CC BY
39Петербургский экономический журнал. 2021. № 4. С. 164-172. St. Petersburg Economic Journal. 2021. № 4. Р 164-172.
Научная статья УДК 004.056: 004.8
DOI: 10.24412/2307-5368-2021-4-164-172
ТЕСТИРОВАНИЕ ПРИЛОЖЕНИЙ КАК ВАЖНАЯ МЕРА ПОВЫШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Application testing as an important measure to improve enterprise information security
Ирина Геннадиевна ГНИДЕНКО
доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, gir_608@mail.ru
Irina G. GNIDENKO
Associate Professor at the Department of Computer Systems and Programming, St. Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, gir_608@mail.ru
Ирина Владимировна ЕГОРОВА
доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, egorova1363@mail.ru
Irina V. YEGOROVA
Associate Professor at the Department of Computer Systems and Programming, St. Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, egorova1363@mail.ru
Ольга Дмитриевна МЕРДИНА
доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, oldmmer@gmail.com
Olga D. MERDINA
Associate Professor at the Department of Computer Systems and Programming, St. Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, oldmmer@gmail.com
Аннотация.
В статье обоснована актуальность повышения информационной безопасности предприятия с учетом постоянно увеличивающегося числа кибер-атак, осуществляемых извне на информационные системы. Приведены основные рекомендации для обнаружения и предотвращения кибератак.
© Гниденко И. Г., Егорова И. В., Мердина О. Д., 2021. I ПЕТЕРБУРГСКИЙ ЭКОНОМИЧЕСКИЙ ЖУРНАЛ • № 4 • 2021
Особое внимание уделено тестированию информационной безопасности предприятия и, в частности, тестированию программного обеспечения. Рассмотрены уязвимости программного обеспечения и методы его тестирования. Тестирование приложений на проникновение является одним из наиболее важных направлений совершенствования в системе информационной безопасности предприятия для защиты от кибератак.
Ключевые слова: цифровизация, информационная безопасность, предприятие, кибератака, мониторинг, тестирование безопасности, методы тестирования
Abstract.
The article substantiates the relevance of improving information security of enterprises, given the ever-increasing number of cyber-attacks on information systems carried out by outside agents. The main recommendations for detecting and preventing cyber-attacks are given in the article. A special attention is paid to testing information security of an enterprise and, in particular, software testing. The vulnerabilities of software and methods of its testing are considered. Penetrationresistance testing is one of the most important areas of improvement in information security systems of enterprises aimed at protection against cyber-attacks.
Keywords: digitalization, information security, enterprise, cyber-attack, monitoring, security testing, testing methods
Широко распространяемая в настоящее время концепция цифровизации представляет собой концепцию внедрения цифровых технологий в разные сферы жизни и производства. Экономика является важной сферой применения цифровизации в России. К ключевым направлениям цифровизации современного предприятия относятся: разработка новой цифровой бизнес-модели предприятия, управление жизненным циклом продукта, автоматизированный сбор, хранение, обработка и защита информации, управление производственными процессами, логистика, функции управления.
Уже сегодня эффекты, которые оказывает цифровизация на экономику, становятся все более очевидными. Так, эксперт Аналитического центра Андрей Чукарин, выступая на круглом столе «Цифровая зрелость региональных органов власти: оценка и стратегии развития» XII Международного ИТ-Форума с участием стран БРИКС и ШОС, отметил, что
«по прогнозу, ВВП России может вырасти на 23% к 2030 г. Половину роста должна обеспечить цифровизация экономики» [1].
Распространению цифровизации в экономике способствует все более широкое использование современных информационно-коммуникационных технологий. Так, «по подсчетам аналитиков, в 2020 г. вклад сектора ИКТ в экономику России составил 3,1%, это максимум за всю историю, в 2019 г. - 2,9%» [1].
В то же время цифровизация выявила и ряд проблем в программном обеспечении, используемых предприятиями, делающих их чрезвычайно уязвимыми перед кибератаками. Это затрагивает каждый сектор экономики, возможные последствия могут нарушить работу предприятий и повлечь финансовую ответственность.
Вопросы информационной безопасности становятся все более весомыми и значимыми в современных условиях, когда неизмеримо возрастает роль информационных технологий
и сети Интернет как для предприятий различных секторов экономики, так и в жизни отдельного человека. В последние несколько лет резко возросло количество кибератак на промышленные предприятия. Сфера промышленности является крайне привлекательной для злоумышленников по причине своей масштабности, важности для экономики всех стран и влияния на окружающую среду.
По оценкам специалистов Российской компании Positive Technologies, работающей в сфере информационной безопасности, число кибератак на промышленных предприятиях возросло по сравнению с 2019 г. на 91% [2].
Успешные кибератаки ведут к серьезным технологическим, финансовым и репутацион-ным потерям. В результате киберпреступле-ний без должных защитных мер и процедур российские промышленные предприятия несут огромные потери, которые могут достигать триллионы рублей. Виды потерь отражены на рисунке 1.
В результате исследования, проведенного корпоративным журналом «Страховой дом ВСК», было выявлено, что основная цель ки-берпреступников - получение данных (60%). Другой распространенной причиной было
названо получение финансовой выгоды (21%). Еще одной частой причиной является хакти-визм (16%) - это форма цифровой деятельности, направленная на выражение некоторой политической или общественной позиции, а не на получение личной выгоды [3].
Осенью 2021 г. компания Positive Technologies провела исследование по информационной безопасности (ИБ) в девяти секторах (промышленность, финансы, образование, государственный сектор, ТЭК, здравоохранение, телекоммуникации, СМИ, ИТ). В результате было выявлено, что только каждая пятая организация использует комплексные решения по информационной безопасности. При этом большинство организаций практически не защищены от угроз со стороны злоумышленников. На некоторых предприятиях нет даже антивирусов. [2]
В этих условиях руководители не только крупных предприятий, но и среднего и малого бизнеса наконец пришли к выводу о том, что старые методы защиты информации уже изжили себя и не дают требуемых результатов.
По оценкам российских специалистов в области кибербезопасности, основными мерами для обнаружения и предотвращения
Рисунок 1 - Виды потерь промышленных предприятий в результате кибератак Figure 1 - Types of losses experienced by industrial enterprises due to cyber-attacks
кибератак являются (рисунок 2): постоянный мониторинг системы информационной безопасности, оценка уровня уязвимости и тестирование приложений для проверки системы защиты информации [4].
Тестирование в контексте информационной безопасности является одной из основных мер для обнаружения и предотвращения кибератак нарушителей.
Под тестированием информационной безопасности (Security Testing) обычно понимается процесс выявления уязвимостей программного обеспечения, выявления и анализа рисков, связанных с соблюдением целостности информации, хранящейся в приложении, несанкционированного доступа к конфиденциальным данным с целью обеспечения поддержания объявленной функциональности приложения, защиты данных и предотвращения атак со стороны внутренних и внешних нарушителей.
Тестирование безопасности приложений должно включать меры для обеспечения следующих аспектов защиты:
• конфиденциальность - защита от несанкционированного доступа к информации;
• целостность - защита от внесения несанкционированных изменений;
• аутентификация - установление подлинности личности пользователя;
• авторизация - установление прав доступа к пользователям и ресурсам;
• доступность - обеспечение возможности получения информации санкционированными пользователями;
• безотказность - гарантия возможности получения и отправки сообщений.
Следует отметить, что тестирование безопасности приложений не гарантирует отсутствие недостатков в обеспечении безопасности системы, но позволяет повысить ее надежность и уберечь пользователя от ущерба, связанного с нарушением параметров защищенности информации. Поэтому тестирование безопасности обычно включается в общую систему тестирования программных продуктов.
Существует несколько разновидностей тестирования безопасности ПО [5; 6], основные из которых представлены на рисунке 3.
Каждый из видов тестирования решает определенную задачу в процессе обеспечения информационной безопасности.
Одним из признаков классификации является определение целей тестирования. Согласно этому признаку, выделяется тестирование на проникновение (Penetration Testing) и оценка защищенности (Vulnerability Assessment).
