СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 1
Часть 1. Вводная (вынес сюда
прописные истины, всем известные)
До недавнего времени добропорядочные
исследователи безопасности (white hat)
фактически не занимались исследованиями безопасности российских средств защиты
информации. Связано это было с рядом факторов:
·
важная часть нормативных документов (например,
недавние требования к МЭ), требований регуляторов к СЗИ недоступна широкому
кругу исследователей – доступ получают только разработчики СЗИ – лицензиаты ФСТЭК
и ФСБ; а значит не заинтересованы в привлечении широкого круга лиц
·
испытательные лаборатории – только выполняют
формальную проверку соответствия функций СЗИ – требованиям регулятора и в лучшем
случае проходят сканнером уязвимостей. В детальном ручном поиске уязвимостей
они не заинтересованы, так как основной показатель и критерий их работы (почему
производители обращаются к данным ИЛ) это: быстрые сроки испытаний, качественно
подготовленная документация (которая точно устроит орган сертификации) и выполнение
всех формальных процедур. В ручном поиске уязвимостей, в поиске нестандартных
уязвимостей ИЛ не заинтересованы
·
производители СЗИ не заинтересованы в привлечении
сторонних экспертов для поиска уязвимостей:
o
большинство производителей не предоставляет тестовые
или финальные дистрибутивы СЗИ (только платные дистрибутивы для действующих
заказчиков)
o
если производитель и предоставляет СЗИ на тестирование,
то под подписку о неразглашении информации (NDA)
o
даже если уязвимость в СЗИ обнаруживалась,
информация об этом передавалась на техподдержку производителя, то уходили годы
прежде чем она была исправлена
В результате большинство российских
исследователей, не видя возможности получить хоть какую-то выгоду от
тестирования безопасности СЗИ, уходили заниматься иностранными производителями,
участвовали в зарубежных программах bug bounty, публиковались и зарабатывали репутацию на иностранных CVE. Сложилось общественное
мнение что в российских СЗИ имеется большое количество багов и уязвимостей,
стоит только копнуть и сразу найдешь пачку, да только вот копать никому не
хочется.
Но последние год-два ситуация
стала меняться:
·
в основном силами ФСТЭК России, которые запустили
гос. Банк данных угроз, на мероприятиях по ИБ регулярно призывают
исследователей к сотрудничеству
·
ФСТЭК России показали, что эти призывы – не пустые
слова: по всем случаям добавления в БДУ информации об уязвимостях в российских
СЗИ было обеспечена оперативная реакция со стороны производителя, выпущены
обновления, отправлены на контроль эффективности в ИЛ, вносятся изменения в
документацию сертифицированных СЗИ, опубликована информация об уязвимости как
на сайте производителя, так и на сайте ФСТЭК России – вспомним прошлые про Cisco и
Secret Net и недавнее про Dallas Lock.
·
Появились заказчики, которые заинтересованы в
отсутствии уязвимостей в СЗИ которые составляют их систему защиты.
Продолжение в части 2.
Комментарии