Positive Technologies поставил испытательной лаборатории ФСТЭК анализатор исходного кода

Positive Technologies поставил ФСТЭК анализатор исходного кода

Александр Панасенко 07 Октября 2015 - 19:24

Государство

Positive Technologies

Средства поиска уязвимостей

Сканеры исходного кода

Нарушение целостности информации

...

Positive Technologies поставил ФСТЭК анализатор исходного кода

Испытательная лаборатория Института инженерной физики, аккредитованная в системах сертификации ФСТЭК, ФСБ и Минобороны России, объявила о внедрении системы анализа исходного кода PT Application Inspector в свою инфраструктуру для тестирования и сертификации средств защиты информации.

Продукт компании Positive Technologies поможет одной из крупнейших российских лабораторий автоматизировать процесс выявления уязвимостей при контроле недекларированных возможностей (НДВ) — в соответствии с новыми требованиями и рекомендациями ФСТЭК.

Согласно последним нормативам ФСТЭК, при сертификации защитного ПО испытательным лабораториям необходимо не только контролировать отсутствие НДВ (функциональных возможности средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации), но и осуществлять поиск уязвимостей — недостатков защищенности, вызванных ошибками проектирования и разработки.

Олег Матыков, руководитель отдела проектных решений Positive Technologies:

«Требование о поиске уязвимостей отражает более современный, практический взгляд на безопасность. Классическое представление о "недокументированных возможностях" связано с изучением функций продукта и проверкой их на соответствие заявленным в документации. Но даже если приложение работает правильно с точки зрения функциональности и не содержит "закладок", это не гарантирует его защищенности в реальной ситуации. Изначально не замеченные ошибки кода и конфигурации, слабые механизмы аутентификации и другие внутренние недостатки системы могут приводить к сбоям, утечкам, нарушению целостности и доступности. А с развитием целенаправленных атак даже небольшая уязвимость может стать частью многоступенчатой схемы промышленного шпионажа или саботажа. Именно поэтому ФСТЭК указывает на необходимость поиска всех возможных уязвимостей, а не только НДВ».

В настоящее время ФСТЭК рекомендует лабораториям проводить анализ уязвимостей даже на низких уровнях контроля (НДВ 4), а в сертификации программного обеспечения по второму уровню НДВ данная процедура является обязательной. При этом на всех уровнях контроля НДВ регулятор предписывает применение, в том числе, сигнатурного анализа кода.

«Сигнатурный анализ является одним из важнейших этапов сертификации, так как именно с ним связано большинство случаев выявления НДВ, — продолжает Олег Матыков. — Но большинство анализаторов кода, используемых при сертификации, проводят такой анализ самым простым методом поиска по шаблону (pattern matching), что вкупе с астрономическим количеством ложных срабатываний сильно снижает практическую ценность этой процедуры. В системе анализа исходного кода PT Application Inspector применяется комбинация методов DAST, SAST и IAST, что позволяет радикально уменьшить количество ложных срабатываний и разглядеть опасные уязвимости».

В 2015 году исследователи обнаружили немало уязвимостей в распространенных средствах защиты информации. Так, команда экспертов по безопасности Google в июне опубликовала отчет о серьезной уязвимости в антивирусе ESET NOD32, а в сентябре обнародовала информацию о 8 уязвимостях в «Антивирусе Касперского», которые позволяли удаленное выполнение кода. Кроме того, в сентябре специалисты немецкой ERNW опубликовали отчет о пяти уязвимостях, найденных в продукте Malware Protection System компании FireEye. Одна из этих уязвимостей позволяла злоумышленникам получить доступ к системе, на которой MPS была установлена.

Михаил Федоров, старший консультант PositiveTechnologies:

«Большинство уязвимых мест являются следствием ошибок, которые непреднамеренно возникают при проектировании и разработке программного обеспечения. И если ошибки безопасности начнут искать не только на этапах сертификации, интеграции, обновления, но и при разработке, проще станет и органам аттестации, и производителям, и пользователям. Система PTApplicationInspectorстала одним из первых российских средств для практического внедрения SDLC — и пока по своим возможностям не имеет альтернатив, хотя я надеюсь, что важность данной области ИБ вскоре осознают все отраслевые игроки. Во всяком случае, это понимают во ФСТЭК, где подготовили современный национальный стандарт по безопасной разработке ПО для средств защиты информации: в нем есть и code review, и vulnerability assessment, причем Виталий Лютиков на недавней выставке InfoSecurity Russia 2015 назвал отсутствие процедур безопасной разработки российских СЗИ одной из пяти главных проблем в сфере информационной безопасности».

В системе PT Application Inspector удалось скомбинировать статический анализ с частичным и полным выполнением программ, благодаря использованию символических вычислений и интерактивной трассировки части приложения в виртуальной «песочнице». Это позволяет обрабатывать динамические зависимости, раскрывать функции и классы, специфичные для библиотек и фреймворков, — и в целом моделировать прохождение потока данных через логическую схему приложения. Использование такого подхода дает возможность анализа как частичного исходного кода, так и полностью собранного и развернутого приложения, а также обеспечивает снижение числа ложных срабатываний за счет учета «контекста» и широкое покрытие кода приложения.

