Государственная база угроз и уязвимостей открыта

Как и было обещано, в начале марта ФСТЭК открыла общий доступ к составленной ФАУ ГНИИИ ПТЗИ ФСТЭК России базе данных угроз и уязвимостей. Пока в ней описаны 162 угрозы и 10 285 уязвимостей, которые относятся к государственным информационным системам, АСУ ТП критических важных объектов и системам обработки персональных данных. Собственно, об этом и говорится в информационном сообщении ФСТЭК: «Банк данных угроз безопасности информации включает базу данных уязвимостей программного обеспечения, а также перечень и описание угроз безопасности информации, наиболее характерных для государственных информационных систем, информационных систем персональных данных и автоматизированных систем управления производственными и технологическими процессами на критически важных объектах».

Сведениями из этой базы данных будут пользовался как государственные органы, проводящие обязательную сертификацию, так и разработчики ПО и средств защиты. Создана база уязвимостей для определения, моделирования и оценки угроз, что требуется в процессе обязательной сертификации, а также для устранения уязвимостей в ПО, разработки средств контроля над защищенностью и сканеров безопасности.

Сопровождением базы занимается ФСТЭК России, но любой желающий может подать данные об уязвимостях и зарегистрировать в этой базе. Правда, предупреждает ФСТЭК, «лицам, планирующим направить информацию об уязвимостях в банк данных угроз безопасности информации через раздел «Обратная связь», необходимо учитывать, что данные (фамилия и имя) исследователя, выявившего уязвимость, могут быть опубликованы в банке данных угроз. Это необходимо для анализа и организации устранения уязвимостей в конкретном программном обеспечении, в ходе которого, возможно, потребуются взаимодействие и совместные действия со специалистами Службы и (или) иными организациями, включая разработчиков (производителей) программного обеспечения». Предполагается, что в 2015 г. ФСТЭК будет тестировать базу данных, а в следующем году сайт, возможно, будет модифицирован в соответствии с результатами этой работы.

«Инициатива ФСТЭК является логичным шагом в реализации стратегии повышения уровня защищенности ГИС. А как эта активность повлияет на развитие отрасли аудита защищенности ИТ-систем, покажет время», – считает Юлия Кольдичева, PR-директор компании Digital Security. Специалисты этой компании тоже участвуют в наполнении базы данных и являются активными участниками рынка аудита безопасности. «Банк данных угроз – это список обнаруженных уязвимостей в популярном ПО. По сути это база ошибок разработчиков, позволяющих получить консоль управления системой, не имея на это прав, - поясняет Денис Легезо, антивирусный эксперт «Лаборатории Касперского». - с помощью этих уязвимостей хакеры могут повысить свои привилегии, имея только ограниченный доступ, вызвать отказ в обслуживании и т.п. Из известных баз уязвимостей можно назвать CVE и OSVDB.»

По словам Дмитрия Кузнецова, директора по методологии и стандартизации Positive Technologies, «до недавнего времени деятельность ФСТЭК России по защите государственных информационных систем подвергалась жесткой критике со стороны технических специалистов, так как процедуры сертификации ПО и аттестации информационных систем не предусматривали работ по выявлению уязвимостей. И если в связи с постепенным переводом сертификации на Общие критерии (ГОСТ 15408) анализ наличия известных уязвимостей стал частью работ по сертификации ПО,  то при аттестации такая работа не проводится в принципе. Появление банка данных угроз и уязвимостей – один из первых шагов к изменению ситуации. При наличии оценки соответствия информационных систем требованиям ИБ лицензиатам ФСТЭК станет крайне сложно игнорировать найденные в них уязвимости, информация о которых будет опубликована в официальном информационном ресурсе ФСТЭК. В дальнейшем планируется развивать это направление: так, в рамках технического комитета №362 Росстандарта по инициативе ФСТЭК разрабатывается серия госстандартов, определяющих содержание и порядок проведения работ по выявлению уязвимостей, правила их описания и т.п.».

Таким образом, эта база данных поможет изменить ситуацию с безопасной разработкой ПО в России. Дмитрий Кузнецов отмечает: «Значительно хуже у российских разработчиков обстоит дело с реагированием на уязвимости. В состав требований зрелости, предъявляемых к процессу разработки, входят наличие у производителя единого контактного центра, принимающего сообщения об уязвимостях, и готовность оперативно их устранять. За рубежом эта работа проводится разработчиками систем АСУ ТП и некоторых других критически важных приложений. Для российских компаний такая деятельность пока нехарактерна». Возможно, в конечном счёте им всё-таки придётся построить собственную систему безопасной разработки ПО.

Впрочем, эта база может быть использована и средствами защиты для предотвращения нападений в автоматическом режиме. Такая технология, например, есть  «Лаборатории Касперского»: «Расскажу принцип работы этой технологии на примере Kaspersky Endpoint Security, - предлагает Денис Легезо. - Закрытие известных уязвимостей обеспечивают технологии Vulnerability Assessment и Patch Management. На сервере управления, обладающим данными о новых уязвимостях, администратор видит список уязвимых приложений и может здесь же централизованно установить необходимые исправления от разработчиков. В случае, если патча еще не существует, за безопасность уязвимых систем отвечают другие технологии. Например, Automatic Exploit Prevention». Такие механизмы могут заблокировать попытку эксплуатации уязвимости, обнаружив её в сетевом трафике. В любом случае общедоступная база уязвимостей поможет сделать приложения более безопасными.