Как известно, использование злоумышленником уязвимости информационной системы может привести к реализации угрозы безопасности систем и сетей любой государственной или частной компании. При этом неважно, целенаправленно используется уязвимость или это происходит случайно. В качестве нарушителя может выступать внешний пользователь или пользователь корпоративной сети предприятия, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.
Наличие уязвимостей в программных ресурсах информационных систем обуславливает возможность реализация компьютерных атак и вирусных эпидемий, а также причину разного рода непреднамеренных отказов и потери ресурсов.
С учетом постоянного роста количества и векторов кибератак, в том числе и на объекты критической информационной инфраструктуры, взломов, утечек корпоративной и пользовательской информации, громадное значение приобретает формирование в будущих специалистах по информационной безопасности страны практических компетенций по поиску, анализу и тестированию уязвимостей в компьютерных системах и сетях.
С апреля 2022 года в МТУСИ сформирована Рабочая группа по тестированию уязвимостей программного обеспечения, в которую входят студенты и преподаватели кафедр информационной безопасности.
Целями, поставленными перед Рабочей группой, являются развитие и расширение профессиональных компетенций студентов в области информационной безопасности, создание учебно-методического материала для использования преподавателями университета в учебном процессе, формирование внутренней базы данных с детальной информацией по уязвимостям для работы департамента информационных технологий университета.
К настоящему времени протестировано около 30 уязвимостей утилит ядра операционных систем, программного обеспечения и приложений.
Для тестирования использовались уязвимости из реестра уязвимостей компании MITRE Common Vulnerabilities and Exposures (CVE, http://cve.mitre.org), который де-факто является на сегодняшний день основным стандартом в области унифицированного именования и регистрации обнаруженных уязвимостей программного обеспечения и широко поддерживается со стороны ведущих производителей программного обеспечения и исследовательских организаций в области информационной безопасности.
Выбор конкретной уязвимости осуществляется по степени критичности, простоте обнаружения злоумышленником уязвимого ПО, показательности использования полученных результатов в учебном процессе, легкости эксплуатации уязвимости и требуемых для этого привилегий, а также масштабом последствий эксплуатации уязвимости для компьютерных систем и сетей.
Результаты тестирования заносятся в базу данных. По каждой уязвимости информация содержит ее идентификатор и статус, краткое описание, технические детали, эксплойты, патчи, рекомендации по устранению уязвимостей и возможность определения потенциальных векторов атак на защищаемые компьютерные системы, а также учебно-методический материал, готовый к использованию преподавателями в рамках читаемых дисциплин образовательных программ и факультативов.
