CC BY
48
УДК 004.056 ББК 32.973.26-018.2 К 38
Киздермишов А.А.
Кандидат физико-математических наук, доцент кафедры автоматизированных систем обработки информации и управления инженерно-физического факультета Адыгейского государственного университета, Майкоп, тел. (8772) 593911, e-mail: Askhad_75@rambler.ru
К вопросу о добровольной сертификации средств автоматизированного анализа защищенности и обнаружения уязвимостей
(Рецензирована)
Аннотация. Рассматриваются вопросы ведения актуального реестра сканеров, рекомендованных владельцам пользовательских информационных ресурсов (информации, хранящейся на частных-домашних рабочих станциях и ноутбуках) для выявления и нейтрализации уязвимостей. Предложены обязательные пункты технических условий для добровольной сертификации средств пентеста. Дан анализ систем добровольной сертификации по вопросу необходимости создания новой системы добровольной сертификации с областью распространения на средства пентеста.
Ключевые слова: информационная безопасность, добровольная сертификация, сетевой сканер, пентест, CVE, Банк данных угроз, ФСТЭК России.
Kizdermishov А. А.
Candidate of Physics and Mathematics, Associate Professor of Department of Automated Systems of Processing Information and Control at Engineering-Physics Faculty, Adyghe State University, Maikop, ph. (8772) 593911, e-mail: Askhad_75@rambler.ru
On voluntary certification of means of the automated analysis of security and detection of vulnerabilities
Abstract The paper deals with the questions related to maintaining the actual register of the scanners recommended to owners of the user information resources (information which is stored at private-home workstations and laptops) for identification and neutralization of vulnerabilities. Obligatory points of specifications for voluntary certification of means ofpentest are offered. The analysis ofsystems of voluntary certification concerning need of creation of new system of voluntary certification with distribution area on means ofpentest is given.
Keywords: information security, voluntary certification, network scanner, pentest, CVE, Databank of threats, FSTEC of Russia.
Появление абсолютно легальных средств и ресурсов, предназначенных для самообучения методам пентеста в настоящее время, привели к такой ситуации, что успешная сетевая атака на информационные ресурсы может быть проведена злоумышленником-самоучкой, изначально не имеющим никаких навыков по применению средств пентеста, но обладающим достаточной настойчивостью для подготовки такой атаки [1-3]. Объектами таких сетевых атак могут быт в том числе и пользовательские информационные ресурсы, причем ситуация осложняется отсутствием единого подхода к построению модели «нарушителя-самоучки» и перечня актуальных угроз для пользовательских информационных ресурсов с учетом построенной модели такого нарушителя [4].
В наших работах [1-4] проведено исследование вышеуказанной задачи информационной безопасности, в частности, рассмотрены особенности сетевой атаки, для подготовки которой применяется сбор исходных данных об объекте защиты методом «черного ящика» с использованием сетевых сканеров, генерирующих отчеты со ссылками по каталогу CVE, рассмотрены вопросы, связанные с деятельностью сообщества пентестеров, предложена неформальная модель «нарушителя-самоучки», предложены меры по обеспечению «минимального уровня» защиты пользовательских информационных ресурсов.
В результате проведенного исследования владельцам информационных ресурсов в качестве одной из мер предложено использовать свободно распространяемые сетевые
сканеры их списка, полученного в результате проведенного в работе [4] анализа, для выявления и нейтрализации уязвимостей, которые могут быть обнаружены и использованы нарушителями. По сути, владельцу пользовательского информационного ресурса предлагается встать на место нарушителя, применить средства, которые с высокой степенью вероятности будут использованы нарушителем для обнаружения уязвимостей и подготовки атаки, после чего самостоятельно устранить угрозы информационной безопасности собственного пользовательского ресурса.
Таким образом, перед разработчиками средств защиты информации, кроме традиционной задачи по созданию профессиональных средств контроля защищенности, возникла задача по существенному совершенствованию средств, предназначенных для владельцев информационных ресурсов, самостоятельно обеспечивающих защиту информации пользовательских информационных ресурсов [2].
Очевидно, что по мере разработки новых и совершенствования существующих сетевых сканеров (средств пентеста), а также создания новых онлайн баз угроз и уязвимостей, вышеупомянутый список сетевых сканеров [4] потребует актуализации. В настоящей статье будут рассмотрены вопросы, связанные с задачами актуализации этого списка.
На наш взгляд, организовать добровольную сертификацию для части сетевых сканеров (средств пентеста) - это лучшее решение задачи обеспечения актуальности списка сканеров, рекомендованных владельцам пользовательских информационных ресурсов для выявления и нейтрализации уязвимостей. Как известно, для государственных информационных систем средства автоматизированного анализа защищенности и обнаружения уязвимостей подлежат обязательной сертификации. В рассматриваемом нами случае объект защиты - это информационный ресурс, являющийся предметом собственности и подлежащий защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Ущерб от возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию (разглашения) существенно ниже стоимости построения профессиональной комплексной системы сетевой защиты и равносильно стоимости встроенных механизмов защиты операционной системы и антивирусного программного обеспечения, что соответствует персональной рабочей станции физического лица (в том числе мобильные средства вычислительной техники), подключенной к сети Интернет [2], поэтому могут применяться средства, не прошедшие обязательную сертификацию. Разумеется, средства автоматизированного анализа защищенности и обнаружения уязвимостей, прошедшие обязательную сертификацию у лицензиатов ФСТЭК России или Министерства обороны России, можно предоставить и для добровольной сертификации.
По состоянию на сегодняшний день, согласно российскому законодательству, систему добровольной сертификации может создать группа коммерческих организаций, заинтересованных в размещении собственной рекламы, продаже своих программных продуктов или получении иной выгоды. Кроме того, эту роль могут взять на себя уже существующие системы добровольной сертификации. В таблице 1 приведены результаты анализа реестра зарегистрированных систем добровольной сертификации, которые могли бы взять на себя эту задачу [5].
Из таблицы 1 следует, что, по состоянию на сегодняшний день, четыре системы добровольной сертификации могли бы взять на себя обязанности по ведению реестра сканеров, рекомендованных владельцам пользовательских информационных ресурсов для выявления и нейтрализации уязвимостей.
Следует отметить, что в ходе подготовки статьи мы столкнулись с тем, что Д¥ЕВ-форма Единого реестра выданных сертификатов соответствия и зарегистрированных деклараций о соответствии [5] не позволяет осуществлять поиск по техническим усло-
виям (ТУ) и виду продукции, а также системе сертификации, что может существенно затруднить поиск сертификатов, выданных системой добровольной сертификации. Так как перечень сканеров, рекомендованных владельцам пользовательских информационных ресурсов для выявления и нейтрализации уязвимостей, будет соответствовать реестру выданных сертификатов, предлагаем публиковать этот реестр также и на сайте системы добровольной сертификации, обеспечив более удобную WEB-форму для поиска сертификатов.
Таблица 1
Добровольные системы сертификации средств защиты информации
№№ п/п Наименование системы сертификации Область распространения системы (объекты сертификации)
1. Система добровольной сертификации средств информационных технологий по требованиям информационной безопасности (Система «АйТиСертифика») Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении, средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности, средства контроля эффективности применения средств защиты информации ...
2. Система добровольной сертификации «Центр по тестированию информационных и технических систем» Программно-технические комплексы для автоматизированных систем, программные средства и информационные продукты вычислительной техники, технические системы и средства защиты ...
3. Система добровольной сертификации в области информационных технологий Технические изделия, созданные на основе ИТ, программно-технические средства защиты информации ...
4. Система добровольной сертификации аппаратно-программных комплексов и автоматизированных информационных систем ... ПО защиты и восстановления информации
Кроме ведения актуального реестра, применение системы добровольной сертификации должно решить следующие задачи:
1. Владельцу пользовательских информационных ресурсов будет рекомендовано использовать один сетевой сканер (самостоятельно выбрать из числа сканеров, включенных в реестр, наиболее удобный для использования в конкретных условиях эксплуатации (аппаратные возможности, операционная система и т.п.)), что существенно сократит время, затрачиваемое на выявление и нейтрализацию уязвимостей.
Задача решается включением в ТУ пункта о том, что сертифицируемый продукт должен иметь возможности, эквивалентные всем средствам пентеста, которые выложены на сайтах разработчиков для свободного скачивания как demo-версии, полноценные версии с условно-бесплатными лицензиями {trial) или лицензиями свободного распространения {free software).
2. В определенной мере гарантировать владельцу пользовательских информационных ресурсов отсутствие в программном обеспечении недекларированных возможностей.
Задача решается включением в ТУ пункта о том, что для не прошедшего обязательную сертификацию продукта разработчик в письменной форме гарантирует систе-
ме добровольной сертификации отсутствие в его программном обеспечении недекла-рированных возможностей, либо предоставляет для исследования исходный код.
Кроме ТУ соответствующий пункт должен быть включен в договор между разработчиком и системой добровольной сертификации.
3. Гарантировать владельцу пользовательских информационных ресурсов возможность провести анализ защищенности сетевого узла.
Задача решается включением в ТУ пункта о том, что средство пентеста должно быть бесплатным.
Кроме ТУ соответствующий пункт должен быть включен в договор между разработчиком и системой добровольной сертификации.
4. Обеспечить повышение информированности владельца пользовательских информационных ресурсов о существующих угрозах безопасности информации в информационных (автоматизированных) системах.
В предыдущих статьях [1-4] отдельное внимание уделялось требованию по наличию в отчете сканирования ссылок на описание уязвимостей по каталогу CVE, так как это позволяет владельцу информационного ресурса получать информацию об уязвимо-стях, которую он не имеет возможности (времени, квалификации и т.п.) самостоятельно найти и верно интерпретировать. В связи с тем, что недавно аналогичный ресурс был открыт ФСТЭК России [6], появилась возможность при анализе результатов опираться на мнение отечественного регулятора. Таким образом, в ТУ необходимо включить пункт о том, что отчет сканирования должен содержать описание уязвимостей со ссылками по каталогу CVE и Банку данных угроз безопасности информации [7].
Перечисленные выше пункты ТУ могут бьгть дополнены условиями, не содержащимися в ТУ, предназначенных для обязательной сертификации.
Очевидно, что нельзя недооценивать ущерб, который может быть нанесен гражданам в результате утраты (разглашения) личной переписки, фото и видео материалов, аутенификационных данных личных кабинетов в социальных сетях и м.д. В настоящее время большое число владельцев пользовательских информационных ресурсов в разной степени обеспокоено безопасностью информации, хранящейся на частных-домашних рабочих станциях и ноутбуках. Данное обстоятельство гарантирует разработчику программного обеспечения то, что его программный продукт, в случае прохождения добровольной сертификации, о которой говорилось выше, получит самое широкое распространение на территории Российской Федерации. Считаем, что предоставление возможности широкого распространения программного продукта является достаточным стимулом для разработчиков, так как позволяет, например, в дальнейшем успешно реализовывать на российском рынке коммерческие версии программных продуктов и м.д. Уверены, что среди разработчиков, в том числе зарубежных, несмотря на требование о том, что средство пентеста должно бьгть бесплатным и содержать описание уязвимостей со ссылками по Банку данных угроз безопасности информации [7], найдутся желающие пройти добровольную сертификацию.
Примечания:
1. Киздермишов A.A., Чефранов С.Г., Брикова И.В. К вопросу о методах тестирования специального программного обеспечения // Актуальные проблемы гуманитарного развития: материалы заоч. междунар. науч.-практ. конф. Майкоп: Изд-во МГТУ, 2013. С. 110-113.
2. Киздермишов A.A. Анализ возможности использования свободно распространяемых сетевых сканеров // Вестник Адыгейского государственного университета. Сер. Естественно-
References:
1. Kizdermishov A.A., Chefranov S.G., Brikova I.V. On the problem of methods of specific software testing // Actual problems of humanitarian development: materials of correspondence Intern, scient. and pract. conf. Maikop: MSTU Publishing House, 2013. P. 110-113.
2. Kizdermishov A.A. The analysis of the possibility to use the freeware network scanners // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2014. Iss.
математические и технические науки. 2014. Вып. 3 (142). С. 201-205. URL: http://vestnik.adygnet.ru
3. Киздермишов A.A. К вопросу о применении С VE-совместимых сетевых сканеров // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 1 (154). С. 136-140. URL: http://vestnik.adygnet.ru
4. Киздермишов A.A. К вопросу о построении модели нарушителя правил разграничения доступа к пользовательским информационном ресурсам // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 2 (161). С. 201-205.
URL: http://vestnik.adygnet.ru
5. Официальный сайт Федерального агентства по техническому регулированию и метрологии. URL: http://www.gost.ru
6. Информационное сообщение о банке данных угроз безопасности информации от 6 марта 2015 г. № 240/22/879. URL: http://bdu.fstec.ru
7. Банк данных угроз безопасности информации. URL: http://bdu.fstec.ru
3 (142). P. 201-205.
URL: http://vestnik.adygnet.ru
3. Kizdermishov A.A. On application of CVE-compatible network scanners // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 1 (154). P. 136-140.
URL: http://vestnik.adygnet.ru
4. Kizdermishov A.A. On model creation for the breaker of rules of access to user information resources // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 2 (161). P. 134-138.
URL: http://vestnik.adygnet.ru
5. Official site of the Federal Agency for Technical Regulation and Metrology.
URL: http://www.gost.ru
6. Announcement of the database of information security threats of March 6, 2015. No. 240/22/879. URL: http://bdu.fstec.ru
7. Database of information security threats. URL: http://bdu.fstec.ru
