Маркетинг и реальность
Действительно ли безопасна операционная система получившая сертификат
безопасности? Документация ничего не может сказать о качестве программного
обеспечения. Но она позволяет операционной системе чётко соответствовать
неадекватному набору требований.
На самом сайте Microsoft относительно получения сертификат Common Criteria
сказано следующее: «Независимое тестирование подтвердило высокий уровень
защищенности в широчайшем диапазоне реальных условий применения».
В настоящий момент 25 стран поддерживают стандарт. Common Criteria ISO 15408
уже является государственным стандартом России. Во многих правительственных
учреждениях наличие сертификата Common Criteria является обязательным условием
при поставке систем. Однако вокруг сертификатов безопасности общего применения
(возьмите для примера уровни EAL1-EAL4) сложилась опасная ситуация введения
пользователей в заблуждение. Стандарт Common Criteria является общепризнанной
независимой мерой оценки IT-продуктов с точки зрения безопасности, и
пользователи могут (и должны) руководствоваться им при выборе программного
продукта. Но не стоит забывать, что за словами «жёсткое и всестороннее
тестирование исходного кода для сертификации» подразумевается тестирование кода
в условиях, оговорённых заказчиком (создателем кода). Хакеры-гики не будут
заниматься экспериментальным взломом Windows 7, когда эта операционная система
будет передана на сертификацию. Уже через год-два новая система от Microsoft
получит уровень безопасности EAL4 (возможно, EAL5) и поступит в открытую
продажу. И здесь мы в первую очередь должны подумать о потребителях в
государственном секторе. Они (как и мы) должны быть уверенны в защищенности
программного продукта, основываясь не только на документации, но и на реальных
результатах практической эксплуатации.
NIST SP 800-39
«Managing Information Security Risk: Organization, Mission, and Information System View»
- предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков;
- ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
- риск-толерантность, т.е. терпимость к рискам — приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками;
- приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
- угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации;
- внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.;
- ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами;
- вероятность возникновения ущерба.
- инструменты, техники и методологии, используемые для оценки риска;
- допущения относительно оценки рисков;
- ограничения, которые могут повлиять на оценки рисков;
- роли и ответственность;
- способы сбора, обработки и передачи информации об оценке рисков в пределах организации;
- способы проведения оценки рисков в организации;
- частоту проведения оценки рисков;
- способы получения информации об угрозах (источники и методы).
- разработку возможных планов реагирования на риск;
- оценку возможных планов реагирования на риск;
- определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации;
- реализацию принятых планов реагирования на риск.
- проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ;
- определение текущей эффективности мер реагирования на риски;
- определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
На уровне организацииНа уровне бизнес-процессовНа уровне информационных систем
- принятие (acceptance) риска не должно противоречить выбранной стратегии риск-толерантности организации и её возможности нести ответственность за возможные последствия принятого риска;
- избегание (avoidance) риска является зачастую самым надежным способом обработки рисков, однако может идти вразрез с желанием компании широко применять ИТ-системы и технологии, поэтому рекомендованным подходом является целесообразный и всесторонне взвешенный выбор конкретных технологий и ИТ-сервисов;
- разделение (share) и передача (transfer) рисков — это соответственно частичное или полное разделение ответственности за последствия реализованного риска с внутренним или внешним партнером в соответствии с принятой стратегией, конечная цель которой — успешность бизнес-процессов и миссии организации;
- минимизация (или смягчение) (mitigation) рисков подразумевает применение стратегии минимизации рисков ИБ на всех трех уровнях организации и непосредственное задействование систем ИБ для смягчения возможных последствий реализации рисков. Организации следует выстраивать бизнес-процессы в соответствии с принципами защиты информации, архитектурные решения должны поддерживать возможность эффективной минимизации рисков, минимизация рисков в конкретных системах должна быть реализована с применением средств и систем защиты информации, а политики, процессы и средства ИБ должны быть достаточно универсальными и гибкими для применения их в динамичной и разнородной среде организации, с учетом непрерывно меняющегося ландшафта угроз ИБ.
