение вредоносного кода (SQL, XSS и др.) через поля ввода	Параметризованные запросы, санитизация и экранирование ввода
A04	Insecure Design	Архитектурные ошибки (отсутствие проверки прав, доверие к клиенту и т. д.)	Threat Modeling, тестирование концепции безопасности на ранних этапах
A05	Security Misconfiguration	Ошибки конфигурации серверов, API, платформ	Hardening, автоматизация конфигураций, отключение ненужных сервисов
A06	Vulnerable and Outdated Components	Использование устаревших библиотек или ПО с известными уязвимостями	Аудит зависимостей, политики управления версиями, отслеживание CVE
A07	Identification and Authentication Failures	Слабые механизмы аутентификации, уязвимости в логине	Двухфакторная аутентификация, ограничение попыток входа, сильные пароли
A08	Software and Data Integrity Failures	Использование непроверенных модулей и зависимостей, отсутствие контроля целостности	Подпись обновлений, изолированное тестирование, проверка целостности
A09	Security Logging and Monitoring Failures	Отсутствие мониторинга и логов, из-за чего атаки могут остаться незамеченными	Централизованное логирование, алерты, аудит действий пользователей
A10	Server-Side Request Forgery (SSRF)	Принудительные запросы с сервера на внутренние ресурсы (например, через URL в поле формы)	Ограничение внутренних IP-адресов, фильтрация URL, контроль DNS-запросов

OWASP как инструмент обучения

OWASP используют:

• в курсах по безопасной разработке,
• в стандартах безопасной архитектуры,
• при составлении чек-листов для тестирования,
• как источник требований для веб-приложений (иногда требования из OWASP Top 10 включают в ТЗ).

Это делает OWASP не просто справочником, а одной из самых полезных и важных организаций в сфере защиты веб-приложений.

Идентификаторы уязвимостей CVE

Common Vulnerabilities and Exposures (CVE) — это стандарт идентификаторов для уязвимостей, управляемый организацией MITRE. Каждой уязвимости присваевают уникальный идентификатор с годом обнаружения и порядковым номером — например, CVE-2025-24071 — Windows File Explorer Spoofing Vulnerability.

Когда уязвимость обнаруживает вендор или разработчик, ей присваивают уникальный номер через CVE Numbering Authorities, после чего информацию об уязвимости публикуют в CVE List.

Как оценивают серьезность уязвимостей: CVSS

База данных уязвимостей CVE не была бы такой эффективной без CVSS (Common Vulnerability Scoring System) — системы оценки серьезности уязвимостей. Она предполагает расчет и оценку с помощью формул критичности конкретной уязвимости по десятибалльной шкале.

CVSS состоит из трех групп метрик, рассмотрим каждую подробнее.

Базовая оценка статически оценивает характеристики самой уязвимости. Состоит из двух метрик:

• Impact Score (ущерб): конфиденциальность (C), целостность (I), доступность (A).
• Exploitability Score (эксплуатируемость): вектор атаки (AV), сложность (AC), привилегии (PR), взаимодействие пользователя (UI).

Базовую оценку подсчитывают по следующим формулам:

    ImpactScore = (1 - (1 - C) * (1 - I) * (1 - A)) * Impact
Impact = 1.0 if Scope=Unchanged else 0.918 
ExploitabilityScore = 8.22 * AV * AC * PR * UI (коэффициенты подбирают для соответствия итоговым баллам шкалы критичности)
Base Score = RoundUpTo1Decimal((ImpactScore + ExploitabilityScore) * Scope)

Временная оценка учитывает актуальность уязвимости, наличие действующего эксплойта или патча, который ее закрывает. Рассмотрим, от каких метрик зависит оценка.

Метрика	Что означает
Exploit Code Maturity (E)	Насколько эксплойт готов к применению
Remediation Level (RL)	Наличие патча или workaround’а
Report Confidence (RC)	Уверенность в точности описания уязвимости

Подсчитывают по формуле:

    Temporal Score = Base Score × E × RL × RC

Экологическая оценка позволяет адаптировать риск под конкретную организацию. Зависит от следующих метрик: 

Метрика	Описание
Modified Impact Metrics (C/I/A)	Корректировка важности C/I/A
Collateral Damage Potential	Потенциальный масштаб ущерба
Target Distribution	Доля затронутых систем в инфраструктуре

Подсчитывают по формуле:

    Environmental Score = (Adjusted Impact + Adjusted Exploitability) × Adjusting Factor

Диапазоны CVSS и приоритет устранения

Итоговый балл уязвимости рассчитывают как комбинацию метрик CVSS. Он выражается числом от 0 до 10 с шагом 0,1. Чем выше значение, тем выше риск, и тем оперативнее необходимо устранить уязвимость.

В данный момент используют версии CVSS 2.0 и 3.0. Основное отличие новой версии — учет современных векторов атак и улучшенная точность оценки. 

После подсчета необходимо определить уровень критичности и расставить приоритеты на исправление. Разберемся в каждом.

Критический уровень (Critical: 9.0–10.0). Требует устранения в течение 24–48 часов. Уязвимости этого уровня позволяют в том числе получить полный контроль над системой, создавать массовые атаки без взаимодействия с пользователем, а также инициировать утечку конфиденциальных данных.

Высокий уровень (High: 7.0–8.9). Требует срочного, но не мгновенного исправления. Рекомендуемый срок устранения — до 7 дней. Такие уязвимости могут привести к серьезным последствиям, но обычно требуют специфических условий: например, взаимодействия с пользователем или наличия доступа к определенным компонентам.

Уязвимости со средним риском Medium (4.0–6.9). Не требуют срочной реакции. Рекомендованные сроки устранения — до 30 дней. Эксплуатация таких уязвимостей, как правило, сложна и требует точных условий. 

Уязвимости с минимальным риском Low (0.1–3.9). Не обладают установленным сроком устранения. Для успешной эксплуатации таких уязвимостей обычно требуется локальный доступ или нестандартные сценарии. Воздействие на систему — ограниченное, а успешная атака маловероятна. Тем не менее такие уязвимости следует устранять по мере доступности ресурсов.

Идентификаторы уязвимостей по БДУ ФСТЭК

База данных угроз безопасности информации (БДУ) от ФСТЭК России — российский аналог международной базы CVE. Она содержит сведения об уязвимостях в программном обеспечении и оборудовании, включая следующую информацию:

• год обнаружения и порядковый номер уязвимости,
• уровень опасности по CVSS 2.0 и 3.0,
• рекомендации по устранению уязвимости.

Помимо прочего, так как это российская база данных, акцент в ней приходится на отечественные системы и ПО, а также интеграцию с ГОСТ и соответствие требованиям регуляторов РФ в сфере безопасности.

Уязвимости N-day и Zero-day

Хотя БДУ и другие официальные базы фиксируют уже известные уязвимости, в практике кибербезопасности ключевую роль играют и те, которые еще не раскрыли публично. Речь о так называемых уязвимостях нулевого дня (Zero-day).

Уязвимость нулевого дня (Zero-day vulnerabilities) — это недостаток в системе или программном обеспечении, который неизвестен разработчику или еще не исправлен патчами. Хакеры могут использовать такую уязвимость сразу после ее обнаружения — до того момента, как о проблеме узнают и начнут реагировать.

Для Zero-day уязвимостей нет патчей — разработчик не подозревает о проблеме. Лучшие цели для таких атак — крупные компании или критическая инфраструктура, которая эксплуатирует ПО или конкретный компонент системы с подобной уязвимостью.

Такие атаки довольно успешны для злоумышленников и могут использоваться до тех пор, пока программисты или вендоры не заметят уязвимость и не выпустят патч. Например, уязвимостью нулевого дня можно считать CVE-2025-24200, которая представляет собой проблему авторизации для устройств Apple. Она позволяет отключить USB Restricted Mode на заблокированном устройстве с целью атаки на конкретных пользователей.

N-day уязвимость — это уже известная уязвимость, которой присвоен CVE-идентификатор и для которой выпущено обновление безопасности. Однако она остается опасной, так как не все компании успевают или могут обновить свои системы.

Эксплойты для N-day уязвимостей часто доступны в открытом доступе. Вектор атаки известен, а защита зависит от дисциплины обновления ПО. При этом особенно уязвимы системы с устаревшими компонентами или сложным циклом тестирования обновлений.

Vulnerability Management — процесс управления уязвимостями

Управление уязвимостями (Vulnerability Management) — непрерывный процесс выявления, анализа, приоритизации и устранения уязвимостей в инфраструктуре компании. Его цель — снизить риски эксплуатации уязвимостей до приемлемого уровня.

1. Выявление уязвимостей

Для поиска слабых мест в системе применяют различные методы. Рассмотрим ключевые.

• Сканирование уязвимостей: автоматизированные инструменты (например, Nessus, OpenVAS, Qualys) проверяют инфраструктуру на известные уязвимости — по сигнатурам, шаблонам конфигураций, открытым портам и т. д.
• Пентесты: имитации реальных атак, проводимые вручную или полуавтоматически, чтобы выявить скрытые или нестандартные уязвимости.
• Анализ логов SIEM-систем: позволяет выявить подозрительные действия, аномалии и попытки эксплуатации уязвимостей в реальном времени.
• Мониторинг баз данных уязвимостей: регулярное отслеживание CVE, БДУ ФСТЭК России и других источников информации о новых угрозах.

2. Реагирование и устранение

После обнаружения уязвимостей организация должна оперативно отреагировать. Рассмотрим меры, которые можно использовать для этого.

• Патч-менеджмент — системы автоматического или контролируемого обновления ПО, которые позволяют быстро закрывать уязвимости после выхода патчей.
• Конфигурирование систем безопасности — отключение ненужных служб, блокировка открытых портов, настройка межсетевых экранов и контроль доступа.
• Обучение сотрудников — регулярные тренинги и фишинг-симуляции помогают минимизировать риск социальной инженерии, особенно в случае атак на конечных пользователей.

3. Защита от Zero-day уязвимостей

Так как Zero-day уязвимости невозможно устранить заранее, нужно применять проактивные меры защиты.

• EDR-системы (Endpoint Detection and Response) — отслеживают поведение процессов и выявляют аномалии, указывающие на возможную атаку.
• Sandbox-среды — изолированные виртуальные машины, в которых анализируются подозрительные файлы и сценарии до их запуска в рабочей системе.
• Сегментация сети — разделение инфраструктуры на логически обособленные зоны, чтобы ограничить распространение атаки в случае компрометации одного узла.

Как повысить безопасность сервисов с Selectel

Управление уязвимостями требует не только внутренней дисциплины, но и доступа к современным инструментам анализа. Мы в Selectel предлагаем комплексную техническую поддержку в этой области:

• Анализ уязвимостей — помогает выявить уязвимости на публично доступных сервисах по белым IP-адресам. Результаты проверки содержат информацию об уровне критичности найденных уязвимостей и рекомендации по их устранению.
• Базовая защита от DDoS-атак — доступна бесплатно на уровне всей инфраструктуры, снижает риск перегрузки и отказа в обслуживании.
• Облачный файрвол — бесплатный файрвол, который позволяет настроить сетевую безопасность для приватных подсетей и публичных IP-адресов в облачной платформе.

Даже если вы только планируете миграцию, эти инструменты можно использовать на этапе подготовки и развертывания, чтобы система стартовала с минимальным числом потенциальных уязвимостей. При этом важно учитывать, что сканирование доступно только для белых IP-адресов в инфраструктуре Selectel, которые закреплены за вашим проектом.

Заключение

Современные системы все чаще сталкиваются с внушительным количеством угроз — от компрометации данных до атак на доступность и стабильность работы. Уязвимости становятся все сложнее, а эксплойты нулевого дня способны обойти даже самую выстроенную оборону, так как их эксплуатация начинается до выпуска патчей.

Эффективное управление уязвимостями — ключевой фактор для минимизации рисков. Оно включает:

• Регулярное сканирование и анализ логов;
• Установку критических обновлений;
• Обучение сотрудников и моделирование атак;
• Внедрение EDR-систем, изолированных сред анализа (sandbox), сегментации сети;
• Использование надежных паролей и двухфакторной аутентификации.

В кибербезопасности нельзя рассчитывать на универсальную систему защиты информации. Только осведомленность, адаптивность и быстрое реагирование позволяют строить действительно устойчивые системы.