У сучасному інформаційному середовищі загрози безпеці комп’ютерних систем набули системного характеру, що потребує проактивного виявлення потенційних атак ще на етапі їх формування. Одним із найбільш ефективних підходів у цьому контексті є виявлення загроз на основі аналізу уразливостей, які формують базисну поверхню атаки у системі [1, c. 107]. Аналіз вразливих компонентів дозволяє моделювати поведінку зловмисника, передбачати маршрути ескалації привілеїв і оцінювати ризики компрометації ключових активів.
Застосування баз знань CVE (Common Vulnerabilities and Exposures) і CWE (Common Weakness Enumeration) дає змогу зіставити ідентифіковані вразливості з типовими шаблонами атак. У поєднанні з фреймворком MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), який надає структуровану модель тактик і технік зловмисників, це створює основу для побудови профілю загроз, релевантного конкретному середовищу [2, c. 535]. Для реалізації практичного аналізу уразливостей широко застосовуються як статичні, так і динамічні методи: перші орієнтовані на оцінку конфігураційних помилок і слабких місць у програмному коді, другі на виявлення уразливостей під час функціонування системи.
Застосовуючи цю модель, можливо здійснити трасування ланцюга атаки, співвідносячи виявлені вразливості з типовими тактиками та техніками з ATT&CK. Наприклад, вразливість типу «Remote Code Execution» (CVE) може бути зіставлена з технікою T1059 («Command and Scripting Interpreter»), що входить до тактики виконання коду (Execution) [1, c. 110]. Це дозволяє не лише констатувати факт наявності слабкого місця, а й оцінити реальний сценарій його експлуатації в контексті дій зловмисника.
Крім того, ATT&CK сприяє створенню обґрунтованих правил кореляції для SIEM-систем, оскільки кожна техніка має унікальний ідентифікатор, опис можливих індикаторів компрометації, а також зв’язки з інструментами, які зазвичай використовують атакуючі сторони [1, c. 113]. Це відкриває можливість автоматизованої генерації сценаріїв реагування, що базуються на реальних шаблонах атак, зафіксованих у диких умовах (real-world incidents).
Узгодження виявлених уразливостей із моделлю ATT&CK також дозволяє формувати пріоритезовану матрицю ризиків, в якій кожна техніка отримує вагу відповідно до наявних захисних механізмів, критичності активів і ймовірності досягнення цілей атакуючого. У результаті створюється динамічна карта загроз, що інтегрується в систему управління інформаційною безпекою підприємства та дозволяє ухвалювати рішення на основі повної ситуаційної обізнаності (cyber situational awareness).
Зокрема, сканування інфраструктури з використанням систем типу Nessus, OpenVAS або Qualys дозволяє виявити широкий спектр уразливостей, оцінити їх критичність за шкалою CVSS і побудувати відповідні маршрути потенційного проникнення. Побудова графів атак на основі отриманих даних дає змогу формалізувати залежності між компонентами, визначити точки входу та вузли, через які найімовірніше відбудеться ескалація. Критичні елементи ідентифікуються за показниками центральності у графі, й саме вони потребують першочергового захисту.
Для оцінки ризику експлуатації вразливості застосовується формалізована модель, яка враховує не лише CVSS-бал, а й вагу активу в контексті бізнес-процесів та ймовірність використання вразливості на практиці. Це дозволяє ранжувати загрози та формувати пріоритети в системі захисту [1, c. 120]. Додаткове підсилення досягається за рахунок використання сценаріїв з бази MITRE ATT&CK, де кожна виявлена вразливість проектується у відповідні тактики зловмисника, формуючи повний ланцюг можливих дій.
Загалом, MITRE ATT&CK виступає не лише як довідковий фреймворк, а як фундаментальна основа для інтелектуального аналізу загроз, що забезпечує переведення виявлених уразливостей у конкретні моделі поведінки зловмисника.
Таким чином, методи виявлення загроз, що ґрунтуються на системному аналізі уразливостей, демонструють значну результативність у контексті захисту комп’ютерних систем. Їх інтеграція в структуру інформаційної безпеки дозволяє своєчасно реагувати на зміну ландшафту загроз, забезпечуючи адаптивну стійкість до складних і цілеспрямованих атак [2, c. 546]. Перспективним напрямом розвитку є поєднання аналізу уразливостей із поведінковою аналітикою в рамках архітектур Zero Trust, SIEM і SOAR-систем.
Список літератури:
1. Gain A., Barik M.S. Attack Graph Based Security Metrics for Dynamic Networks // In: Muthukkumarasamy V., Sudarsan S.D., Shyamasundar R.K. (eds) Information Systems Security. ICISS 2023. Lecture Notes in Computer Science. Vol. 14424. Cham: Springer, 2023. P. 106–124. DOI: https://doi.org/10.1007/978-3-031-49099-6_7.
2. Складанний П., Костюк Ю., Рзаєва С., Самойленко Ю., Савченко Т. Розробка модульних нейронних мереж для виявлення різних класів мережевих атак // Кібербезпека: освіта, наука, техніка. 2025. № 3(27). С. 534–548. DOI: https://doi.org/10.28925/2663-4023.2025.27.772.
|
Голосування 
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter