пятница, 29 июля 2016 г.

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 1

Часть 1. Вводная (вынес сюда прописные истины, всем известные)

До недавнего времени добропорядочные исследователи безопасности (white hat) фактически не занимались исследованиями безопасности российских средств защиты информации. Связано это было с рядом факторов:
·         важная часть нормативных документов (например, недавние требования к МЭ), требований регуляторов к СЗИ недоступна широкому кругу исследователей – доступ получают только разработчики СЗИ – лицензиаты ФСТЭК и ФСБ; а значит не заинтересованы в привлечении широкого круга лиц

·         испытательные лаборатории – только выполняют формальную проверку соответствия функций СЗИ – требованиям регулятора и в лучшем случае проходят сканнером уязвимостей. В детальном ручном поиске уязвимостей они не заинтересованы, так как основной показатель и критерий их работы (почему производители обращаются к данным ИЛ) это: быстрые сроки испытаний, качественно подготовленная документация (которая точно устроит орган сертификации) и выполнение всех формальных процедур. В ручном поиске уязвимостей, в поиске нестандартных уязвимостей ИЛ не заинтересованы

·         производители СЗИ не заинтересованы в привлечении сторонних экспертов для поиска уязвимостей:
o   ни один российский производитель СЗИ не проводил программ bug bounty
o   ну у одного производителя нет четкой программы работы с обращениями об уязвимостях
o   большинство производителей не предоставляет тестовые или финальные дистрибутивы СЗИ (только платные дистрибутивы для действующих заказчиков)
o   если производитель и предоставляет СЗИ на тестирование, то под подписку о неразглашении информации (NDA)
o   даже если уязвимость в СЗИ обнаруживалась, информация об этом передавалась на техподдержку производителя, то уходили годы прежде чем она была исправлена

В результате большинство российских исследователей, не видя возможности получить хоть какую-то выгоду от тестирования безопасности СЗИ, уходили заниматься иностранными производителями, участвовали в зарубежных программах bug bounty, публиковались и зарабатывали репутацию на иностранных CVE. Сложилось общественное мнение что в российских СЗИ имеется большое количество багов и уязвимостей, стоит только копнуть и сразу найдешь пачку, да только вот копать никому не хочется.

Но последние год-два ситуация стала меняться:
·         в основном силами ФСТЭК России, которые запустили гос. Банк данных угроз, на мероприятиях по ИБ регулярно призывают исследователей к сотрудничеству

·         ФСТЭК России показали, что эти призывы – не пустые слова: по всем случаям добавления в БДУ информации об уязвимостях в российских СЗИ было обеспечена оперативная реакция со стороны производителя, выпущены обновления, отправлены на контроль эффективности в ИЛ, вносятся изменения в документацию сертифицированных СЗИ, опубликована информация об уязвимости как на сайте производителя, так и на сайте ФСТЭК России – вспомним прошлые про Cisco и Secret Net и недавнее про Dallas Lock.

·         Появились заказчики, которые заинтересованы в отсутствии уязвимостей в СЗИ которые составляют их систему защиты.


Продолжение в части 2.

Комментариев нет: