Публикации
2023 г. – новый этап практического применения CXL, статья
VMware сдвигает акцент в проекте Capitola на CXL, статья
Dell Validated Design for Analytics — Data Lakehouse: интегрированное хранилище данных, статья
OCP Global Summit: решения для Computational Storage и компонуемых масштабируемых архитектур, статья
Samsung CXL MemoryySemantic SSD: 20M IOPs, статья
UCIe – открытый протокол для взаимосвязи чиплетов и построения дезагрегированных инфраструктур, статья
Omni-Path Express – открытый интерконнект для экзафлопных HPC/AI-систем, статья
GigaIO: CDI_решение на базе AMD для высшего образования, статья
Энергоэффективные ЦОД на примерах решений Supermicro, Lenovo, Iceotope, Meta, статья
От хранилищ данных и “озер данных” к open data lakehouse и фабрике данных, статья
EuroHPC JU развивает НРС-экосистему на базе RISC-V, статья
LightOS™ 2.2 – программно-определяемое составное блочное NVMe/TCP хранилище, статья
End-to-end 64G FC NAFA, статья
Computational Storage, статья
Технология KIOXIA Software-Enabled Flash™, статья
Pavilion: 200 млн IOPS на стойку, статья
CXL 2.0: инновации в операциях Load/Store вводаавывода, статья
Тестирование референсной архитектуры Weka AI на базе NVIDIA DGX A100, статья
Fujitsu ETERNUS CS8000 – единая масштабируемая платформа для резервного копирования и архивирования, статья
SmartNIC – новый уровень инфраструктурной обработки, статья
Ethernet SSD, JBOF, EBOF и дезагрегированные хранилища, статья
Compute, Memory и Storage, статья
Lenovo: CXL – будущее серверов с многоуровневой памятью , статья
Liqid: компонуемые дезагрегированные инфраструктуры для HPC и AI, статья
Intel® Agilex™ FPGA, статья
Weka для AI-трансформации, статья
Cloudera Data Platform – “лучшее из двух миров”, статья
Fujitsu ETERNUS DSP - разработано для будущего, статья
Технологии охлаждения для следующего поколения HPC-решений, статья
Что такое современный HBA?, статья
Fugaku– самый быстрый суперкомпьютер в мире, статья
НРС – эпоха революционных изменений, статья
Новое поколение СХД Fujitsu ETERNUS, статья
Зональное хранение данных, статья
За пределами суперкомпьютеров, статья
Применение Intel® Optane™ DC и Intel® FPGA PAC, статья
Адаптивные HPC/AI-архитектуры для экзаскейл-эры, статья
DAOS: СХД для HPC/BigData/AI приложений в эру экзаскейл_вычислений, статья
IPsec в пост-квантовую эру, статья
LiCO: оркестрация гибридныхНРС/AI/BigData_инфраструктур, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
Система анализа исходного кода компании Positive Technologies поможет испытательной лаборатории ФСТЭК России находить уязвимости в средствах защиты информации

7, октябрь 2015  —  Испытательная лаборатория Института инженерной физики, аккредитованная в системах сертификации ФСТЭК, ФСБ и Минобороны России, объявила овнедрении системы анализа исходного кода PTApplicationInspector в свою инфраструктуру для тестирования и сертификации средств защиты информации. Продукт компании PositiveTechnologies поможет одной из крупнейших российских лабораторийавтоматизироватьпроцессвыявления уязвимостей при контроле недекларированных возможностей (НДВ)— в соответствии с новыми требованиями и рекомендациями ФСТЭК.

Согласно последним нормативам ФСТЭК,при сертификации защитного ПО испытательным лабораториям необходимоне только контролировать отсутствие НДВ (функциональных возможности средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации), но иосуществлять поискуязвимостей — недостатков защищенности, вызванных ошибками проектирования и разработки.

Олег Матыков, руководитель отдела проектных решений Positive Technologies:

«Требование о поиске уязвимостей отражает более современный, практический взгляд на безопасность. Классическое представление о "недокументированных возможностях" связано с изучением функций продукта и проверкой их на соответствие заявленным в документации. Но даже если приложение работает правильно с точки зрения функциональности и не содержит "закладок", это не гарантирует его защищенности в реальной ситуации. Изначально не замеченные ошибки кода и конфигурации, слабые механизмы аутентификации и другие внутренние недостатки системы могут приводить к сбоям, утечкам, нарушению целостности и доступности. А с развитием целенаправленных атак даже небольшая уязвимость может стать частью многоступенчатой схемы промышленного шпионажа или саботажа. Именно поэтому ФСТЭК указывает на необходимость поиска всех возможных уязвимостей, а не только НДВ».

В настоящее время ФСТЭК рекомендует лабораториям проводить анализ уязвимостей даже на низких уровнях контроля (НДВ 4), ав сертификации программного обеспечения по второму уровню НДВ данная процедура является обязательной. При этом на всех уровнях контроля НДВ регулятор предписывает применение, в том числе, сигнатурного анализа кода.

