УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Применение методов анализа исходного кода при оценке защищенности информационных систем

        Применение методов анализа исходного кода при оценке защищенности информационных систем

        13 марта 2020
        Новости

        Автор: Константин Саматов

        Как правило, разработчики программных продуктов уделяют основное внимание функциональности и скорости доставки приложений в ущерб безопасности, что подтверждается различными исследованиями. При этом, следует отметить, что эксплуатация лишь одной уязвимости (например, выполнение произвольного кода) может привести к полному нарушению работоспособности и компрометации информационной системы. О том как этого избежать пойдет речь в данной статье.

        Современный подход к организации бизнес-процессов построен на широком использовании программных продуктов, в том числе на базе веб-технологий: официальные сайты, форумы, корпоративные порталы, интернет-магазины и аукционы, порталы услуг, электронные торговые площадки - стандартные элементы информационной инфраструктуры любой современной компании. Нарушение их штатного функционирования, вследствие реализации угроз информационной безопасности, может привести к существенным финансовым и репутационным потерям.

        Так, по данным исследователей компании Positive Technologies, злоумышленники активно используют уязвимости веб-сайтов: за 2019 год, 92% веб-приложений позволяют проводить атаки на пользователей, при этом 82% найденных уязвимостей связаны с ошибками при разработке кода. Бреши безопасности в 16% исследованных сайтов давали возможность контролировать не только само веб-приложение, но и сервер.

        Для того, чтобы этого избежать необходимо применение методов безопасной разработки и анализа безопасности исходного кода в процессе проектирования, создания и эксплуатации программного обеспечения. 

        Что такое анализ безопасности исходного кода и где он применяется?

        Анализ безопасности исходного кода – это анализ программного обеспечения на предмет выявления уязвимостей информационной безопасности, допущенных при его разработке.

        Существует три группы методов анализа исходного кода:

        • Динамические методы - методы анализа безопасности программного обеспечения, требующие выполнения программ на реальном или виртуальном процессоре, с доступом к исходному коду и среде его функционирования.
        • Статические методы – методы анализа безопасности программного обеспечения с доступом к исходному коду (или производным) приложения серверных и клиентских частей, но не требующие выполнения программ.
        • Гибридные методы – методы, совмещающие два предыдущих похода.

        Статические методы анализа исходного кода могут быть использованы при создании и эксплуатации программного обеспечения, а динамические на этапе ввода в эксплуатацию и в процессе эксплуатации.

        Алгоритм анализа безопасности исходного кода 

        В общем виде (без учета особенностей конкретного проекта или процесса) алгоритм анализа безопасности исходного кода можно представить в виде следующей последовательности шагов – рисунок 1.

        На практике анализ исходного кода широко применяется совместно с другим методами анализа защищенности и, нередко, является одной из стадий проекта по анализу защищенности информационных систем.

        Так, большинство проектов по анализу защищенности, с которыми приходилось сталкиваться автору, включали в себя следующие стадии:

        1.       Анализ защищенности методами «черного» и «серого ящика», т.е. динамический анализ безопасности программного обеспечения без доступа к исходному коду:

        • метод «черного ящика» направлен на поиск уязвимостей, использование которых позволяет злоумышленнику не имеющему никаких привилегий реализовать следующие виды угроз: получение несанкционированного доступа к информации, полного или частичного контроля над приложением и его использование для организации атак на рабочие места пользователей информационной системы;
        • метод «серого ящика» аналогичен предыдущему, с тем лишь исключением, что под злоумышленником подразумевается пользователь, обладающий определенным набором привилегий в информационной системе.
        2. Анализ защищенности методом «белого ящика» - динамический и статический анализ безопасности исходного кода.

        3. Разработка рекомендаций и итогового отчета.

        4. Проверка корректности устранения выявленных уязвимостей.

        В качестве конкретного примера подобного проекта, встречавшегося в практике автора, можно привести анализ защищенности Интернет-магазина, одного из наиболее распространенных на сегодняшний день видов информационных ресурсов - таблица 1.

        Основными проблемами, встречающимися в практике анализа исходного кода, являются следующие:

        • Отсутствие программ анализаторов исходного кода для некоторых языков программирования. В данном случае возможна лишь ручная проверка.
        • Отсутствие специалистов, владеющих конкретным языком программирования и имеющих представления о безопасности и безопасной разработке. В большинстве случаев, на практике, либо программисты не имеют особого понятия о механизмах защиты, либо специалисты по информационной безопасности плохо разбираются в программировании. Решением указанной проблемы служит только обучение.
        • Для динамических методов анализа необходимо уметь собирать приложения и разворачивать их на каком-нибудь стенде, что достаточно трудозатратно (в случае привлечения для анализа внешнего исполнителя), либо требует постоянного наличия вычислительных мощностей для тестового стенда.
        • При аутсорсинге (использовании услуг внешнего подрядчика) возникает следующая проблема: программы для анализа встраиваются в средства разработки и требуют, чтобы проект успешно собирался. Поэтому, для проведения работ, необходима организация полноценного рабочего места разработчика на территории подрядчика. В большинстве случаев это не просто и требует больших привилегий для подрядчика, т.к. рабочее место очень сильно завязывается на локальное окружение: какие-то репозитории доступны только изнутри сети, есть сложности в настройке и конфигурации средств разработки, документации по запуску и сборке может не быть.