Тестирование на проникновение - это некая имитация атаки на систему с целью выявления ее недостатков. В процессе тестирования осуществляется попытка проникновения во внутреннюю инфраструктуру программного
Рисунок 2 - Меры для обнаружения кибератак на предприятия Figure 2 - Measures to detect cyber-attacks delivered against enterprises
приложения, получения контроля над внутренними ресурсами системы и обеспечения доступа к конфиденциальной информации. При этом моделируются возможные действия реальных нарушителей. В результате тестирования осуществляется проникновение в систему или делается вывод о невозможности такого проникновения. Таким образом удается получить оценку реального состояния информационной безопасности системы в текущий момент времени. Поэтому такое тестирование целесообразно проводить на ранних этапах жизненного цикла программного продукта, до фазы его внедрения.
Тестирование на проникновение требует небольшого времени (меньшего по сравнению с оценкой защищенности), оно способно оценить эффективность мер по защите от внешних угроз безопасности. Такое тестирование наиболее эффективно, если оно проводится до фазы внедрения программного обеспечения или развертывания, на ранних этапах жизненного цикла программного продукта [5].
Оценка защищенности подразумевает полную проверку безопасности программного обеспечения информационной системы. В ходе такого тестирования проводится скани-
рование уязвимостей, сканирование безопасности, оценка рисков нарушения безопасности информационной системы. В результате тестирования удается выявить недостатки конфигурации и уязвимости информационной системы, которые могут привести к ее взлому. Оценка рисков позволяет ранжировать все найденные уязвимости по их уровню и степени влияния на безопасность системы в целом. В результате проведенного анализа формулируются предложения по нейтрализации выявленных дефектов и снижению рисков информационной безопасности системы.
На основе проведенного тестирования осуществляется комплексная оценка состояния информационной безопасности и делается вывод об общем состоянии безопасности системы.
Уязвимости программного обеспечения, как правило, порождаются ошибками при его разработке. К наиболее часто возникающим ошибкам относятся:
1. Ошибки доступа к памяти.
Такие ошибки могут привести к повреждению памяти, а следовательно, к нарушению конфиденциальности и целостности хранимой в памяти информации. Ошибки памяти
Рисунок 3 - Виды тестирования безопасности программного обеспечения Figure 3 - Types of software security testing
могут быть использованы нарушителями для внедрения и запуска вредоносного программного кода.
Ошибки памяти часто возникают при использовании низкоуровневых методов программирования, связанных с работой с динамической памятью, и часто выявляются в приложениях, написанных на языке C/C++, позволяющих реализовывать подобные методы
2. Неопределенность параллелизма (race condition).
Данная ошибка возникает при осуществлении параллельного выполнения программного кода. Чаще всего уязвимость программного кода возникает при одновременном обращении нескольких потоков к одному и тому же ресурсу вычислительной системы, для которого не предусмотрена блокировка или синхронизация. В результате происходит несогласованный вывод данных, что может быть использовано злоумышленниками для организации взлома системы [7].
Подобные ошибки чаще всего возникают при создании вэб-приложений, а также в файловых системах, базах данных и других хранилищах данных
3. Уязвимости веб-приложений.
Веб-приложения наиболее часто используются злоумышленниками для организации атак, так как благодаря широкому распространению среди многочисленного круга пользователей позволяют быстро распространить вредоносное программное обеспечение.
Одними из самых распространенных уяз-вимостей вэб-приложений являются ошибки, допускающие возможность инъекций - проникновения вредоносного кода в виде запроса с целью нарушения конфиденциальности и целостности хранимых данных, а также нарушения доступности информации.
К уязвимостям вэб-приложений относятся также ошибки, допускающие межсай-товое выполнение скриптов, в результате чего появляется возможность внедрения вредоносного кода в страницу, выдаваемую веб-приложением. Такие ошибки позволяют злоумышленникам осуществлять выполнение вредоносных сценариев путем внедре-
ния ссылок. При нажатии на такую ссылку осуществляется доступ к авторизационным данным пользователей, перенаправление их на опасные вэб-сайты и т. д. [8].
Для предотвращения уязвимостей, связанных с ошибками при разработке вэб-приложений, следует соблюдать меры профилактики, заключающиеся в проверке всех входных данных (для предотвращения инъекций, использовании улучшенного контроля доступа с применением списков контроля доступа и ролевой аутентификации, проверке всех отображаемых веб-приложением данных.
4. Отказ в обслуживании.
Атаки с целью вызова отказа в обслуживании (БоБ и ББоэ) являются наиболее распространенными и легко осуществимыми. В результате осуществления такой атаки нарушается доступность информации: обмен данными с атакуемым узлом становится затруднительным или вообще невозможным. Помимо прочего в результате такой атаки может быть получена критическая информация, выдаваемая приложением в нештатной ситуации.
Для профилактики подобных уязвимостей требуется тщательная проверка и фильтрация вводимых данных на предмет содержания вредоносных скриптов.
Для обнаружения уязвимостей применяются различные методы тестирования, среди которых можно выделить три основных, различающихся количеством информации об исходном коде и программе в целом для тестировщика: это методы «белого», «черного» и «серого» ящика. Каждый из этих методов рассматривает процесс тестирования со своей точки зрения, поэтому не может быть использован в качестве единственного подхода. Но последовательное применение всех трех методов гарантирует качество результата.
Тестирование «белого ящика» требует полного доступа ко всему исходному коду приложения, а также ресурсам и спецификациям.
Тестирование «черного ящика», в отличие от «белого ящика», вообще не требует информации о внутренней структуре программы и является по своей сути слепым тестированием.
Тестирование «серого ящика» предполагает наличие некоторой неполной информации о структуре приложения, бинарных файлов программы и в некоторых случаях части основной документации [9; 10].
Тестирование «черного ящика», как правило, представляет собой ситуацию, когда тестировщик имеет доступ к готовому к использованию приложению и может подавать на ее вход те или иные данные, проверяя корректность ответа программы. «Черным ящиком» является конечное приложение, которое будет использовать пользователь. При подобном подходе тестирования тестировщику неизвестны внутренняя структура приложения и его дизайн. Поэтому такое тестирование является слепым.
При тестировании приложения методом «черного ящика» крайне важным является исчерпывающее входное тестирование с использованием максимально возможного количества тестовых сценариев. Данная необходимость обусловливается неизвестностью структуры программы и невозможностью эффективного сбора информации о покрытии кода.
Метод «черного ящика» используется при тестировании системы, тестировании интеграции, а также при приемочных испытаниях.
Под тестированием «белого ящика» (структурным тестированием, открытым тестированием) понимается процесс тестирования, учитывающий внутреннее устройство приложения или ее компонентов, и предусматривает тестирование ветвей, операторов, маршрутов кода с целью достижения его максимального покрытия.
Тестированием «белого ящика» в чистом виде является анализ исходного кода ПО. Такой анализ может производиться как вручную построчно, так и автоматически при помощи специального ПО. Целью такого тестирования является поиск подозрительного кода, который может вести к возникновению ошибки. В результате тестирования должна быть подтверждена работоспособность приложения. Любое отклонение от ожидаемых результатов может быть квалифицировано, как ошибка, нуждающаяся в исправлении
Важным преимуществом тестирования «белого ящика» по сравнению с тестированием «черного ящика» является возможность достижения 100%-го покрытия кода.
Тестирование приложения как «белого ящика» на предмет наличия уязвимостей предполагает, что у злоумышленника будут обширные знания о внутреннем устройстве программы.
Тестированием «серого ящика» является промежуточный вариант между «черным» и «белым ящиком». Такой метод может использоваться, когда тестировщик имеет больше информации о ПО, чем при тестировании «черного ящика», но при этом не имеет доступа к исходному коду или не ставит цель проводить тестирование «белого ящика».
В результате тестирования на поиск уяз-вимостей и внешних угроз в рамках мер по совершенствованию системы информационной безопасности предприятие получает ряд неоспоримых преимуществ, а именно: тестирование приложений выявляет потенциально самые серьезные угрозы, повышает уровень безопасности и целостности конфиденциальных данных и информационных активов предприятия.
: СПИСОК ИСТОЧНИКОВ
• 1. Цифровизация экономики может обеспечить значительный рост ВВП. 16 июня : 2021.URL: URL https://ac.gov.ru/news/page/cifrovizacia-ekonomiki-mozet-obespecit-
• znacitelnyj-rost-vvp-26952 (дата обращения: 02.11. 2121).
: 2. Актуальные киберугрозы: II квартал 2021 года. URL: https://www.ptsecurity.com/
: ru-ru/research/analytics/cybersecurity-threatscape-2021-q2/#id9 (дата обращения:
: 02.11.2121).
3. Каждая пятая атака кибермошенников приходится на госучреждения. URL: https:// www.vsk.ru/about/press_center/news/kazhdaya_pyataya_ataka_kibermoshennikov_ prihoditsya_na_gosuchrezhdeniya_16_zloumishlennikov_haktivisti_/ (дата обращения: 25.10.2121).
4. Информационная безопасность в компании. URL: https://www.tadviser.ru/index. php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%BD%D1% 84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%B D%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%8 1%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%B2_%D0%BA%D0%BE%D0% BC% (дата обращения: 05.11.2121).
5. Why Fuzzing is Your Friend For DevSecOps. URL: URL: https://gcn.com/ articles/2020/05/15/fuzzing-software-vulnerability-detec tion.aspx (дата обращения: 30.10.2121).
6. Классификация видов тестирования. URL: https://-academy.by/academy/news/ klassifikaciya-vidov-testirovaniya/ дата обращения: 05.11.2121).
7. What Is a Race Condition Vulnerability. URL: https://www.veracode.com/security/race-condition дата обращения: 02.11.2121).
8. Robert Hansen, Anton Rager, Seth Fogie, Jeremiah Grossman. XSS Attacks Cross Site Scripting Exploits and Defense. Syngress, 2020.
9. Саттон М., Грин А., Амини П. Fuzzing: исследование уязвимостей методом грубой силы: пер. с англ. СПб.: Символ-Плюс, 2009. 560 с.
10. Гниденко И. Г., Егорова И. В., Мердина О. Д. Интеллектуальные системы как вектор развития информационной безопасности предприятия // Петербургский экономический журнал. 2020. № 1. URL: https://cyberleninka.ru/article/n/intellektualnye-sistemy-kak-vektor-razvitiya-informatsionnoy-bezopasnosti-predpriyatiya (дата обращения: 22.11.2021).
References
1. Digitalization of the economy can provide significant GDP growth (2021). Analytical Center at the Government of the Russian Federation. Retrieved 2 November, 2021, from https://ac.gov.ru/news/page/cifrovizacia-ekonomiki-mozet-obespecit-znacitelnyj-rost-vvp-26952
2. Current cyber threats: Q2 2021 (2021). Positive technologies. Retrieved 2 November, 2021, from https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021-q2/#id9
3. One in every five cyber fraud attacks is aimed at state institutions (2021). VSK. Retrieved 25 October, 2021, from https://www.vsk.ru/about/press_center/news/kazhdaya_pyataya_ ataka_kibermoshennikov_prihoditsya_na_gosuchrezhdeniya_16_zloumishlennikov_ haktivisti_/
4. Information security in a company (n.d.). TADVISER. Retrieved 5 November, 2021, from https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C %D1%8F:%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D 0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0 %BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0% B2_%D0%BA%D0%BE%D0%BC%
5. Why fuzzing is your friend for DevSecOps (n.d.). GCN. Retrieved 30 October, 2021, from https://gcn.com/articles/2020/05/15/fuzzing-software-vulnerability-detection.aspx
6. Classification of test types (n.d.). International academy of undergraduate and graduate assistance. Retrieved 5 November, 2021, from https://-academy.by/academy/news/ klassifikaciya-vidov-testirovaniya/
7. What is a Race Condition Vulnerability (n.d.). Veracode. Retrieved 2 November, 2021, from https://www.veracode.com/security/race-condition
8. Grossman, J., Fogie, S., Hansen, R., Rager, A., & Petkov, P. D. (2007). XSS attacks: cross site scripting exploits and defense. Syngress.
9. Sutton, M., Green, A., & Amini, P. (2009). Fuzzing: Exploring vulnerabilities by brute force. SPb.-M.: Symbol-Plus.
10. Gnidenko, I. G., Egorova, I. V., & Merdina, O. D. (2020). Intelligent systems as a vector for the development of enterprise information security. St. Petersburg Economic Journal, (1). Retrieved 22 November, 2021, from https://cyberleninka.ru/article/n/intellektualnye-sistemy-kak-vektor-razvitiya-informatsionnoy-bezopasnosti-predpriyatiya
Статья поступила в редакцию 14.11.2021; одобрена после рецензирования 22.11.2021; принята к публикации 20.12.2021.
The article was submitted 14.11.2021; approved after reviewing 22.11.2021; accepted for publication 20.12.2021.