«Сигнатурный анализ является одним из важнейших этапов сертификации, так какименно с ним связанобольшинство случаев выявления НДВ, — продолжает Олег Матыков . —Но большинство анализаторов кода, используемых при сертификации, проводят такой анализ самым простым методом поиска по шаблону (pattern matching), что вкупе с астрономическим количеством ложных срабатываний сильно снижает практическую ценность этой процедуры.В системе анализа исходного кода PT Application Inspector применяется комбинация методов DAST, SAST и IAST, что позволяет радикально уменьшить количество ложных срабатываний и разглядеть опасные уязвимости».

В 2015 году исследователи обнаружили немало уязвимостей в распространенных средствах защиты информации. Так, команда экспертов по безопасности Google в июне опубликовала отчет о серьезной уязвимости в антивирусе ESET NOD32, а в сентябре обнародовала информацию о 8 уязвимостях в «Антивирусе Касперского», которые позволяли удаленное выполнение кода. Кроме того, в сентябре специалисты немецкой ERNW опубликовали отчет о пяти уязвимостях, найденных в продукте Malware Protection System компании FireEye. Одна из этих уязвимостей позволяла злоумышленникам получить доступ к системе, на которой MPS была установлена.

Михаил Федоров, старший консультант PositiveTechnologies :

«Большинство уязвимых мест являются следствием ошибок, которые непреднамеренно возникают при проектировании и разработке программного обеспечения. И если ошибки безопасности начнут искатьне только на этапах сертификации, интеграции, обновления, но и при разработке, проще станет и органам аттестации, и производителям, и пользователям. Система PTApplicationInspector стала одним из первых российских средств для практического внедрения SDLC — и пока по своим возможностям не имеет альтернатив, хотя я надеюсь, что важность данной области ИБ вскоре осознают все отраслевые игроки. Во всяком случае, это понимают во ФСТЭК, где подготовили современный национальный стандарт по безопасной разработке ПО для средств защиты информации:в нем есть и code review, и vulnerability assessment, причем Виталий Лютиков на недавней выставке InfoSecurity Russia 2015 назвал отсутствие процедур безопасной разработки российских СЗИ одной из пяти главных проблем в сфере информационной безопасности».

В системе PTApplicationInspector удалось скомбинировать статический анализ с частичным и полным выполнением программ, благодаря использованию символических вычислений и интерактивной трассировки части приложения в виртуальной «песочнице». Это позволяет обрабатывать динамические зависимости, раскрывать функции и классы, специфичные для библиотек и фреймворков, — и в целом моделировать прохождение потока данных через логическую схему приложения. Использование такого подхода дает возможность анализа как частичного исходного кода, так и полностью собранного и развернутого приложения, а также обеспечивает снижение числа ложных срабатываний за счет учета «контекста» и широкое покрытие кода приложения.

Владимир Потапов, начальник группы анализа недекларированных возможностейИнститута инженерной физики:

«Специалисты нашей лаборатории искали отечественный инструментдля обнаружения уязвимостей в исходном коде, но с принципиально новыми технологиями, которые, в отличие от простого поиска по шаблонам, позволяют вычислять уязвимости, уникальные для сертифицируемого средства защиты. Именно таким инструментом оказался продукт компании Positive Technologies — Application Inspecto r , предназначенный для анализа безопасности исходного кода приложений путем использования комбинации методов статического, динамического и интерактивного анализа. Особенностью PT AI, которая выделяет егосреди всех известных инструментов этого класса,является генерация скриптов для подтверждения наличия обнаруженных уязвимостей (эксплойтов). Стоит отметить и полноценную возможность анализаосновных популярных языков программирования, используемых для созданиясовременных веб-приложений.Уровень точности обнаружения уязвимостей с использованием PT AI позволил нашему институту вывести контроль НДВ при испытательных работах по сертификации средств защиты на новый качественный уровень».

О компании

PositiveTechnologies — лидер в области противодействия кибератакам. Штаб-квартиры компании расположены в Москве, Лондоне, Бостоне. Основные направления деятельности PositiveTechnologies: изучение современных угроз безопасности, выработка подходов и создание продуктов и услуг для борьбы со взломом информационных систем. Деятельность компании лицензирована ФСТЭК и ФСБ. Благодаря многолетним исследованиям специалисты PositiveTechnologies заслужили репутацию экспертов международного уровня по вопросам защиты информационных систем промышленных объектов, крупнейших банков и телекомов. Согласно исследованиям мировых аналитических агентств, компания занимает лидирующую позицию по использованию инноваций в разработках своих продуктов: XSpider, MaxPatrol, MaxPatrol SIEM, PT ApplicationFirewall, PT ApplicationInspector, PT Multiscanner. PositiveTechnologies активно участвует в формировании индустрии практической безопасности: поддерживает крупнейшие вузы страны в рамках образовательной программы PositiveEducation, развивает специализированный проект SecurityLab.ru, проводит ежегодный международный форум PositiveHackDays. Подробнее о компании — на сайте www.ptsecurity.ru.

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
 
Новости Positive Technologies

© "Storage News" journal, Russia&CIS
(495) 233-4935;
www.storagenews.ru; info@storagenews.ru.