Блог

Как совместить "сертификационную чистоту" и необходимость обновления ПО?

Андрей Колесов
25.05.2017 12:47:05

Этот вопрос обозначился в самом начале конференции OSDAY ("День ОС", по тематике разработки операционных систем в России), проведенной Институтом системного программирования РАН в Москве, во время выступления представителя ФСТЭК Виталия Лютикова.





А суть вопрос выглядит так. Вот к примеру, есть организация, которая в силу известных причин может применять только ПО, имеющее соответствующий сертификат ФСТЭК на предмет ее безопасности. Кстати, отдельным вопросом является то, что собственно гарантирует наличие такого сертификата...

Итак некий вендрор получается такой сертификат для своего продукта "МоеПО". Вы покупаете у вендора ЕгоПО, устанавливаете его и начинаете работать. И в случае необходимости демонстрируете проверяющим людям ("тем, кому надо") этот сертификат.

Вопрос 1: Где гарантия, что вы приоберили именно то ПО, которое прошло проверку в ФСТЭК? Наверное, каждый дистрибутив должен сопровождаться некой "электронной подписью" (например, в виде какой-то контрольной суммы), что-то вроде пломбы.
Интересно узнать – как это происходит на практике, я лично довольно плохо представляю себе эту процедуру, учитывая сложность и объемность ПО.

Но предположим, что вы купили именно то, проверенное, ПО. Но где гарантии, что заказчик установил у себя именно его? Контрольную сумму дистрибутива можо проверить, а как проверить контрольную сумму уже установленной системы?

Но дальше, как известно, практически любое ПО обновляется. Причем обновления идут в двух возможных направлениях
Обновления, которые делает вендор (устраняет ошибки, добавляет возможности и пр.)
2) обновления, которые делает сам пользователь (то же самое, но самостоятельно, возможно с помощью привлечения внешних исполнителей.

Понятно, что если вы вносите изменений в сертифицированное ПО (вскываете "пломбу"), то оно уже становится несертифицированным.

И как тут быть?

Поясню ситуацию на бытовом примере. Вот у меня дома есть электросчетчик (считате потребляемую мной электроэнергию). Я тут недавно выяснил, что в 2012 году правительство России провело за меня его приватизацию: раньше счетчик был собственностью Мосэнерго, а в 2012 году стал мои (но я не знал об этом).

Так вот: счетчик это мой, но доступа к нему я не имею (сделать внутри какие-то обновления, новые функции). Он опломбирован печатью Мосэнерго. То есть счетчик мой, но с ним я ничего не имею право (забавно, не правда ли?).
А если я захочу что-то сделать, что должен вызывать сотрудника Мосэнерго...

Так вот, по аналогии, получается, что и к сертифицированному ПО (например, ОС) заказчик не должен иметь доступа на предмет ее коррекции, в том числе обновления. И делать что-то может только через ФСТЭК.

А иначе, какая же это "безопасность", если через неделю после сертификации вендор присылает патч, в котором запросто может оказаться что-то очень "небезопасное"?

Собственно эти вопросы и были заданы выступающему.
Он сообщил, что все свои патчи вендор также должен отдавать в ФСТЭК на предмет проверки.
Но ведь вполне очевидно, что такая проверка может занять немало времени (дел у ФСТЭК много и без того), дело-то может быть срочным!!!

Как выяснилось, именно такая ситуация возникла с недавним вирусом WannaCry.
Знаете, оказывается, почему пораженными оказались именно государственные ИТ-системы (не только в России, но и в других странах)? Потому что госзаказчики (и кажется, не только в России) не устанавливали патчи, выпущенные в марте, ожидая их проверки "там где надо". А пока "мирные жители" ждали (почти два месяца), киберпрестуники решили не ждать...

И что в результате? В результате получилось, что именно процедура обеспечения безопасности как раз нарушила эту самую безопасность. А если бы никакой сертификации не было, что нужные заплатки были бы установлены сразу же, и никакого нарушения работоспособности ИТ-систем не было.

Вот такой парадокс, совсем не забавный...

