Журнал "Information Security/ Информационная безопасность" #1, 2020

щий определенным набором привилегий в информационной системе. 2. Анализ защищенности методом белого ящика – дина- мический и статический анализ безопасности исходного кода. 3. Разработка рекомендаций и итогового отчета. 4. Проверка корректности устранения выявленных уязви- мостей. 40 • ТЕХНОЛОГИИ Таблица 1. Пример проекта анализа защищенности интернет-магазина Рис. 1. Алгоритм анализа безопасности исходного кода Стадия/этап Состав работ (что делается?) Анализ защищенности интернет-магазина методами черного и серого ящиков Сбор и анализ информации Сбор общедоступной информации о внешних ресурсах, данных об инфраструктуре (сетевых сервисах, операционных системах и прикладном программном обеспечении), сканирование сетевых портов, анализ сетевого взаимодействия, определение типов и версий сетевых сервисов и приложений по реакции на внешнее воздействие Анализ защищенности Выявление уязвимостей интернет-магазина и его инфраструктурных компонентов с использованием сканеров защищенности и специализированного программного обеспечения, а также ручная проверка доступного функционала Подтверждение уязвимостей Моделирование атак на уровне сетевых сервисов и приложений, использование обнаруженных уязвимостей с целью оценки возможности получения несанкционированного доступа к защищаемой информации, попытки получения привилегированных прав и их эксплуатация Анализ безопасности исходного кода интернет-магазина Сбор информации, анализ архитектуры приложений На данном этапе изучается программное окружение и вся информационная система целиком. В частности, выполняются следующие действия: l определяются возможные угрозы l проверяются настройки отдельных элементов системы на соответствие требованиям безопасности l изучается архитектура, выявляются критичные элементы l осуществляется мониторинг уязвимостей в сторонних компонентах Основным результатом этого этапа становится список критичных элементов системы. К критичным элементам относятся: l механизмы валидации и нормализации вводимых данных l механизмы аутентификации и авторизации l механизмы криптозащиты l механизмы защиты хранимых данных на предмет предотвращения несанкционированного доступа к аутентификационной и иной критичной информации l протоколы обмена данными между клиентским и серверным программным обеспечением Поиск уязвимостей с использованием специализи- рованных автоматических анализаторов На данном этапе выполняется анализ исходного кода с помощью специализированного программного обеспечения (анализаторы исходного кода), позволяющего находить подозрения на уязвимости, которое осуществляет статический и динамический анализ исходного кода. Для разных языков и платформ могут использоваться различные анализаторы, которые специально подбираются для используемых технологий