Журнал "Information Security/ Информационная безопасность" #2, 2019

ФСТЭК России внедрил новые классификационные признаки, чтобы упростить поиск и выбор угроз. Клас- сификация представляет из себя некий классификацион- ный портал, состоящий из четырех основных компо- нентов: классификации угроз по инцидентам, спосо- бам реализации, типам нарушителей и объектам воздействия. На сегодняш- ний день все 213 угроз, которые содержатся в банке данных, классифицированы по этим признакам. Класси- фикация является серьез- ным методическим инстру- ментом при моделировании и общей оценке угроз, акту- альных для информацион- ных систем. ки и тестирование на проник- новение. Данный вид работы направлен на выявление архи- тектурных уязвимостей, кото- рые вызваны неправильным выбором или взаимодействием компонентов и блоков, из кото- рых состоит объект, а не тем, как именно реализован и напи- сан код того или иного блока. Важная задача на этом этапе – выявление известных уязвимо- стей в данном продукте и свя- занных с известными уязвимо- стями заимствованных компо- нентов, которые используются в объекте исследования, объекте оценки. "Есть предположение, что необходимо ограничить область поиска уязвимостей по суще- ствующим базам данных, но мое мнение другое, – отметил начальник лаборатории ФАУ "ГНИИИ ПТЗИ ФСТЭК России" Алексей Сердечный. – Наобо- рот, нельзя ни в коем случае ограничивать и сужать область как источников, так и элемен- тов внутри одного источника в области поиска известных уязвимостей. Приведу харак- терный пример. Совсем недавно была выявлена уязвимость в СУБД SQLight. Это встраиваемая СУБД, которая поставляется в виде исходного кода и исполь- зуется многими разработчиками средств, где нужна обработка данных. Не полноценная СУБД, а объект с неким ограниченным функционалом средств. Данная СУБД предоставлялась и встраивалась в виде исходного кода в ряд других продуктов. При этом зачастую невозможно определить, использует ли тот или иной продукт эту СУБД или не использует. Осенью прошлого года раз- работчики устранили уязви- мость, которая позволяет выполнить произвольный код на машине. Это один из самых опасных типов последствий, к которым может привести уязви- мость. Исследователи быстро сообщили разработчикам SQLight об этой уязвимости. Разработчики в течение трех дней устранили ее и на своем информационном ресурсе опуб- ликовали этот патч, код, в каком месте была исправлена ошибка, и перенесенный тест, по кото- рому специалистам можно было достаточно быстро сформиро- вать тот код, который приводит к эксплуатации уязвимости. Но при этом сама уязвимость не была подана как уязвимость и, соответственно, ей не был при- своен никакой идентификатор, и она не была занесена ни в какие базы данных. Тот разра- ботчик, в частности браузер Google Chrome, который исполь- зовал этот компонент, узнал об этой уязвимости только через 40 дней – уже после общедо- ступной публикации данной информации. Если не рассматривать подоб- ные источники и не оценивать уязвимости заимствованных компонентов, как динамических, так и тех, которые интегриро- ваны в исходный код, то можно допустить большую брешь в системе". Статический анализ Следующая группа работ – это статический анализ, при котором основным объектом является исходный код про- граммы. Статический анализ ранжирован по нескольким видам. Наиболее простой – это син- таксический анализ, при кото- ром анализируется лишь абстрактное синтаксическое дерево. Данный вид анализа не позволяет выявить много уязвимостей, требующих более сложных процедур. Вероятность наличия уязвимостей, выявлен- ных в его ходе, нужно подтвер- ждать, т.к. происходит много ложных срабатываний при обна- ружении уязвимостей. Поэтому более сложное с точки зрения анализа является контекстно- чувствительное, чувствительное и включаемое выполнение ана- лиза, который дает более каче- ственный результат. Самый сильный среди всех статических анализов – это формальная верификация, но для его выполнения требуется много ресурсов, поэтому он применяется ограниченно для высоких уровней защиты и контроля. Динамический анализ связан с изучением объекта оценки в ходе его функционирования. В первую очередь это фаззинг- тестирование, при котором на вход в программы подается большое количество данных и фиксируются нарушения штат- ного функционирования объ- екта оценки. В частности, это могут быть системы приклад- ного программного обеспече- ния, отказы, CRASH, закрытие программы. Для аппаратного обеспечения данный вид работ ограничен, потому что не всегда можно зафиксировать отказ того или иного компонента. В ряде случаев отказ устрой- ства в ходе фаззинг-тестирова- ния может быть зафиксирован только по миганию клавиши или перезагрузке в рабочей недоступности самого устрой- ства, которое исследуется. Если какие-либо участки кода не были проанализированы в ходе предыдущих работ или фаззинг-тестирования, то используются знания и навыки эксперта, который детально рассматривает тот или иной участок кода программы и на основании своего опыта пыта- ется выявить уязвимость или недекларированную возмож- ность. На последнем этапе осу- ществляется оформление доку- ментации, протоколов по результатам исследования. К протоколам должны прила- гаться все свидетельства и результаты работ средств автоматизации, которые были использованы в ходе исследо- вания объекта оценки. Таким образом, данный документ уста- навливает требования для работ, которые исследователь совершает в ходе действия над объектом оценки. Эти работы ранжированы по шести уровням контроля. Кстати, в ходе выпол- нения этих работ могут быть выявлены только уязвимости в программном обеспечении, а уязвимости, связанные с неки- ми аппаратными компонентами его архитектуры, – это область отдельного документа, который сейчас находится на рассмот- рении. Банк данных угроз безопасности информации "Мы еженедельно наполняем банк новыми сведениями. За 2018 г. в банк данных было включено более 1600 уязвимо- стей. Сейчас мы включаем за неделю в банк данных угроз более 100 уязвимостей. Это практически в 2,5 раза больше, чем в 2018 г. Мы приобрели достаточные методические инструменты, разработали некие информационные систе- мы, которые позволяют авто- матизированно осуществлять сбор данных об уязвимостях и доставлять их в определенном виде, а также провели ряд дополнительных регламентных работ, которые позволили нам увеличить это количество. По 10 • В ФОКУСЕ