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.05.2017 22:30:56

"Парадокс" тут есть только на первый взгляд. На самом деле, есть два вопроса, второй из которых возник в связи с WannaCry.
С задержкой для сертифицированных продуктов сделать ничего нельзя. На сертифицированную систему ставят сертифицированные обновления и это реально требует немалого времени. Это объективная данность и мучительный вопрос - "что с этим делать" после понимания этой самой объективности, отпадает.
Вопрос безопасности, который естественным образом возникает в связи с этим, прост, но полон нюансов.
В корпоративной среде с несертифицируемым программным обеспечением, обновления так же не устанавливаются в момент выхода. Сначала оно/они тестируется. Причём, разные виды обновлений, с разным сроком. Обновления безопасности по известным угрозам и проблемам редко выходят оперативно. Эта касается любой операционной системы. Зловреды, в любом случае, появляются раньше обновлений безопасности. Так что, уповать на патчи, последнее дело.
Я уже третий раз пишу тут по поводу WannaCry. Я утверждаю, что проблема не только в своевременном обновлении. Так же, в очередной раз пишу, что безопасность вопрос комплексный. WannaCry использует сетевую уязвимость, а не уязвимость какого либо приложения. Первый порог защиты для таких зловредов эта безопасность, внешнего сетевого контура в лице брандмауэров, а так же точки входа в этой сетевой контур, такие как удалённый доступ, модный ныне BYOD, всякая, пардон, фигня, в лице ещё более модного IoT'а, а так же, самовольное, подключение служебных компьютеров к Интернет, посредством внешних устройств, типа личных мобильных телефонов и прибамбасов от мобильных провайдеров. Пример тому МВД. Именно это первая линия обороны. Вторая линия, это антивирусное ПО и только на третьем месте, собственно, сама уязвимость SMB-протокола.

26.05.2017 12:28:24

Подтверждаю. При нормальной практике защита действительно строится по многослойной схеме. Одна процедура обеспечения безопасности в форме задержки применения обновлений, да, нарушала безопасность - но лишь в одном-единственном слое! А как же периметр? Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).
Общеизвестно, что применение сертифицированного ПО - лишь часть процедуры аттестации инфосистемы на класс защиты, есть ещё условия применения. Логика подсказывает, что самые нарушения именно там и были. Если система вообще была аттестована (а если нет - зачем сертификация ПО?). Тут уже проходила информация что расследование ведётся, и это правильно.
Итак, как же совместить сертификационную чистоту и необходимость обновления? Очевидно, грамотным построением всей (не только в части сертификации ПО) системы изначально, постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

26.05.2017 12:52:33

Давайте для начала признаем простую вещь: атака WannaCry показала слабость системы безопасности ИТ-инфраструктур, причем - что характерно - именно государственных в первую очередь.

При чем проблема тут явно не техническая, а организационная. Знали об опасности, но "поспали", долго "репу чесали".

Как минимум, эту ситуация нужно анализировать и сделать выводы. Я пока анализа от ИТ-безопасников не вижу. А тут их вина является довольно очевидной.

Ссылки на то, что "у нас так устроена организационная система безопасности", - странны. Значит, ее нужно менять.

И еще. Выяснилось, что главная угроза безопасности исходит не от "зарубежных вендоров", а от нашей собственной системы безопасности.

26.05.2017 13:24:49

Цитата
проблема тут явно не техническая, а организационная

Точно.

26.05.2017 13:52:00

Суть современных реалий такова, что рамках страны ОБЪЕКТИВНО не существует никакой общей системы ИТ-безопасности.
Все организации, государственные и частные, это отдельные структурные единицы, не только в хозяйственном плане, но и с точки зрения структуры ИТ.
В каждой из них, выполнение требований безопасности происходит ровно так же, как и требования обычных законов обычными гражданами и различного рода руководителями т.е. кто как может и хочет, или... не может и не хочет.
Наиболее важные участки ИТ-структуры с точки зрения безопасности защищаются очень хорошо независимо от того, государственная эта структура или гражданская (частая). Остальные, так же по степени важности, но уже с субъективными нюансами, уровень подготовки и, самое главное, желания специалистов на местах.
Таков суровая правда ИТ-ой жизнедеятельности.
Могу сказать совершенно точно - ничего тут не изменится.

26.05.2017 13:28:49

Цитата
Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).

Да нет - простой просмотр социальных сетей свидетельствовал о том, что пострадавшие есть - даже публиковалось куча "рецептов".
Вы забыли, что "умолчательная" установка ОС Windows светит наружу "Стандартным общим ресурсом" на все логические диски с административными правами доступа, который не мог в данном случае помочь.