Владимир Потапов, начальник группы анализа недекларированных возможностей Института инженерной физики:

«Специалисты нашей лаборатории искали отечественный инструмент для обнаружения уязвимостей в исходном коде, но с принципиально новыми технологиями, которые, в отличие от простого поиска по шаблонам, позволяют вычислять уязвимости, уникальные для сертифицируемого средства защиты. Именно таким инструментом оказался продукт компании Positive Technologies — Application Inspector, предназначенный для анализа безопасности исходного кода приложений путем использования комбинации методов статического, динамического и интерактивного анализа. Особенностью PT AI, которая выделяет его среди всех известных инструментов этого класса, является генерация скриптов для подтверждения наличия обнаруженных уязвимостей (эксплойтов). Стоит отметить и полноценную возможность анализа основных популярных языков программирования, используемых для создания современных веб-приложений. Уровень точности обнаружения уязвимостей с использованием PT AI позволил нашему институту вывести контроль НДВ при испытательных работах по сертификации средств защиты на новый качественный уровень».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 14 Мая 2024 - 20:54

Solar Dozor Корпорации Системы защиты от утечек конфиденциальной информации (DLP)Агентские DLP-системы Сетевые DLP-cистемы Системы мониторинга событий безопасности Системы анализа поведения пользователей (UBA)Системы поведенческой аналитики пользователей и сущностей (UEBA) ГК «Солар»

Вышел Solar Dozor 7.12 с новым уровнем контроля графической информации

ГК «Солар» представила новую версию DLP-системы Solar Dozor с улучшенными инструментами контроля передачи графической информации и визуализацией маршрута движения документа.

Solar Dozor – лидирующая DLP-система на рынке информационное безопасности, широко применяемая ведущими организациями России и СНГ на протяжении нескольких десятков лет. Система оперативно дорабатывается под запросы заказчиков, и способна обрабатывать до 150 млн сообщений в месяц для предотвращения утечек конфиденциальной информации, выявления признаков корпоративного мошенничества и превентивного обнаружения потенциальных угроз.

Новая версия 7.12 пополнилась актуальными функциями – появилась возможность распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников. Это реализовано на базе технологии оптического распознавания символов (optical character recognition, OCR), которая извлекает текст из файлов основных распространённых графических форматов, таких как bmp, gif, jpg (включая jpeg, jpe, jfif), png, tif/ tiff, а также из изображений pdf-файлов. Анализ содержимого таких файлов теперь осуществляется сразу на агенте, что позволяет более оперативно реагировать на нарушения и блокировать попытки утечки через различные каналы, такие как буфер обмена, съемные носители, файловые хранилища.

Также в обновленном Solar Dozor была усовершенствована система защиты графических файлов от утечек без потери производительности. Технология распознавания графических объектов (банковских карт, паспортов, круглых и треугольных печатей) теперь может работать на серверах с графическими процессорами GPU. При использовании GPU среднее количество обрабатываемых изображений в секунду увеличилось с 0,1-3 до 55-135 по сравнению с центральным процессором CPU, что делает возможным использовать для обработки графических данных один сервер вместо нескольких. Это позволяет компаниям увеличить скорость работы DLP-системы, сохраняя высокий уровень производительности, а также сэкономить на инфраструктурных затратах.

Кроме того, в версии 7.12 для графических объектов добавлен новый класс защиты: выявление технических чертежей, оформленных по ГОСТу. Эта функция будет важна для организаций, занимающихся проектированием, производством или научно-техническими разработками.

Новая функция визуализации маршрута документа позволяет отслеживать перемещение файлов от одного участника коммуникации к другому через различные каналы. Отчет в графическом виде отображает информацию об отправителях и получателях документа, а также реквизиты сообщений, съемных носителей, принтеров и сетевых ресурсов, связанных с обработкой документа в указанный период времени. Кроме того, отчёт подсвечивает события безопасности, связанные с искомым документом. Маршрут движения является важным инструментом для служб информационной, экономической и внутренней безопасности при проведении расследований инцидентов. Этот маршрут позволяет оперативно выявить участников переписки, источник распространения конфиденциальной информации и путь её утечки.

«В рамках трека импортозамещения, Solar Dozor теперь поддерживает работу сервера и агентов на ОС Астра Linux 1.7 с включенным механизмом мандатного управления доступом, обеспечивая надежную работу в условиях повышенных требований к безопасности обработки конфиденциальной информации. Серверная и агентская части нашего продукта также совместимы с операционной системой Alt Linux 10, одной из наиболее популярных импортонезависимых ОС», – отметил Дмитрий Мешавкин, руководитель продукта Solar Dozor ГК «Солар».

В новой версии также расширен список поддерживаемых российских коммуникационных сервисов и добавлена возможность контролировать обмен информацией через популярный облачный почтовый сервис Яндекс 360.

Значительные изменения коснулись обеспечения безопасности использования продукта в ИТ-инфраструктуре. Так, усилена защита от несанкционированного доступа в систему: добавлена двухфакторная аутентификация и блокировка учетной записи после трех неудачных попыток ввода пароля.

В версии 7.12 продолжили планомерный перевод интерфейса на Angular: обновлены зоны «Пользователи» и «Информационные объекты».