Критерий выбора
Для понимания смысла использования Common Criteria важно знать как уровень
оценки EAL, так и проверявшиеся профили безопасности. К сожалению, пока выбор
систем государственного уровня основывается либо на утопических идеях (Поднимем
Россию с колен, построим «Русскую ось»!), либо на маркетинговых заявлениях
В госаппарте есть эксперты соответствующего уровня. В Америке давно решили,
что стоимость переобучения персонала на новую систему обойдётся дороже, чем
многомиллиардный контракт с Microsoft. В конечном счете, неужели сумма ущерба от
всех хакерских атак не перекрывает стоимость внедрения новых, более безопасных
информационных систем? Верится с трудом.
Уровни безопасности
В настоящий момент выделяют семь уровней безопасности. EAL1-EAL4 уровни
являются общими, для всех стран поддерживающих стандарт. Высшие уровни
EAL5-EAL7 индивидуально принимаются каждой страной для учёта национальных
особенностей защиты государственных секретов. Каждый уровень может получить
приставку «+» (например, EAL4+), что означает постоянный выпуск обновлений для
сертифицированного продукта.
EAL1 – требования к безопасности существуют, но уровень подразумевает
почти полное отсутствие угроз со стороны внешней среды. Проверка осуществляется
«формально», никакие «тестовые лаборанты» в код не заглядывают.
EAL2 – уровень безопасности предоставляет пользователям полную
информацию об архитектуре ПО. Однако и в этом случае проверка касается лишь
огромного количества документации, описывающей процесс работы программного
обеспечения.
Пример достижения:
JBoss Enterprise Application Platform – интегрированная платформа для
разработки Java-приложений,
Symantec Endpoint Protection 11.0 – базовая система защиты
EAL3 – софт проходит проверку на наличие типичных уязвимостей в
тестовой лаборатории, соответствующей стандарту Common Criteria.
Пример достижения:SuSE Linux
Enterprise Server.
EAL4 – наиболее полно описанный и стандартизированный уровень
«де-факто» для операционных систем. Поиск всех возможных уязвимостей с
дальнейшей процедурой их устранения. Пример достижения: Windows (2000-2008
Server, все версии),
Hewlett-Packard HP-UX, IBM
AIX и
Trusted Solaris – основанная на Solaris операционная система с
гарантированной безопасностью (используется модель принудительного контроля
доступа) компании Sun Microsystems.
EAL5-EAL7 – система проверена всеми возможными математическими
методами; узкоспециализированные стандарты, основанные на критериях безопасности
конкретных стран-участников.
Пример достижения:Integrity-178B
уровня EAL6+ — военная операционная система (использовалась в ВВС для управления
автоматикой новейших истребителей, а также в космических челноках NASA), первая
в мире получившая столь высокий рейтинг.
NIST SP 800-137
«Information Security Continuous Monitoring for Federal information Systems and Organizations»
- определения стратегии непрерывного мониторинга ИБ (включает в себя выстраивание стратегии на уровне организации, бизнес-процессов и информационных систем; назначение ролей и ответственных; выбор тестового набора систем для сбора данных);
- разработки программы непрерывного мониторинга ИБ (включает в себя определение метрик для оценки и контроля; выбор частоты проведения мониторинга и оценки; разработку архитектуры системы мониторинга);
- внедрения программы непрерывного мониторинга ИБ;
- анализа найденных недочетов и отчета о них (включает в себя анализ данных; отчетность по оценке мер защиты; отчетность по мониторингу статуса защиты);
- реагирования на выявленные недочеты;
- пересмотра и обновления стратегии и программы непрерывного мониторинга ИБ.
- поддержка ими большого количества источников данных;
- использование открытых и общедоступных спецификаций (например, SCAP — Security Content Automation Protocol);
- интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты;
- поддержка процесса анализа соответствия применимым законодательным нормам;
- гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных;
- поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.
тут
Процесс сертификации
Стандартизация и сертификация систем защиты основывается на комплексах
проведённых тестов. Тесты производятся в специальных лабораториях независимых
фирм-экспертов, одобренных по стандарту Common Criteria. Продукты оцениваются на
соответствие ряду функциональных критериев и критериев надежности – так
называемых Protection Profiles («профилей защиты»). Существуют различные
определения профилей защиты в отношении операционных систем, брандмауэров,
смарт-карт и прочих продуктов, которые должны удовлетворять определенным
требованиям в области безопасности. Стандарт Common Criteria также устанавливает
ряд гарантированных параметров соответствия Evaluation Assurance Levels (EAL),
используемых при оценке продуктов.