            1 рисунок.png

        Рисунок 1. Алгоритм анализа безопасности исходного кода

        Таблица 1. Пример проекта по анализу защищенности Интернет-магазина

        Стадия/этап

        Состав работ (что делается?)

        Анализ защищенности Интернет-магазина методами «черного» и «серого» ящиков

        Сбор и анализ информации

        Сбор общедоступной информации о внешних ресурсах, данных об инфраструктуре (сетевых сервисах, операционных системах и прикладном программном обеспечении), сканирование сетевых портов, анализ сетевого взаимодействия, определение типов и версий сетевых сервисов и приложений по реакции на внешнее воздействие.

        Анализ защищенности

        Выявление уязвимостей Интернет-магазина и его инфраструктурных компонентов с использованием сканеров защищенности и специализированного программного обеспечения, а также ручная проверка доступного функционала.

        Подтверждение уязвимостей

        Моделирование атак на уровне сетевых сервисов и приложений, использование обнаруженных уязвимостей с целью оценки возможности получения несанкционированного доступа к защищаемой информации, попытки получения привилегированных прав и их эксплуатация.

        Анализ безопасности исходного кода Интернет-магазина

        Сбор информации, анализ архитектуры приложений

        На данном этапе изучается программное окружение и вся информационная система целиком. В частности, выполняются следующие действия:

        • определяются возможные угрозы;
        • проверяются настройки отдельных элементов системы на соответствие требованиям безопасности;
        • изучается архитектура, выявляются критичные элементы;
        • осуществляется мониторинг уязвимостей в сторонних компонентах.
        Основным результатом этого этапа является список критичных элементов системы. К критичным элементам относятся: 
        • механизмы валидации и нормализации вводимых данных;
        • механизмы аутентификации и авторизации;
        • механизмы криптозащиты;
        • механизмы защиты хранимых данных на предмет предотвращения несанкционированного доступа к аутентификационной и иной критичной информации;
        • протоколы обмена данными между клиентским и серверным программным обеспечением.
        Поиск уязвимостей с использованием специализированных автоматических анализаторов На данном этапе выполняется анализ исходного кода с помощью специализированного программного обеспечения (анализаторы исходного кода), позволяющего находить подозрения на уязвимости, которое осуществляет статический и динамический анализ исходного кода. Для разных языков и платформ могут использоваться различные анализаторы, которые специально подбираются для используемых технологий.
        Ручная проверка найденных подозрений на уязвимости и критичных элементов, выявление недокументированных возможностей в программном обеспечении На данном этапе проводится изучение критичных элементов системы и ранее найденных подозрений на уязвимости. В частности, выполняются следующие действия:
        • проверка наличия и работоспособности механизмов безопасности;
        • поиск недостатков и уязвимостей исходного кода, связанных с вызовом опасных функций языка программирования и (или) платформы;
        • проверка реализации механизмов защиты на соответствие рекомендациям безопасности языка программирования или платформы;
        • поиск синтаксических ошибок;
        • проверка наличия и работоспособности механизмов обработки входных данных;
        • поиск логических ошибок и логических «бомб»;
        • проверка реализации механизмов криптозащиты;
        • мониторинг зависимостей от общеизвестных уязвимостей.

        Разработка рекомендаций и подготовка отчета

        Разработка рекомендаций по устранению выявленных уязвимостей Перечень актуальных уязвимостей строится на основе рекомендаций производителей по безопасной конфигурации программного обеспечения, материалов свободных исследовательских групп по поиску уязвимостей, каталогов уязвимостей, в частности:
        • Computer Emergency Readiness Team (CERT);
        • Common Vulnerabilities and Exposures (CVE);
        • Web Application Security Consortium (WASC);
        • Open Source Vulnerabilities Database (OSVDB).
        Для каждой уязвимости описываются возможные последствия ее эксплуатации.
        Вырабатываются предложения по устранению уязвимостей, выявленных в ходе анализа защищенности, или снижения ущерба от их реализации.
        Подготовка отчета Как правило отчет содержит следующую информацию:
        • цель анализа защищенности;
        • состав и методика мероприятий по анализу защищенности;
        • перечень выявленных уязвимостей;
        • результаты эксплуатации выявленных уязвимостей;
        • рекомендации по устранению выявленных уязвимостей и повышению уровня защищенности.
        Проверка корректности устранения уязвимостей Проводится проверка наличия выявленных уязвимостей и оценка эффективности принятых мер по их нейтрализации. Подготавливается отчет о проверке корректности устранения выявленных уязвимостей.


        Подведем итоги: для надежной и корректной работы механизмов обеспечения безопасности в программном обеспечении необходимо регулярной проводить анализ исходного кода. При этом, для большего эффекта в части выявление уязвимостей, необходимо использовать гибридные методы анализа безопасности исходного кода: сочетание статических и динамических методов.

        __________________________________________________

        Сведения об авторе: Саматов Константин Михайлович, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

        Источник: Журнал «Information Security/ Информационная безопасность» #1, 2020

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы