Импортозамещение с акцентом на качественное превосходство
ИБ-исследователями за текущий 2015 год было выявлено немало уязвимостей в самих средствах ИБ. Так, команда экспертов по безопасности Google в начале лета заявила о серьезной уязвимости в антивирусе ESET NOD32, а в сентябре сообщила о 8 уязвимостях в «Антивирусе Касперского», которые позволяли удаленно выполнять код. Также в сентябре специалисты германской ИБ-группы ERNW опубликовали отчет о 5 уязвимостях продукта Malware Protection System от компании FireEye, причем, одна из этих брешей позволяла злоумышленникам внедряться в систему с активированным антивредоносным ПО. Играли на руку киберпреступникам также и внутрисистемные ошибки средств ИБ. 7 октября 2015 года российская компания Positive Technologies сообщила о начале эксплуатационного этапа внедрения своей разработки — комплекса анализа исходного кода приложений — PT AI — в ИТ-окружение испытательной лаборатории Института инженерной физики, аккредитованной в системах сертификации ФСТЭК, ФСБ и Минобороны России. А 12 октября сертификат ФСТЭК получила ИБ-разработка компании «АМТ-Груп» — аппаратно-программный комплекс InfoDiode для защиты критичных сегментов сети. Эксперты отметили, что по результатам доэксплуатационных испытаний, представленные импортозамещающие продукты по ряду превосходят зарубежные решения аналогичного класса.
PT AI видит все уязвимости в исходном коде на подходе
Начальник группы анализа НДВ Института инженерной физики Владимир Потапов во время презентации новой разработки компании Positive Technologies пояснил: «Специалисты нашей лаборатории искали отечественный инструмент для обнаружения уязвимостей в исходном коде, но с принципиально новыми технологиями, которые, в отличие от простого поиска по шаблонам, позволяют вычислять уязвимости, уникальные для сертифицируемого средства защиты.Именно таким инструментом оказался продукт компании Positive Technologies — Application Inspector, предназначенный для анализа безопасности исходного кода приложений путем использования комбинации методов статического, динамического и интерактивного анализа. Особенностью PT AI, которая выделяет его среди всех известных инструментов этого класса, является генерация скриптов для подтверждения наличия обнаруженных уязвимостей (эксплойтов). Стоит отметить и полноценную возможность анализа основных популярных языков программирования, используемых для создания современных веб-приложений. Уровень точности обнаружения уязвимостей с использованием PT AI позволил нашему институту вывести контроль НДВ при испытательных работах по сертификации средств защиты на новый качественный уровень».
Механика работы системы PT AI основана на сочетании преимуществ статического (SAST), динамического (DAST) и интерактивного (IAST) анализа, а также использовании базы знаний уязвимостей, сформированную экспертами Positive Technologies в результате продолжительных исследований. По сравнению с аналогичными продуктами других разработчиков ложные срабатывания у системы PT AI в среднем на 75% ниже. А это означает, что основные операции автоматизированы, и «ручное управление» для проверки результатов сведено до условного минимума. Работая со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE, система PT AI поддерживает динамические зависимости, раскрывает функции и классы, специфичные для библиотек и фреймворков, и в целом – моделирует прохождение потока данных через логическую схему анализируемого приложения.
Компания Positive Technologies обращает внимание на такие особенности своего продукта как:
- раннее выявление, когда все команды контроля качества оповещаются о небезопасном коде до того, как его начнут эксплуатировать;
- единое решение для множества платформ и языков, а также всех типов уязвимостей приложений;
- ясное представление рисков, благодаря моделированию рисков уязвимостей — при генерации эксплойтов, что позволяет просчитывать алгоритмы для исправления кода;
- выявление признаков НДВ за счет адаптации системы к бизнес-логике приложений, что позволяет выявлять закладки, оставленные в коде разработчиками или хакерами;
- немедленная защита за счет генерации системой эксплоитов, что позволяет межсетевому экрану создавать виртуальные исправления и защищать приложения на период устранения уязвимостей ПО разработчиками;
- выполнение требований регуляторов в соответствии стандарту ЦБ РС БР ИББС-2.6-2014, а также приказам ФСТЭК № 17 и 21, стандарту PCI DSS.
InfoDiode — надежный страж критичных сегментов сети
Руководитель отдела технологических разработок компании «АМТ-Груп» Алексей Мальнев отмечает, что в решении InfoDiode реализован максимальный на сегодня уровень импортозамещения. О хакрактеристиках нового продукте он сообщил следующее: «InfoDiode относится к классу систем однонаправленной передачи данных. Основная его задача – обеспечение гальванической развязки с целью изоляции критичных сегментов сети с сохранением возможности передачи данных между ними… InfoDiode нивелирует последствия любых конфигурационных ошибок, так как отсутствует возможность их использования внешним злоумышленником. Ряд функций мы внедрили для улучшения гибкости и функциональности InfoDiode, отталкиваясь от текущих запросов наших клиентов: например, приоритезация передачи данных позволяет осуществлять транспорт как real-time-трафика, так и передачу больших объемов данных, не критичных по скорости и к задержкам».Сам продукт представляет собой комплекс из трех аппаратных модулей. Центральная компонента InfoDiode – это аппаратная система, позволяющая на 100% исключить несанкционированный доступ к защищаемым ресурсам, поскольку передача данных физически возможна только в одном направлении, а обратная связь исключена. Две другие компоненты — это прокси-серверы, функционирующие на базе отечественного «железа» и сертифицированной ОС AstraLinux.
Также Мальнев особое внимание обратил на то, что «InfoDiode отличается от традиционных программно-аппаратных решений, таких как межсетевые экраны, тем, что основная функция безопасности в нем выделена в отдельную аппаратную компоненту. А на его прокси-серверах реализована только логика по транспорту информационных потоков TCP и UDP. Таким образом, устойчивость InfoDiode к атакам и функция защиты информации обеспечивается аппаратной реализацией, в отличие от априори уязвимой программно-аппаратной реализации межсетевых экранов, например».
Основной принцип работы комплекса строится на взаимодействии двух групп сценариев: однонаправленных и двунаправленных. В режиме однонаправленной программы InfoDiode, в частности, гарантированно обеспечивается как целостность данных (сценарии с выгрузкой данных во внешние сегменты), так и конфиденциальность данных (сценарии с загрузкой данных в критичные сегменты сети). А при включение InfoDiode на периметре в двунаправленном применении, хотя и не гарантируется 100% защита данных и систем, зато — в сравнении с традиционными межсетевыми экранами — десятикратно повышается защищенность.
.jpg)