Тестируемый софт должен обладать полным описанием с перечислением
характеристик систем защиты продукта, которое должно ответить на вопрос, что
собственно делает системный код. Кроме того, устанавливается оценочный рейтинг
EAL, в соответствии с которым будет производиться тестирование продукта.
Тестовая лаборатория определит, соответствует ли заданный уровень защиты
заявленному профилю защиты. После этого специальная комиссия подтверждает
достоверность испытаний и выписывает сертификат Common Criteria.
Что это означает для таких пользователей как я и вы? Тоже, что и для
пользователей в самых секретных застенках государства. Производитель сам
определяет уровень угроз, которым подвергается продукт. Требования выставляется
в соответствии с уровнем. И на этот самый уровень производится сертификация (sic!).
Если уже после сертификации в продукте обнаружатся новые, неизвестные ранее
уязвимости, производитель должен выпустить обновление и провести повторную
сертификацию.
Зарождение стандарта
Обеспечение безопасности – важнейший фактор выбора программного обеспечения в
государственном секторе. Необходимость в существовании критериев безопасности
возникла на заре коммерческой эпохи использования операционных систем. В начале
80-х в США был разработан стандарт Trusted Computer System Evaluation
Criteria (TCSEC, более известный по названиям «Оранжевая книга», «Радужная
серия»). В конце 80-х европейские страны приняли свой стандарт Information
Technology Security Evaluation Criteria (ITSEC), в основу которого легли
положения TCSEC. В 1990 году Международная организация по стандартизации (ISO)
начала работу над общими критериями безопасности. Международные структуры,
принявшие участие в разработке, были не просто гражданскими институтами.
Взгляните на список: Агентство Национальной Безопасности (США), Учреждение
безопасности коммуникаций (Канада), Агентство информационной безопасности
(Германия), Органы исполнения программы безопасности и сертификации (Англия),
Центр обеспечения безопасности систем (Франция), Агентство национальной
безопасности коммуникаций (Нидерланды) – все они в той или иной степени имели
отношение к военным. Не случайное совпадение. Идея создания общих критериев
зародилась в недрах закрытого АНБ.
Десятилетиями АНБ применяла практику создания жёстко контролируемого,
безопасного кода, разрабатываемого годами, уровень уязвимости которого стремился
к нулю. Подобный подход не мог дать пользователям ни разнообразия в выборе
программ, ни красивых эффектов, которые так любят секретарши во всех
государственных учреждениях. Необходимость, а вернее – желание использовать
коммерческие продукты на службе у государства, подвигло АНБ к неизбежному:
продукты открытого рынка должны были пройти специальную программу тестирования.
Такой программой стал стандарт «Common
Criteria for Information Technology Security Evaluation» – общие
критерии безопасности информационных технологий.
Разработка стандарта завершилась в 1993 году. Спустя шесть лет Common
Criteria официально был признан международным стандартом широкого профиля
использования: помимо государственных учреждений руководствоваться им при выборе
информационных систем смогли и обычные потребители. Common Criteria включил
тесты для множества видов продуктов: межсетевых экранов, антивирусных систем,
систем обнаружения вторжения, операционных систем и т. д.
Общая концепция управления рисками ИБ
ВеличинаРиска=ВероятностьСобытия*РазмерУщербаВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
- Идентифицировать активы и оценить их ценность.
- Идентифицировать угрозы активам и уязвимости в системе защиты.
- Просчитать вероятность реализации угроз и их влияние на бизнес (англ. business impact).
- Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
прямымнепрямымПрямойНепрямойкачественныекосвенныеКачественнымиКосвенныетотальный рискостаточный рискколичественнымкачественнымколичественногоSLE=AssetValue*EFALE=SLE*ARO(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) — (ALE после внедрения мер защиты) — (Ежегодные затраты на реализацию мер защиты)качественногосписок различных методологий риск-менеджмента
Временные метрики
Степень зрелости доступных средств эксплуатации
| CVSSv2 | CVSSv3 |
|---|---|
| Название метрики | |
| Exploitability (E) | Exploit Code Maturity (E) |
| Возможные значения метрики | |
| Not Defined (ND/X) | |
| High (H) | |
| Functional (F) | |
| Proof-of-Concept (POC/P) | |
| Unproven (U) |
Доступные средства устранения уязвимости
| CVSSv2 | CVSSv3 |
|---|---|
| Название метрики | |
| Remediation Level (RL) | |
| Возможные значения метрики | |
| Not Defined (ND/X) | |
| Unavailable (U) | |
| Workaround (W) | |
| Temporary Fix (TF/T) | |
| Official Fix (OF/O) |
Степень доверия к информации об уязвимости
| CVSSv2 | CVSSv3 |
|---|---|
| Название метрики | |
| Report Confidence (RC) | |
| Возможные значения метрики | |
| Not Defined (ND) | Not Defined (X) |
| Unconfirmed (UC) | |
| Uncorroborated (UR) | |
| Unknown (U) | |
| Reasonable ( R ) | |
| Confirmed (С) | Confirmed (С) |
- Unknown — в существующих отчетах отсутствует описание причины уязвимости или различные исследователи расходятся относительно причин и возможных последствий эксплуатации;
- Reasonable — существуют отчеты об уязвимости, позволяющие судить о причинах уязвимости с достаточной степенью уверенности (например, в отчете приводится пример эксплуатирующего кода);
- Confirmed — уязвимость подтверждена производителем продукта или в свободном доступе находится полнофункциональный эксплойт.
Степень влияния временных метрик
CVE-2015-2373 — Уязвимость в сервисе Remote Desktop Protocol (RDP) операционной системы Windows позволяет удаленному атакующему выполнить произвольный код на системе путем отправки специально сформированных RDP-пакетов.
| Версия стандарта | CVSS-вектор | Базовая оценка | Итоговая оценка |
|---|---|---|---|
| CVSSv2 | AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C | 10.0 | 7.4 |
| CVSSv3 | 9.8 | 8.5 |
Насколько развилась безопасность гоночных болидов «Formula 1» за 60 лет.
Формула 1 самая дорогая и прогресивная ветвь автоспорта, она удостоена звания самой безопасной на планете. Очередным доказательством этому стала недавняя авария произошедшая на автогонках Гран При Австралии. Как же защищает болид своего пилота? Какие новейшие технологии для этого применяются и используются, как долго они развивались? На эти вопросы уважаемые друзья мы ответим в нашей сегодняшней статье.
С тех пор как первые гонщики Formula 1 появились и выехали на мировые автотреки на своих высокопроизводительных автомобилях, изменилось многое. И лишь один из главных моментов остался неизменным- это скорость, до которой разгоняются эти высокотехнологичные спортивные «снаряды» (болиды). Год от года гоночные болиды становятся все быстрее и динамичнее.
Как сказал великий автогонщик Фернандо Алонсо, пилоты «иногда забывают, что они едут со скоростью 300 км/ч», где ситуация в любой момент при малейшем незначительном столкновении может обернутся большой и серьезной аварией.
К счастью для испанского пилота и всего мирового автоспорта происошедшее происшествие на автогонках 2016 Formula 1 Australian Grand Prix было лишь «гоночным инцидентом» и не более того. По крайней мере такой термин использовал сам Алонсо для описания случившейся ситуации. Это явно показывает многим, насколько гонщики доверяют современным болидам Формулы 1 и насколько FIA (Международная автомобильная федерация) ужесточила регулирование правил безопасности.
Для кого-то из нас (вас) это покажется парадоксальным, но именно благодаря продуманности всех систем безопасности пилоты болидов осознанно идут на больший риск при гонках, разгоняют свои одноместные автомобили с открытыми колесами до огромных скоростей. Гораздо больших чем те, которые они могли бы себе позволить на менее безопасных болидах. За свою жизнь теперь гонщики могут не опасаться и смело идти к авто-подиуму.
К нашему счастью, эти инновационные технологии безопасности из Formula 1 просочились и в другие сферы направления автоспорта, а некоторые из них (технологии) в итоге можно теперь увидеть и на серийных автомобилях. Да, да друзья, то, что когда-то разрабатывалось для защиты жизни пилота болида со временем стало достоянием общих масс. Только не стоит уважаемые автомобилисты устраивать для этого краш-тесты, с разгона впечатывать свой новенький автомобиль 2016 модельного ряда в другую машину чтобы проверить действие защиты от Формулы 1. Давайте поверим автопроизводителям на слово. Тем более, что сравнивать серийную версию машины со спортивным автомобилем с высокопрочным монококом было бы неправильно. В нашем обозримом будущем гражданская «автокарета» всегда будет более уязвима, чем тот же спортивный «автоскакун».
