ИНФОРМАЦИОННАЯ СИСТЕМА АВТОМАТИЗАЦИИ ПРОЦЕССА ПОИСКА ИЗВЕСТНЫХ (ПОДТВЕРЖДЕННЫХ) УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Савченко В.В.*
Аннотация. Проблема контроля защищённости программного обеспечения (ПО) на сегодняшний день как никогда актуальна и связана с наличием в нём уязвимостей. В данной статье рассматриваются вопросы автоматизации процесса поиска известных уязвимостей в ПО, а также в средах его функционирования и заимствованных сторонних программных компонентах. По результатам исследований была разработана информационная система автоматизации процесса поиска известных уязвимостей ПО, позволяющая минимизировать количество угроз безопасности в инфокоммуникаци-онных системах.
Ключевые слова: безопасность инфокоммуникационных систем, защита информации, анализ общедоступных источников, анализ уязвимостей, автоматизированное обнаружение уязвимостей.
DOI: 10.21681/1994-1404-2017-1-42-45
Проникновение информационных технологий [1] во всевозможные сферы человеческой деятельности приводит к увеличению количества попыток несанкционированного доступа к конфиденциальной информации [2-4]. Каждый день в различных источниках публикуются данные о выявлении новых уязвимостей программного кода [5]. Разработчики ПО не всегда имеют возможность своевременно получать информацию о новых уязвимостях, в связи с чем существует возможность нарушения конфиденциальности, целостности и доступности информации, обрабатываемой в информационных системах, построенных с использованием ПО. Наличие заимствованных компонентов и небезопасной среды функционирования разрабатываемых изделий усугубляют положение.
В связи с возникновением данной проблемы появляется необходимость в создании средств информирования разработчиков и потребителей ПО о наличии известных уязвимостей. На данный момент информация о новых уязвимостях публикуется в различных информационных ресурсах: база данных уязвимостей Федеральной Службы Технического и Экспортного Контроля (БДУ ФСТЭК России), базы данных National Vulnerability Database (NVD), Common Vulnerabilities and Exposures (CVE),
vulners.com, бюллетенях вендоров [6-9], а также в иных источниках. Вышеуказанные источники не позволяют автоматически информировать разработчиков и экспертов ИБ об обнаружении новых уязвимостей. Исследование каждого ресурса занимает большое количество времени, в связи с этим разработчик может исследовать не все источники информации.
Анализ ресурсов, публикующих информацию об известных уязвимостях
Анализ вышеуказанных ресурсов показал, что на каждом из них существует уникальная информация, без учета которой могут возникнуть новые угрозы безопасности. Например, в базе данных уязвимостей ФСТЭК России присутствует информация о наличии уязвимостей в СУБД «Линтер Бастион», а в базе данных ^Е информация об уязвимостях в данном продукте отсутствует [10-16].
Поиск уязвимостей в конкретной библиотеке или программном модуле осложняется избыточностью информации и ошибками в алгоритмах поиска. Кроме того, в каждом решении вводятся различные сокращения и наименования ПО, что также осложняет поиск информации. В БДУ ФСТЭК России используются русскоязычные наименования ПО, в базе данных ^Е русскоязычные наименования отсутствуют. По результатам анализа была поставле-
* Савченко Владислав Вадимович, ЗАО «НПО «Эшелон», Российская Федерация, г. Москва. E-mail: [email protected]
на задача разработки модели информационной системы автоматизации процесса поиска известных (подтвержденных) уязвимостей ПО [17-19]. Решение поставленной задачи
Для решения данной проблемы была разработана информационная система автоматизации процесса поиска известных (подтвержденных) уязвимостей (ИС АППИУ) (рис. 1).
Ключевую роль в данной системе выполняет сервер обновлений. Его основной задачей явля-
Рис. 1. Модель ИС АППИУ
ется сбор данных со всех известных источников информации - из БДУ ФСТЭК России, базы данных NVD, CVE, Microsoft bulletin ID, Mozilla Security и других. После того, как информация собрана, сервер обновлений приводит её к удобному для обработки виду и обновляет локальную базу данных. Сервер обновлений также может взаимодействовать с агентами, устанавливаемыми на пользовательские АРМ, и собирать информацию о модулях и компонентах, установленных на этих АРМ. На основании этой информации в личный кабинет пользователя автоматически добавляются сведения об актуальных уязвимостях для этих компонентов. Алгоритм работы сервера обновлений можно разделить на 4 взаимосвязанных этапа. На первом шаге происходит считывание информации с общедоступных источников, далее, на втором этапе, полученные данные сортируются по категориям и словарям. На третьем этапе работы сервера обновлений ИС АППИУ происходит удаление избыточности информации и идет формирование вспомогательных и поисковых словарей. На финальном этапе, разработанное программное обеспечение добавляет найденные
уязвимости в локальную базу данных и обновляет поисковый словарь.
С сервером обновлений взаимодействует вебсервер. Он загружает подготовленную сервером обновлений информацию и выводит пользователю в удобном для восприятия виде. Основная задача веб-сервера - информирование пользователя о наличии потенциальных уязвимостей, оповещение о появлении новых уязвимостей, а также предоставление отчётных материалов по результатам поиска в общедоступных источниках информации. Пользователь, используя веб-браузер, может ознакомиться с сформированными для него отчётами, а также добавить в список отслеживания новое ПО. При появлении новой уязвимости пользователь получит информационное сообщение, после чего сможет более подробно ознакомиться с информацией об обнаруженной уязвимости.
