Журнал "Information Security/ Информационная безопасность" #1, 2024

• 27 Управление Уязвимостями www.itsec.ru VulnerabilityManagement(VM)– неотъемлемаячастьразработкиопера- ционнойсистемы(ОС).Преждевсего работасуязвимостямиповышаетбез- опасность,ведьлюбаяуязвимостьв ОСможетбытьиспользованазлоумыш- ленникамидляполучениянесанкцио- нированногодоступа,выполненияпро- извольногокода,отказавобслуживании ит.д.Впроцессеразработкинеобходи- мопридерживатьсятребованийрегу- ляторов,особенноеслиоперационная системаиспользуетсяворганизациях, работающихсконфиденциальной информацией,персональнымиданными илигостайной,иприменяетсянапред- приятияхКИИ. Как организован процесс VM при разработке программного продукта? Любойразработчикхочетсделатьсвое ПОболееконкурентоспособным,доба- витьвнегоновыефункцииихотябына шагопередитьколлегпорынку.Вэтом случаенеобходимособлюстибаланс междуинновационностьюибезопас- ностью.Здесьнапомощьприходяттакие инструменты,каквнутреннийаудиткода, егостатическийидинамическийанализ, атакжедоскональноеследованиемето- дикамистандартамилучшимпрактикам безопаснойразработки.Желательно, чтобыпринципыбезопасностинарядус функциональнымитребованиямибыли изначальнозаложенынауровнеархи- тектурыбудущегопродукта(Secureby Design). Анализуязвимостейведетсяещена этаперазработкиОС,апослевыхода релизавпродакшнипередачиего клиентамуправлениеуязвимостями работаетнавсехуровнях.Обнаружи- ваютсяуязвимостидвумяпутями:с помощьюработывнешнихИБ-иссле- дователей,какотдельныхэнтузиастов, такицелыхкомпаний,атакжевнут- ренниеулучшения,вносимыесамим вендором.Разработкапрограммного продуктапредставляетсобойперма- нентныйпроцесс,которыйвключаетв себядобавлениеновыхфункцийираз- витиеужесуществующих,что,всвою очередь,сопровождаетсяэкспертным анализом,ревьюкода,обнаружением баговиуязвимостей. Разработкойзащищенныхдистрибу- тивовLinuxзанимаютсякрупныекомпа- нии,такиежезадачирешаетикоманда поанализузащищенностиОСAstra Linux.Аудиткодаведетсянавсехэтапах разработки. Впериодэксплуатациикомандараз- работчиковОСв"ГруппеАстра"рабо- таетсбольшимчисломбазуязвимо- стей,средикоторыхестьинепубличные. Преждевсегоэтособственнаябаза компанииAVM(AstraVulnerabilityMana- gement).Внейразмещенаинформация озафиксированныхуязвимостяхОС AstraLinuxвразныегоды.AVMнетоль- косодержитинформациюоразного родауязвимостях,ноивавтоматизи- рованномрежимевзаимодействует с другимибазами,атакжеобменивает- сяданнымисрегулятором–ФСТЭК России.Информация,полученнаяиз международныхбазданных,подверга- етсятщательномуанализунапредмет актуальностиистепеникритичности дляОСAstraLinux. Авторитетныймеждународныйисточ- никинформацииобуязвимостях–база данныхамериканскойкомпанииMITRE cидентификаторомCVE(CommonVul- nerabilitiesandExposures) 1 .Онасодержит наиболееполныесведенияослабых местахвоткрытомикоммерческомПО. Внеепересылаютзаписи онайденныхуязвимостях какнезависимыеИБ- исследователи,такисамиразработчики программныхпродуктов. ПрипоявлениизаписивбазеCVE модульпарсингававтоматическом режимесобираетинформациюоновой уязвимостивдругихБД(втомчисле вендорских),атакжеформируетсястан- дартизированнаязаписьонейвбазе данныхAVM.Далеекработесэтой записьюподключаютсяаналитики.Они обогащаютпаспортуязвимостиновыми сведениямииоценивают,насколькоэта уязвимостьактуальнадляОСAstraLinux. Еслипроведенныйанализподтверждает актуальность,тосоздаетсязадачаустра- ненияуязвимостипопринятомувком- паниирегламенту.Задачадолжнасодер- жатьинформациюоверсияхПО,для которыхданнаяуязвимостьактуальна, ссылкунапатчотвендора,еслионуже выпущен,идругуюполезнуюинформа- цию,котораяпоможетразработчикукак можноскорееисправитьактуальную уязвимость.Аналитикимогутвлиятьна степеньважностиисрочностиееустра- нения,атакжепроверяют,действительно лионанейтрализованаввыпущенном обновлениибезопасности.Записьоб устраненнойуязвимостиотправляется в БДУ 2 ФСТЭКРоссии. ВитогенедостаткиПО,обнаруженные "ГруппойАстра"самостоятельно,фик- сируютсявсобственнойбазеданных AVMсидентификаторомASE,апосле ихустраненияинформацияобэтом в обязательномпорядкеотправляется в БДУФСТЭКРоссии.Уязвимость с идентфикаторомASEсбольшейдолей вероятностиимеетотношениетолько к ОСAstraLinuxинеактуальнадля другихОС.Компаниятакжеподготав- ливаетдляклиентовипартнеровинфор- мациюв машиночитаемомформате, которуюзаказчикииразработчикиска- неровуязвимостеймогутиспользовать дляболееточногоанализазащищенно- стиОС.l Управление уязвимостями при разработке ОС Astra Linux правление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы. У Владимир Тележников, директор департамента научных исследований “Группы Астра” АДРЕСА И ТЕЛЕФОНЫ "ГРУППА АСТРА" см. стр. 70 NM Реклама Фото:ГК"АСТРА" 1 https://cve.mitre.org/ 2 https://bdu.fstec.ru/regulations