CC BY
135
УДК 004.056.53 Барабанов А.В., Евсеев А.Н. НПО «Эшелон», Москва, Россия
ВОПРОСЫ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ АНАЛИЗА УЯЗВИМОСТЕЙ ПРИ ПРОВЕДЕНИИ СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Введение
В настоящее время актуальными становятся угрозы безопасности информации, связанные с наличием уязвимостей программного обеспечения (ПО), используемого в составе различных информационных систем [1]. Для эффективного построения системы защиты информации от современных угроз безопасности информации, наряду с защитой от несанкционированного доступа к информации, необходима реализация защиты на уровне используемого ПО - информационные системы должны быть защищены от угроз, связанных с наличием уязви-мостей ПО. Для достижения поставленной цели может быть использован комплекс мер, направленный на создание программ, с минимально возможным количеством уязвимостей, и формирование среды обеспечения оперативного устранения уяз-вимостей, выявленных потребителями. Тестирование на проникновение, выполняемое в рамках анализа уязвимостей ПО, в настоящее время является одним из основных видов деятельности, направленным на минимизацию числа уязвимостей в разрабатываемом ПО. Данный вид деятельности поводится как на этапе разработки ПО силами разработчиков или привлекаемых третьих организаций, так и, например, на этапе сертификационных испытаний ПО по требованиям безопасности информации. До недавнего времени наблюдался некий нормативный и методический вакуум, не позволяющий испытательным лабораториям, обоснованно и целенаправленно заниматься выявлением уязвимостей в ПО, подаваемых на сертификацию [2,3]. Ситуация изменилась с введением ФСТЭК России нового подхода к формированию требований к сертифицируемому ПО и действиям испытательных лабораторий при проведении испытаний - в настоящее время выполнение тестирования на проникновение является обязательной процедурой, которую должна выполнить испытательная лаборатория при проведении сертификационных испытаний. Следует, однако, отметить, что в настоящее время еще не разработано типовой методики проведения тестирования на проникновения, выполняемого в ходе проведения сертификационных испытаний, которая позволила бы обеспечить повторяемость и воспроизводимость результатов испытания и учесть особенности отечественной системы сертификации.
Таким образом, задача разработки и совершенствования методического обеспечения анализа уязвимостей, при проведении сертификационных испытаний по требованиям безопасности информации, в настоящее время является актуальной.
Постановка задачи обеспечения безопасности программ
Цель исследования состояла в сокращении времени анализа уязвимостей при проведении сертификационных испытаний ПО по требованиям безопасности информации за счет разработки комбинированной методики анализа уязвимостей.
В соответствии с целью были поставлены и решены следующие задачи:
- анализ существующих методик анализа уязви-мостей и их применимости при проведении сертификационных испытаний в отечественных системах сертификации;
- синтез комбинированной методики анализа уязвимостей при проведении сертификационных испытаний ПО;
- оценка эффективности разработанной методики анализа уязвимостей.
Подходы к проведению анализа уязвимостей при сертификации
Неформальное требование по проведению анализа уязвимостей предъявляется отечественной системой сертификации, начиная с 2014 года. До этого времени анализ уязвимостей ПО при проведении сертификационных испытаний не являлся
обязательным и проводился только энтузиастами [2-5].
При проведении анализа уязвимостей в рамках сертификационных испытаний экспертами испытательных лабораторий в настоящее время активно используются методические рекомендаций приведенные в ГОСТ Р ИСО/МЭК 18045 - документа, содержащего общую методологию оценки, используемую при проведении сертификационных испытаний по линии «Общих критериев» [6, с.71]. Предлагаемая данным документом методика предполагает выполнение следующих основных действий:
- идентификация потенциальной уязвимости в общедоступных источниках (например, базы данных osvdb.org, securityfocus.com) и формирование списка потенциальных уязвимостей, которыми может быть подвержен объект сертификации (объект оценки, ОО) [7];
- тестирование проникновения: проверка выдвинутых гипотез относительно наличия потенциальных уязвимостей в ПО использованием различных инструментальных средств и оформление отчетных материалов - технического отчета об оценке (ТОО).