Сравнение результатов поиска по общедоступных источникам и АППИУ
В процессе тестирования ИС АППИУ было сделано следующее:
Математические аспекты правовой информатики
- выполнен поиск уязвимостей в базе данных ^Б, БДУ ФСТЭК России, NVD;
- выполнен поиск уязвимостей с использованием ИС АППИУ;
- произведён анализ и сравнение полученных результатов.
В качестве ПО, в отношении которого производился поиск уязвимостей использовалось ПО Mozilla Firefox 45. Из результатов тестирования (табл. 1) видно, что данный подход является эффективным и позволяет в полной мере исследовать уязвимости в общедоступных источниках.
Таблица 1.
Результаты тестирования ИС АППИУ
№ п/п Наименование информационной системы Количество обнаруженных уязвимо-стей Примечание
1 http://bdu.fstec.ru 41 Избыточность
2 http://cve.mitre.org 181 Избыточность, повторение, сложно искать по конкретным ОС
3 http://vulners.com 87 Избыточность, повторение, сложно искать по конкретным ОС
4 http://en-US/security/known-vulnerabilities/ firefox/ 23 --//--
5 ИСАППИУ 25 ИС АППИУ была сконфигурирована на поиск уязвимостей в бюллетени разработчика Mozilla и на поиск неподтверждённых разработчиком уязвимостей.
Вывод
В результате проведенных исследований было установлено, что ИС АППИУ позволяет более точно сформировать перечень потенциальных уяз-
вимостей на основании данных, представленных в общедоступных источниках, отфильтровать избыточную информацию и своевременно информировать разработчика о появлении новых потенциальных уязвимостях.
Рецензент: Барабанов Александр Владимирович, кандидат технических наук, доцент, г. Москва, Россия.
E-mail: [email protected]
Литература
1. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации. М.: Радио и связь, 2012. 192 с.
2. Баранов А.П. Актуальные проблемы в сфере обеспечения информационной безопасности программного обеспечения // Вопросы кибербезопас-ности. 2015. № 1 (9). С. 2-5.
3. Шеремет И.А. Угрозы в техносфере России и противодействие им в современных условиях // Вестник академии военных наук. 2014. № 1 (46). С. 27-34.
4. Калашников А.О., Ермилов Е.В., Чопоров О.Н., Раз-инкин К.А., Баранников Н.И. Атаки на информационно-технологическую инфраструктуру критически важных объектов: оценка и регулирование рисков.
Под ред. чл.-корр. РАН Д.А. Новикова. Воронеж: Издательство «Научная книга». 2013. 160 с.
5. Гаттаров Р.У. Концепция стратегии кибербезопас-ности // Вопросы кибербезопасности. 2014. №1 (2). С. 2-4.
6. Барабанов А.В., Федичев А.В. Разработка типовой методики анализа уязвимостей в веб-приложениях при проведении сертификационных испытаний по требованиям безопасности информации // Вопросы кибербезопасности. 2016. № 2 (15). С. 2-8.
7. Горшков Ю.Г., Марков А.С., Матвеев В.А., Цирлов В.Л. Современные тренды в области кибербезопасно-сти // Сборник трудов Седьмой Всероссийской научно-технической конференции под редакцией В.А. Матвеева «Безопасные информационные технологии» 2016. С. 138-142.
8. Барабанов А.В., Вареница В.В., Савченко В.В., Пургин А.Д. Информационная система автоматизации процесса поиска подтвержденных уязвимостей программного обеспечения // Сборник трудов Седьмой Всероссийской научно-технической конференции под редакцией В.А. Матвеева «Безопасные информационные технологии» 2016. С. 30-34.
9. Марков А.С. Летописи кибервойн и величайшего в истории перераспределения богатства // Вопросы кибербезопасности, 2015. № 4 (12). С. 2-22.
10. Плигин В.Н., Макаренко Г.И. Страна нуждается в обновлении общественных договоров в современном российском обществе // Мониторинг правоприменения. 2015. № 1 (14). С. 4-11.
11. Касикин А.А. Разбор эксплойта уязвимости CVE-2015-7547 // Вопросы кибербезопасности. 2017. № 1 (19). С. 22-30.
12. Барабанов А.В. Нормативные вопросы безопасного производства программ // Правовая информатика. 2014. № 3. С. 49-53.
13. Веряев А.С., Фадин А.А. Формализация требований безопасности информации к средствам анализа защищенности // Вопросы кибербезопасности. 2015. № 4 (12). С. 23-27.
14. Барабанов А.В., Федичев А.В. Разработка типовой методики анализа уязвимостей в веб-приложениях
при проведении сертификационных испытаний по требованиям безопасности информации // Вопросы кибербезопасности. 2016. № 2 (15). С. 2-8.
15. Агафонова М.Е., Шахалов И.Ю. К вопросу о проведении внутреннего аудита системы менеджмента информационной безопасности // Вопросы кибербезопасности. 2013. № 3. С. 2-7.
16. Сафин Л.К., Чернов А.В., Александров Я.А., Трошина К.Н. Исследование информационной защищенности мобильных приложений // Вопросы кибербезопасности. 2015. № 4 (12). С. 28-37.
17. Марков А.С., Цирлов В.Л., Фадин А.А., Варин Д.Ф. Устройство выявления уязвимостей // патент на полезную модель RUS 168346 23.06.2016.
18. Markov A.S., Fadin A.A., Tsirlov V.L. Multilevel metamodel for heuristic search of vulnerabilities in the software source code // International Journal of Control Theory and Applications. 2016. Т. 9. № 30. С.313-320.
19. Barabanov A.V., Markov A.S., TsirlovV.L. Methodological framework for analysis and synthesis of a set of secure software development controls // Journal of Theoretical and Applied Information Technology. 2016. Т. 88. № 1. С. 77-88.