вторник, 21 мая 2019 г.

ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays


С ФСТЭК в секции на PHDays 2019 обсуждали вопросы уязвимостей с техническим ИБ сообществом. Показали статистику за последние годы – 2х кратный рост в год.

 В середине прошлого года ФСТЭК опубликовали регламент раскрытия уязвимостей. Это не обязательный документ, но в общем он показывает типовой сценарий действий участников раскрытия уязвимостей. При необходимости и обосновании сроки могут продлеваться.



Более плотную работу с вендорами начали именно после принятия регламента. Сейчас есть более 60 уязвимостей «нулевого дня» по которым вендоры долго не реагируют – в ближайшее время будут публиковать без отработки вендором (в урезанном объёме).

ФСТЭК жаловался, что в 2016 году разработали стандарт по безопасной разработке, а к 2019ому можно по пальцам пересчитать количество компаний, задекларировавших его применение.

В рамках обсуждения от участников звучали идеи:
·       указать на сайте ФСТЭК контактов вендоров для оперативной связи при обнаружении информации об уязвимости (что-то подобноенедавно предлагал в блоге)
·       убрать пункт об отказе вендора в устной форме
·       включить в НПА к операторам и лицензиатам сообщать об уязвимостях
·       иногда когда раскрывается уязвимость в продукте одного вендора не учитывается возможность наличия аналогичной уязвимости в продуктах другого вендора

Ответы на заранее подготовленные и живые вопросы от аудитории:
·       откуда берут данные? из открытых источников с использованием ИИ, также из анализа исходного кода
·       как обеспечат качественный анализ уязвимостей для сертифицированных СЗИ – будут повышать требования для спецов испытательных лабораторий; подготовили специальный курс
·       какие риски у исследователей? Для занимающихся противоправной деятельность – есть риск
·       заимствование информации? Оно конечно есть, особенно по западным вендорам; но есть и уникальный контент, особенно по российским производителям
·       кто проверяет актуальность информации? ФСТЭК, их институт, привлекаемые организации
·       будет ли связь уязвимостей с угрозами? Да, но в этом году будут прорабатывать структурирование угроз (видят недостатки), а в следующие уже будут делать связь с уязвимостями
·       что с проектом методики моделирования угроз от 2015? Когда утвердим узнаете. Задача есть, сроков назвать не могу.   На конференции большое количество специалистов, которые и без ФСТЭК знают, как моделировать угрозы.
·       как происходит сертификация Windows 10? Никак. Обратитесь к разработчику Microsoft – они вам подскажут. Позиция ФСТЭК до них доведена. Проблема в сборе телеметрии.


Комментариев нет: