На протяжении года специалисты компании Recorded Future анализировали работу крупнейших национальных баз данных уязвимостей, включая американскую NVD (National Vulnerability Database) и китайскую CNNVD (China’s National Vulnerability Database). Теперь они уделили внимание и российской БДУ и пришли к выводу, что та серьезно отстает от «коллег по цеху».
Эксперты рассказывают, что американская NVD – это всеобъемлющая база багов в софте любого типа, куда попадает буквально все. NVD содержит более 108 000 записей. В свою очередь, в БДУ, похоже, попадают только аппаратные и софтверные проблемы, связанные с решениями, которые используют госорганы и компании, работающие с объектами критической инфраструктуры. БДУ насчитывает около 11 000 записей, то есть покрывает только 10% известных проблем (данные приводятся по состоянию на март 2018 года).
75% уязвимостей в индексе БДУ связаны с браузерами и ICS, тогда как проблемы популярных систем управления контентом (CMS) здесь практически полностью игнорируются. Кроме того, баги в продуктах Microsoft, Adobe и Linux освещаются гораздо лучше, чем баги в решениях IBM или Huawei.
Recorded Future сообщает, что БДУ индексирует уязвимости крайне медленно. В среднем, когда дело доходит до публикации информации о новых брешах, российская БД на 83 дня отстает от коллег из Китая (11 дней на добавление нового бага) и на 50 дней от американской NVD (45 дней на добавление нового бага). Для попадания в БДУ уязвимости в среднем нужно 95 дней.
Исследователи подчеркивают, что такая информация может являться критически важной для многих компаний, предприятий и правительственных учреждений, когда от публикации деталей проблемы напрямую зависит безопасность и уязвимость перед потенциальными атаками.
Также аналитики обнаружили, что зачастую БДУ индексирует проблемы некорректно: разные уязвимости, с разными идентификаторами CVE оказываются записаны под одним БДУ ID, или же один и тот же баг, с одинаковым CVE получает разные БДУ ID.
Исследователи считают, что столь печальное положение дел обусловлено тем, что за БДУ отвечает ФСТЭК России (Федеральная служба по техническому и экспортному контролю). «У ФСТЭК очень специфическая и четкая задача — защищать государство и системы критической инфраструктуры, а также помогать работе контрразведки», — пишут авторы доклада.
В сущности, из-за этого БДУ концентрируется на безопасности внутренних российских сетей. Кроме того, исследователи пишут, что 30 из 49 уязвимостей (61%), использованных ранее российскими кибершпионскими подразделениями, проиндексированы в БДУ. «Это число значительно выше средние для ФСТЭК 10%», — отмечают эксперты, намекая, что БДУ защищает внутренние системы страны, но не освещает уязвимости, которыми в настоящее пользуются ее собственные «правительственные хакеры».
Однако также специалисты Recorded Future признают, что печальное состояние БДУ может быть обусловлено и более приземленными причинами, к примеру, банальной нехваткой персонала. Так, по данным компании, в ФСТЭК работают 1111 человек, и далеко не всех их них занимаются БДУ, то есть кадров может быть недостаточно. В итоге в базу попадает ровно столько данных, сколько необходимо для поддержания статуса национальной базы данных уязвимостей.
