пятница, 29 июля 2016 г.

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 2

Вводную часть вынес в отдельную статью чтобы не загружать читателей прописными истинами.

Часть 2. К сути
Так получилось, что каждая неожиданно опубликованная уязвимость в сертифицированном СЗИ обходится производителю достаточно дорого:
·         Если новая версия СЗИ находилась на сертификации (а это продолжительный процесс от 0.5 до 2х лет. Можно сказать, что у крупных производителей СЗИ всегда находятся на сертификации) и эта версия подвержена опубликованной уязвимости, то СЗИ автоматически снимается с сертификации и отправляется на доработку и потом на повторные испытания. В зависимости от сложности проблемы — это может отложить на 2-6 месяцев выход новой версии СЗИ на рынок. И время тут - деньги
·         Если СЗИ уже было сертифицировано, всё равно, после выпуска патча его надо отправить на инспекционный контроль, это дополнительные пара месяцев ожиданий и оплата услуг испытательной лаборатории от 100 до 500 тыс. руб.
·         Любое изменение в контрольных суммах сертифицированного СКЗИ – это уже новое СКЗИ, его запускаем на сертификацию как новое СКЗИ, а это уже подороже чем просто инспекционный контроль.
·         Дальше интереснее. Без бумажки сертифицированное СЗИ – не СЗИ. Изменение СЗИ влекут за собой изменения формуляра, ТУ, эксплуатационной документации. Все эти документы нужно донести до Заказчиков. Расходится бумажная волна.
·         А ещё есть большое количество заказчиков (особенно Госы) которые производили установку СЗИ с привлечением лицензиатов. Пока обновления СЗИ достаточно нетривиальные им приходится повторно привлекать лицензиата на каждое обновление. Если уязвимости начнут появляться каждый месяц – заказчики будут в расстройстве и могут даже захотеть поменять СЗИ.

И вот тут складывается ситуация, когда исследователь российского СЗИ может диктовать свои условия – получать вознаграждение за свою работу, получать благодарность от производителя и регулятора (популярность, поклонники…) а в ответ идти на уступки и не публиковать информацию об уязвимости сразу в открытый доступ.

Проблема с отсутствием дистрибутивов в открытом доступе – вполне решаемая: обращайтесь к сообществу – наверняка найдется заказчик, пользователь СЗИ которому будет интересно наличие уязвимостей, и он предоставит вам дистрибутив во временное пользование.

Что в такой ситуации предпринять производителям сертифицированных СЗИ? Не ждать пока вас поставят в неудобную позицию:
·         больше внимания уделять внутреннему тестированию безопасности СЗИ
·         публиковать программы поиска уязвимостей bug bounty
·         публиковать правила по обращению при обнаружении уязвимостей – указывайте там условия, которые будут и вас и исследователей (взаимная выгода)
·         возможно стоит сообществом производителей СЗИ совместно с регуляторами и представителями исследователей ИБ разработать политику ответственного разглашения информации об уязвимостях, которая будет компромиссом для всех. Выложить её на БДУ

 Как предложил в твиттере Артем Агеев – на БДУ нужно сделать Hall of Fame, раздел с благодарностями и отчетами, по которым можно будет оценить вклад отдельных исследователей ИБ и исследовательских организаций. Это позволит добавить нефинансовую мотивацию исследователям.  

И ещё такой момент. Все знают вендоров, у которых нашли уязвимость. Но ещё за проверку сертифицированных СЗИ несут ответственность испытательная лаборатория и орган по сертификации. Надо чтобы они тоже отвечали за пропущенные баги. Ну хотя бы так:
·         в случае с Secret Net – уязвимость при испытаниях не обнаружила - ЗАО "НПО "Эшелон"
·         в случае с Dallas Lock “отличились” ЗАО "Лаборатория ППШ" совместно с ЗАО "НПО "Эшелон"


1 комментарий:

ser-storchak комментирует...

К слову, Лаборатория Касперского запустила bug bounty http://www.kaspersky.ru/about/news/virus/2016/bug-bounty