Обобщенные сведения об указанных действиях представлены далее по тексту.
Действие оценщика
AVA_VAN.1.2E/2.2E/3.2E/4.2E выполнить поиск в общедоступных информационных ресурсах для идентификации потенциальных уязвимостей в ОО [6, с. 64]:
- шаг оценивания AVA_VAN.1-3/2-3/3-3/4-3: исследовать общедоступные источники информации, чтобы идентифицировать потенциальные уязвимости;
- шаг оценивания AVA_VAN.1-4/2-5/3-5/4-5: отразить в отчете идентифицированные потенциальные уязвимости, которые являются кандидатами на тестирование.
Действие оценщика
AVA_VAN.1.2E/2.2E/3.2E/4.2E: выполнить тестирование на проникновение, чтобы сделать заключение о том, что ОО является стойким к нападению, выполняемым нарушителем, обладающим соответствующим потенциалом нападения:
- шаг оценивания AVA_VAN.1-5/2-6/3-6/4-6: разработать тесты для проверки наличия потенциальных уязвимостей с учетом советующего потенциала нападения;
- шаг оценивания AVA_VAN.1-6/2-7/3-7/4-7: разработать тестовую документацию для тестов проникновения для обеспечения воспроизводимости;
- шаг оценивания AVA_VAN.1-7/2-8/3-8/4-8: использовать шаги оценивания AVA_VAN.1-5 и АУА_УАЫ.1-6 в качестве основы для выполнения тестов;
- шаг оценивания AVA_VAN.1-8/2-9/3-9/4-9: зафиксировать результаты тестирования;
- шаг оценивания AVA_VAN.1-9/2-10/3-10/4-10: привести в ТОО информацию об усилиях оценщика по тестированию проникновения;
- шаг оценивания AVA_VAN.1-10/2-11/3-11/4-11: исследовать результаты тестирования и сделать отрицательное заключение по действию оценщика AVA_VAN.1.3E, если результаты показали, что ОО не является стойким к нарушителю, обладающему базовым потенциалом нападения;
- шаг оценивания AVA_VAN.1-11/2-12/3-12/4-12: привести в ТОО информацию обо всех пригодных для использования уязвимостях и остаточных уязвимостях.
Разработанный международный стандарт ISO/IEC TR 20004:2012 уточняет и детализирует действия оценщика, выполняемые при анализе уязвимостей, описанные в Общей методологии оценки (ГОСТ Р ИСО/МЭК 18045). В частности, этот документ на-
правлен на детализацию и пояснение действии оценщика «Идентификация потенциальной уязвимости в общедоступных источниках» и «Тестирование проникновения», изложение которых в ГОСТ 18045 не обладают необходимой полнотой в части поиска, идентификации и тестирования потенциальных уязвимостей. В документе представлено руководство по способу объективного поиска, идентификации, фильтрации и тестирования потенциальных уязвимостей с использованием международных ресурсов, содержащих перечни дефектов безопасности и шаблоны атак - баз Common Vulnerabilities and Exposures (CWE) и Common Attack Pattern Enumeration and Classification (CAPEC) [7].
При определении перечня потенциальных уязвимостей ПО на основе общедоступных источников, эксперту испытательной лаборатории предлагается выполнить действия, указанные далее по тексту.
1. Выполнить поиск записей CWE из общедоступного перечня дефектов безопасности. Все дефекты безопасности, подлежащие включению в перечень потенциальных дефектов, должны быть актуальными, т.е. определены элементы схемы CWE «Applicable_Platforms», «Detection_Methods» и «Related_Attack_Patterns» и элемент схемы CWE «Weakness_Abstraction» определен и равен «Base» или «Variant».
2. Обработка и фильтрация перечня, определенного в ходе выполнения шага 1, с учетом его согласованности с характеристиками ПО и его средой функционирования.
3. Выполнить поиск записей CAPEC из общедоступного перечня шаблонов атак. Все найденные шаблоны атак должны быть актуальными, т.е. определены элементы схемы CAPEC «Attack_Execution_Flow», «Technical_Context», «Related_Weaknesses», элемент схемы «Related_Weaknesses» и элемент схемы CAPEC «Pattern_Abstraction» определен и равен «Standard» или «Detailed».
4. Обработка и фильтрация перечня, определенного в ходе выполнения шага 3, с учетом его согласованности с характеристиками ПО и его средой функционирования.
5. Определение взаимосвязи между найденными множествами потенциальных дефектов безопасности и шаблонов атак и формирование итогового перечня потенциальных дефектов безопасности и связанных с ним шаблонов атак.
Вместе с тем использование только указанных документов при проведении анализа уязвимостей в рамках сертификационных испытаний отечественной системы сертификации не является достаточным. Одной из отличительных особенностей отечественной системы сертификации является требование о предоставлении исходных текстов ПО (даже для ПО, не предназначенного для обработки информации, содержащей сведений, составляющих государственную тайну), которые могут быть с успехом использованы при формировании перечня потенциальных уязвимостей объекта сертификации. При сертификации по высоким классам защищенности [8], когда предоставление доступа к исходным кодам ПО является обязательным, анализ уязвимо-стей может основываться на результатах статического и динамического анализа исходного кода ПО. Следует отметить, что многие зарубежные системы сертификации (например, международная система сертификации по линии «Общих критериев») не требуют предоставления исходных текстов в испытательную лабораторию при проведении испытаний [6, c.47].
Комбинированная методика анализа уязвимостей программного обеспечения при проведении сертификационных испытаний
В ходе выполнения исследования был выполнен синтез существующих способов анализа уязвимо-стей, и разработана комбинированная методика анализа уязвимостей ПО при проведении сертификационных испытаний по требованиям безопасности информации. Комбинированная методика анализа уязвимостей представляет собой выполнение по-
следовательности определенных шагов, представленных далее по тексту.
Этап 1. Проведение статического анализа исходных текстов ПО.
Шаг 1. Формирование набора исходных текстов, которые участвуют в создании ПО. На данном шаге необходимо провести контроль полноты и избыточности представленных на испытание исходных текстов ПО с целью определения точного множества исходных текстов, участвующих в компиляции ПО.
Шаг 2. Проведение статического сигнатурного анализа множества исходных текстов. Используемый статический анализатор должен обладать возможностью поиска потенциально опасных конструкций в исходных текстах и формирования данного перечня с присвоением каждой обнаруженной потенциально опасной конструкции идентификатора базы CWE (при проведении исследования использовалось средство статического анализа AppChecker [9]).
Этап 2. Формирование перечня потенциальных дефектов безопасности и шаблонов атак.
Шаг 3. Обработка полученного перечня потенциально опасных конструкций с использованием критериев фильтрации, представленных в разделе 6.1.2.1 стандарта ISO 20004.
Шаг 4. Формирование перечня шаблонов атак, являющихся актуальными для исследуемого ПО, с использованием последовательности действий, представленной в разделе 6.1.2.1 стандарта ISO 20004.
Этап 3. Формирование пар «дефект безопасности - шаблон атаки»
Шаг 5. Обработка перечней потенциальных дефектов безопасности и шаблонов атак, полученных на этапе 2, с использованием последовательности действий, представленных в разделе 6.1.2.2 стандарта ISO 20004.
Этап 5. Проведение тестирования на проникновение
Шаг 6. Разработка тестов на проникновение на основе сформированного перечня потенциальных дефектов безопасности и шаблонов атак.
Шаг 7. Проведение тестов на проникновение с использованием разработанных текстов.
Шаг 8. Определение уязвимостей ПО и оформление отчетных материалов.