26.05.2017 13:49:41

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

26.05.2017 14:12:08

Цитата
постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

Так же к слову - можно вспомнить сериал фильма "чужой" (что вспомнилось - по мотивам шутливых кратких содержаний smile:D ) - практически к месту: инструкции, построения, условия...
Когда этот фильм снимался? - первая премьера в 79 году...

Ну а сейчас мы смотрим на применительную практику этих инструкций, построений... smile:cry:

26.05.2017 13:52:59

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. У некоторых и Windows-то нет, пользуются чем придётся. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Опрос

Анонимность в Интернете

  1. 1. Я за полную открытость моих сеансов в Интернете
  2. 2. Я за полную закрытость моих сеансов в Интернете
  3. 3. Я хочу контролировать сбор информации о себе в Интернете: где-то позволять, где-то запрещать
  4. 4. Используете ли вы средства, позволяющие контролировать сбор информации о вас в Интернете?
  5. 5. Ваши координаты:





Защита от автоматических сообщений
Защита от автоматических сообщений

Статьи

Кибербезопасность: группы, которые за вами охотятся
Угрозы кибербезопасности могут исходить от самых различных лиц и групп. Вот справочник по основным …

Аналитики сравнили вред от глобальных кибератак с природными катастрофами
По оценкам аналитиков Lloyd’s of London, масштабная глобальная кибератака способна привести …

Windows, Linux и macOS расплачиваются за криптографический изъян протокола Kerberos
Исследователи обнаружили ошибку в протоколе аутентификации, которая затрагивает ОС Microsoft, Linux …

Open Trust Protocol защитит корпоративную мобильность и Интернет вещей
В ближайшие годы в рамках развития Интернета вещей и мобильных систем миллиарды новых устройств наводнят …

Gartner: основные направления развития систем безопасности в 2017 г.
На июньской конференции Gartner Security & Risk Management Summit компания Gartner назвала главные …

Мы в социальных сетях

PC Week/RE в Facebook PC Week/RE в Контакте PC Week/RE в Google+ PC Week/RE в Одноклассниках PC Week/RE в Twitter

Решения

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Решение проблем аварийного восстановления
Сегодня информация считается одним из важнейших активов любой организации, необходимость доступа к данным в любой …

Блог

К вопросу о безопасности отечественного ПО: о чем говорит опыт вируса Petya
Один из традиционных доводов в пользу выбора отечественного ПО (и не только ПО, и даже не только ИТ) ...

WannaCry остановил завод Honda
WannaCry - один из опаснейших вирусов о котором узнали даже далекие от ИТ люди

Устойчив ли цифровой мир?
На этот вопрос попробовали дать ответ участники круглого стола Kaspersky Geek Picnic, состоявшегося ...

Pinkslipbot - банковский троян, который не боится антивирусов
Как пишет издание ZDNet, специалисты из компании McAfee Labs обнаружили новую форму трояна под назва ...

Хакеры пытаются превратить Google Play в рассадник вирусов
На днях стало известно, что в магазине приложений Google для Android-платформы обитают сотни фальшив ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Новая услуга Техносерв Cloud — облачное хранилище данных
Компания “Техносерв” запустила новую услугу на базе собственной облачной платформы Техносерв Cloud — “Облачное хранилище данных”.
Гиперконвергированная инфраструктура, отвечающая современным требованиям ведения бизнеса
Цифровая экономика изменила все аспекты ведения бизнеса. Пользователи становятся более требовательными, технологии постоянно развиваются, и от ИТ-отделов ожидают большей адаптивности и быстроты реагирования, чем прежде.
Гиперконвергентные инфраструктуры и ТСО
Гиперконвергентные решения позволяют сократить общую стоимость владения инфраструктурой за счет оптимизации по множеству параметров
История успеха: Dab Pumps значительно повышает свою производительность во всем мире с помощью Infor
Dab Pumps — ведущий поставщик оборудования, который ежегодно производит 3 миллиона приводных водяных насосов.
Компания “Терн” расширяет горизонты бизнес-анализа
Прошедшая в Москве Ежегодная конференция одного из лидеров отечественного рынка BI — компании «Терн» …

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.