Журнал "Information Security/ Информационная безопасность" #2, 2019

Этапы предварительного анализа позволяют создать представление об объекте оценки и включают в себя методы анализа документа- ции и других доступных источников, а также развер- тывание исследовательско- го стенда. С этого года может быть сопоставлено несколько методов выявления уязви- мостей. При этом один метод может использовать- ся сразу в нескольких рабо- тах. Средства – это то, при помощи чего проводится исследование. Необходимо отметить, что в методике представлены лишь общие описания методов и средств. Применение того или иного метода или средства зависит как от функцио- нальных возможностей объ- екта, оценка которого исследуется, так и от техно- логий, которые заложены в само средство выявления. Методы выявления уязвимо- стей делятся на целевые и вспомогательные. К целе- вым методам относятся те, которые непосредственно позволяют выявить уязви- мость или недекларирован- ную возможность. Вспомога- тельные – улучшают эффек- тивность целевого метода или предоставляют ему некие исходные данные. чем принять решение, мы все- гда советуем связаться с нами и обсудить вашу проблему", – поясняет Дмитрий Шевцов. Методика выявления уязвимостей и НДВ Методика выявления уязви- мостей и недекларированных возможностей в программном обеспечении уже прошла обсуждения с участием разра- ботчиков ПО, а также экспер- тов, которые занимаются их выявлением. В настоящее время документ утвержден. Методика разрабатывалась как на основе существующих практик в области выявления уязвимостей и недекларирован- ных возможностей в программ- ном обеспечении, так и на осно- ве имеющихся нормативных документов, регулирующих дан- ную область. Документ предна- значен в первую очередь для испытательных лабораторий, которые занимаются сертифи- кацией, но будет полезен и раз- работчикам других программ- ных средств. Основу методики составляют требования к работам, которые необходимо проводить в ходе исследования по выявлению уязвимости. Этому посвящены 3, 4 и 5-й разделы. Кроме того, в документе представлены справочные приложения, где описаны методы и средства выявления уязвимостей, указа- на методика расчета потенциа- ла нападения, а также даны классификации как уязвимо- стей, так и НДВ. Документ содержит перечень исходных данных, которые тре- буются для выполнения той или иной работы, требования к ее содержанию, методы и сред- ства, используемые при выпол- нении работы. Каждая работа предполагает наличие усиле- ния, т.е. ряда качественных усо- вершенствований, которые могут быть выполнены в рамках той или иной задачи. Это сде- лано для ранжирования работы по уровню контроля, их в доку- менте предусмотрено шесть. Соответственно, при ранжи- ровании требований к работам учитывался потенциал наруши- теля. Рассматривались три потенциала: нарушители с низ- ким потенциалом, средним и высоким. Возможности нару- шителя с низким потенциалом сводились к возможности экс- плуатации известных уязвимо- стей и известных средств, кото- рые были опубликованы ранее. При этом под "высоким" нару- шителем понимался тот, кото- рый обладает группой высоко- квалифицированных экспертов, занимающихся выявлением уязвимостей и имеющих бога- тый опыт применения и исполь- зования средств выявления уязвимостей. Таким экспертам доступен исходный код. Это стало одной из причин, почему уже с 4-го уровня требуется обязательное наличие исход- ного кода. Важную роль в документе играют методы и средства выявления уязвимостей. С этого года может быть сопоставлено несколько методов выявления уязвимостей. При этом один метод может использоваться сразу в нескольких работах. Средства – это то, при помощи чего проводится исследование. Необходимо отметить, что в методике представлены лишь общие описания методов и средств. Применение того или иного метода или средства зависит как от функциональных воз- можностей объекта, оценка которого исследуется, так и от технологий, которые заложены в само средство выявления. Методы выявления уязвимостей делятся на целевые и вспомо- гательные. К целевым методам относятся те, которые непосред- ственно позволяют выявить уязвимость или недеклариро- ванную возможность. Вспомо- гательные – улучшают эффек- тивность целевого метода или предоставляют ему некие исходные данные. Каждый метод хорош в определенной области, но нет метода, который решает все задачи. Все типы средств, которые отмечаются в методике, пред- ставлены на рынке. Но необхо- димо учитывать, что для ряда технологий таких средств может не оказаться, например стати- ческих анализаторов для каких- либо языков программирова- ния. В методике есть рекомен- дации и для таких случаев. Работы, к которым предъ- являются требования в методи- ческом документе, сгруппиро- ваны по видам, а виды работ разбиты на этапы. Выявление уязвимостей и НДВ осуществ- ляется в ходе применения руч- ного, статического, динамиче- ского и экспертного анализов. При этом эффективность экс- пертного и ручного анализов оценивается квалификацией эксперта, который применяет и выполняет тот или иной вид работ. Статический и динами- ческий анализы основаны на применении средств автомати- зации. Для этих работ важно, насколько разработчик средств выявления уязвимости вложил- ся в технологию выявления уязвимостей и НДВ. Немаловажным является этап оформления документации, в которой специалист разраба- тывает частные методики с уче- том специфики объекта оценки и оформляет протокол иссле- дования. Первый этап этого процесса – подготовка к иссле- дованию. На этом этапе иссле- дователи проводят анализ кон- структорской, эксплуатацион- ной или другой документации, которую они получили от заяви- теля. На основе этих сведений или других источников иссле- дователь формирует представ- ление об объекте оценки: какие функции в объекте оценки существуют, модули, их назначение, какой порядок дей- ствий требуется для установки объекта оценки, в каких средах он функционирует. На основе этой информации исследовате- ли приступают к развертыванию исследовательского стенда, где настраивают все те среды, кото- рые заявлены в документации, и в которых может функциони- ровать объект оценки. В ходе установки объекта оценки исследователю нужно снимать все взаимодействия объекта оценки со средой функциони- рования. Это делается для того, чтобы в дальнейшем установить факт отсутствия возможности установки объекта оценки в состоянии, отличном от заявленного. В ходе развертывания иссле- довательского стенда прово- дится также антивирусный конт- роль сертифицированными антивирусными средствами с актуальными на момент иссле- дования базами данных. Таких средств должно быть несколько, и обязательно от различных разработчиков, чтобы резуль- таты анализа были объектив- ными. Первая группа работ, свя- занных непосредственно с самим исследованием объекта оценки, – это экспертный ана- лиз. Экспертный анализ включает анализ архитектуры объекта оценки, выявление потенциаль- ных уязвимостей объекта оцен- • 9 В ФОКУСЕ www.itsec.ru