Результаты экспериментальных исследований
В ходе проведения исследования была проведена оценка эффективности разработанной комбинированной методики анализа уязвимостей. В ходе оценки эффективности разработанная методика использовалась при анализе уязвимостей следующего ПО, проходящего испытание в аккредитованной испытательной лаборатории НПО «Эшелон»:
- ПО№1 - веб-приложение со встроенными функциями по защите информации (идентификация/аутентификация, разграничение доступа, регистрация событий безопасности), язык программирования - Java;
- ПО№2 - клиент-серверное приложение со встроенными функциями по защите информации (идентификация/аутентификация), язык программирования - C#;
- ПО№3 - средство защиты информации, реализующее функции системы обнаружения вторжений уровня узла, язык программирования - С/С++.
При проведении испытания был обеспечен доступ к исходным текстам ПО для проведения статического анализа.
Анализ уязвимостей проводился с использованием следующих методик:
- методика №1 - методика анализа уязвимостей на основе Общей методологии оценки ISO 15408 и стандарта ISO 20004;
- методика №2 - методика анализа уязвимо-стей, основанная на применении статистического анализа исходных текстов ПО;
- методика №3 - разработанная комбинированная методика анализа уязвимостей.
Далее представлены результаты применения разработанной комбинированной методики (методика №3) при анализе уязвимостей ПО№2.
В результате выполнения шагов 1-3 комбинированной методики для исследуемого ПО, был получен следующий перечень потенциальных дефектов безопасности:
- СИЕ-2 62: отсутствие механизма принудительной смены пароля пользователем по истечении определенного времени;
- СИЕ-521: слабые требования к стойкости паролей;
- СИЕ-572: использование функции ^п() вместо start() при вызове потока;
- СИЕ-83 6: использование хэша пароля, выработанного на стороне клиента, для аутентификации.
В результате выполнения шага 4 был получено следующее множество потенциальных шаблонов атак:
- САРЕС-16: подбор пароля по словарю;
- САРЕС-28: проведение фаззинг-тестирования;
- САРЕС-55: взлом пароля с помощью радужной таблицы;
- САРЕС-7 0: попытка использования идентификатора и пароля, назначенного по умолчанию.
В результате определения взаимосвязи (шаг 5) между идентифицированными множества потенциальных дефектов и шаблонов атак на основе элемента описания шаблона атаки «Related_Weaknesses», перечень потенциальных дефектов безопасности был дополнен следующими элементами:
- СИЕ-20: неверная проверка входных данных, поступающих из недоверенного источника;
- CWE-7 4:
- CWE-89:
- CWE-250 привилегиями
- CWE-261 паролей;
- CWE-263 пароля;
- CWE-7 98
инъекция; SQL-инъекция;
выполнение операции
с излишними
слабая криптографическая защита разрешение использования старого
использование закодированных в исходных текстах программы паролей и другой аутентификационной информации.
В результате определения (шаг 5) взаимосвязи между идентифицированными множествами потенци-
Результаты анализа эффективности
альных дефектов и шаблонов атак на основе элемента описания дефекта безопасности «Related_Attack_Patterns», перечень потенциальных шаблонов атак был дополнен элементом CAPEC-49: перебор пароля методом грубой силы.
В ходе выполнения шага 5 были отфильтрованы дефекты безопасности, которые не содержат в описании элемента «Detection_Method» понятий автоматизированного анализа или анализа по методу «черного ящика», а также тех, которые не являются актуальными из-за применяемых в предполагаемой среде функционирования мер безопасности, предотвращающих эксплуатацию дефекта безопасности. Были отфильтрованы шаблоны атак перечня CAPEC, чьи цель и характер воздействия не являлись актуальными для чувствительных с точки зрения безопасности свойств ПО №3 и те, которые не являлись актуальными из-за применяемых в предполагаемой среде функционирования мер безопасности, предотвращающих эффективное выполнение атаки.
В результате был получен следующий перечень пар «потенциальный дефект безопасности - шаблон атаки»:
- СИЕ-20 - САРЕС-16, САРЕС-4 9, САРЕС-55, САРЕС-7 0;
- СИЕ-89 - САРЕС-28.
Данные пары в дельнейшем использовались для разработки тестов на проникновения с целью подтверждения актуальности дефекта безопасности (шаги 6-9).
В ходе проведения исследования для каждой методики оценивались следующие показатели эффективности:
- Т - время формирования множества пар «потенциальный дефект безопасности - шаблон атаки»;
- Е - отношение числа подтвержденных дефектов безопасности (выявленных уязвимостей ПО) к числу потенциальных дефектов безопасности.
Результаты оценки эффективности представлены в таблице 1 и рис. 1.
Таблица 1
ПО №1 ПО №2 ПО №3
Tr ч E, % Tr ч E, % Tr ч E, %
Методика №1 10,6 2/4=50% 9,1 0/4 = 0 16,2 0/2 = 0
Методика №2 13,1 1/5=20% 12,9 1/4=25% 20,7 0/2 = 0
Методика №3 9,4 5/10=50% 7,7 2/6=33,3% 14,2 1/4=25%
18 16
14
£г< i 12 OJ & 10
I s
я
OJ Л
О, °
CJ
4 2 О
Методика
Рисунок 1 - Среднее время формирования множества пар «потенциальный дефект безопасности - шаблон
атаки»
Выводы и рекомендации
В ходе проведенных исследований были получены следующие основные результаты.
1. Разработана комбинированная методика анализа уязвимостей ПО, которая может использоваться при проведении сертификационных испытаний по требованиям безопасности информации. При разработке методики выполнен синтез существующих методов статического сигнатурного анализа исходных текстов и порядка анализа уязвимостей, описанного в стандарте ISO 20004 с учетом особенностей отечественной системы сертификации средств защиты информации. Разработанная мето-
дика позволяет сократить время проведения анализа уязвимостей за счет применения статического сигнатурного анализа исходных текстов ПО и обеспечить повторяемость и воспроизводимость результатов испытаний.
2. Оценка эффективности разработанной комбинированной методики, проведенная в ходе настоящего исследования, показала сокращение времени анализа уязвимостей по сравнению с известными способами в среднем на 24%. Применение комбинированной методики позволило выявить 8 реальных уязвимостей анализируемого ПО.
3. Разработанная комбинированная методика Следует добавить, что предложенный подход
внедрена и используется в работе аккредитован- соответствует концептуальным моделям проведения ной испытательной лаборатории НПО «Эшелон» и оценки соответствия, опубликованным в [10,11], может быть рекомендована к внедрению в работу а также может быть интегрирован в систему ме-испытательных лабораторий различных систем сер- неджмента ИБ организаций [12-16]. тификации средств защиты информации.
ЛИТЕРАТУРА
1. Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1 (2). С. 28-35.
2. Марков А.С., Щербина С.А. Испытания и контроль программных ресурсов // Information Security. 2003. №6. С.26.
3. Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации // Известия Южного федерального университета. Технические науки. 2006. № 7 (62). С. 82-87.
4. Марков А.С., Цирлов В.Л. Опыт выявления уязвимостей в зарубежных программных продуктах // Вопросы кибербезопасности. 2013. № 1 (1). С. 42-48.
5. Тестирование и испытания программного обеспечения по требованиям безопасности информации / А.С.Марков, В.Л.Цирлов, В.Г.Маслов, И.А.Олексенко // Известия Института инженерной физики. 2009. Т. 2. № 12. С. 2-6.
6. Методы оценки несоответствия средств защиты информации / А.С.Марков, В.Л.Цирлов, А.В.Барабанов; под ред. А.С.Маркова. М.: Радио и связь, 2012. 192 с.
7. Марков А.С., Фадин А.А. Систематика уязвимостей и дефектов безопасности программных ресурсов // Защита информации. Инсайд. 2013. № 3 (51). С. 56-61.
8. Барабанов А.В., Марков А.С., Рауткин Ю.В. Оценка соответствия средств защиты информации требованиям высших оценочных уровней доверия // Труды Научно-исследовательского института радио. 2 012. № 3. С. 67-73.
9. Марков А.С., Фадин А.А. Статический сигнатурный анализ безопасности программ // Программная инженерия и информационная безопасность. 2013. № 1(1). С. 50-56.
10. Барабанов В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. С. 4852.
11. Гришин М.И., Марков А.С., Барабанов А.В. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации // Известия Института инженерной физики. 2011. Т. 3. № 21. С. 82-88.
12. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1 (1). С. 37-41.
13. Агафонова М.Е. Методические рекомендации по проведению аудита системы менеджмента информационной безопасности // Труды международного симпозиума Надежность и качество. 2014. Т. 2. С. 266-268.
14. Найханова И.В. Разработка системы показателей эффективности системы менеджмента безопасности персональных данных // Труды международного симпозиума Надежность и качество. 2014. Т. 2. С.
268-270.
15. Райкова Н.О. Сравнительный анализ стандартов менеджмента качества и информационной безопасности // Труды международного симпозиума Надежность и качество. 2014. Т. 2. С. 270-274.
УДК 034.035.4 Котякова В.А.
ФГБОУ ВПО «Пензенский государственный технологический университет», Пенза, Россия
ОРГАНИЗАЦИЯ МОНИТОРИНГА В КОМПЛЕКСНОЙ СИСТЕМЕ ОЦЕНКИ СОСТОЯНИЯ ТЕХНИЧЕСКИ СЛОЖНЫХ ОБЪЕКТОВ
Вводная часть
В настоящее время не существует методов, описывающих полную гарантию безопасной работы технически сложных объектов (ТСО) и, следовательно, методы контроля и осуществления мониторинга нуждаются в дополнении и совершенствовании.
Имеющиеся методы и алгоритмы отличаются друг от друга, видами и объёмом мониторинговых исследований, подходом к их проведению. Наиболее полно эти вопросы отработаны на объектах по уничтожению химического оружия (ОУХО) в связи с большим общественным резонансом при их проектировании и строительстве. Собранные данные не учитывают отдаленных последствий, не имеют поправок на адаптивные и компенсационные механизмы технически сложных объектов.
В связи с крайне ограниченным количеством центров мониторинга на объектах и их отсутствием на местном уровнях, а также отсутствием эффективных методов обработки результатов мониторинга, не обеспечивается комплексный, в том числе оперативный, мониторинг возникновения внештатных ситуаций на объектах и прогноз их развития. Решение вышеуказанных проблем позволит создавать системы мониторинга, в которых по результатам анализа данных подсистем можно принимать решение по коррекции регламента мониторинга или выполнению мероприятий по предупреждению и/или ликвидации последствий чрезвычайных ситуаций на ТСО. Разделение решения таких проблем по этапам неэффективно, необходим ком-
плексный подход. Виды и этапы ведения мониторинга, выполненные комплексно и последовательно, определяют выбор стратегии для принятия решений по предотвращению ЧС, снижению риска их возникновения и масштабов последствий. Безопасность функционирования ТСО предложено обеспечить за счет разработки и применения методологических подходов, методов и алгоритмов анализа и обработки результатов мониторинга для оценки влияния объекта в рамках системы интеллектуальной поддержки решения задач, являющейся частью экспертно-аналитической системы.
Актуальная научно-техническая проблема заключается в разработке и применении методов системного анализа к организации, моделированию, оптимизации и обработке результатов мониторинга с использованием идентификационных древовидных структур и принятия решений с целью повышения безопасности технически сложных объектов. Рассматриваются общие понятия о технически сложных объектах (ТСО), анализ технических средств мониторинга технически сложных объектов, рассматриваются вопросы взаимодействия входящих в него систем: производственного контроля и мониторинга (ПКМ).
Основная часть
Поскольку система эколого-аналитического мониторинга загрязнений является частью существующей службы наблюдения и контроля за состоянием природной среды она должна основываться на подсистемах отраслевого и регионального характера, включать элементы этих подсистем.
