Актуальность контроля разработки программного обеспечения автоматизированных банковских систем на предмет наличия в нем уязвимостей ООО «Газинфомсервис» - презентация

1 Актуальность контроля разработки программного обеспечения автоматизированных банковских систем на предмет наличия в нем уязвимостей ООО «Газинфомсервис» Директор департамента разработки и сертификации Р. Компаниец ООО «Газинфомсервис», средства проведения исследования ПО

2 Основные регламентирующие документы ГОСТ Р ИСО МЭК ФСТЭК. РД НДВ. Часть СТО БР ИББС ООО «Газинфомсервис», средства проведения исследования ПО

3 НДВ - это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации (РД НДВ ФСТЭК). Уязвимость - слабое место в инфраструктуре организации банковской системы РФ, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ (СТО БР ИББС ). Угроза ИБ – угроза нарушения таких свойств ИБ, как доступность, целостность или конфиденциальность информационных активов организации банковской системы РФ (СТО БР ИББС). ООО «Газинфомсервис», средства проведения исследования ПО

4 НДВ Уязвимость Угроза Ущерб ООО «Газинфомсервис», средства проведения исследования ПО

5 Классификация уязвимостей ООО «Газинфомсервис», средства проведения исследования ПО

6 Методология проведения контроля на НДВ Основы методологии Общие принципы анализа программ Требования РД ФСТЭК России Базируется - на сопоставлении результатов статического анализа исходных текстов ПО и результатов выполнения откомпилированного ПО (динамический анализ) ООО «Газинфомсервис», средства проведения исследования ПО

7 Уверенность отсутствия НДВ Проведением контроля на отсутствие НДВ Созданием условий для запрета использования НДВ ООО «Газинфомсервис», средства проведения исследования ПО

8 Инструментальные средства для анализа ПО В условиях наличия исходных текстов ПО –Специализированные сканеры: сканер CodeProfiler (Virtual Forge) –Специализированные среды: АИСТ(ЦБИ),АКВС (Эшелон),IRIDA SOURCES(Газинформсервис) В условиях отсутствия исходных текстов –Дизассемблеры и декомпиляторы: IDA PRO, Hexray –Инструментальные системы: BinNavi (Zynamics GmbH, Германия), IRIDA (Газинформсервис) ООО «Газинфомсервис», средства проведения исследования ПО

9 Пример анализа ABAP-кода, сканер CodeProfiler (Virtual Forge) Название теста Общее количество уязвимостей Критичные уязвимости Пропущен AUTHORITY-CHECK перед CALL TRANSACTION 573 Силовой запрос (чтение) Пропущен AUTHORITY-CHECK в отчетах Силовой запрос (запись)10579 Пропущен AUTHORITY-CHECK в RFC-Enabled Functions 147 Манипулирование именами директорий (запись)124 Общие вызовы ABAP модулей2231 Манипулирование именами директорий (чтение)91 ООО «Газинфомсервис», средства проведения исследования ПО

10 Обнаруженные типы критических уязвимостей и создаваемые ими риски Тип критической уязвимостиРиски безопасности Пропущен AUTHORITY-CHECK перед CALL TRANSACTION НСД к SAP-транзакции Пропущен AUTHORITY-CHECK в отчетах НСД к данным Пропущен AUTHORITY-CHECK в RFC-Enabled Functions Несанкционированный удаленный запуск функции Форсированный запрос НСД к данным, в том числе модифицировать и удалять их, контролируя элементы WHERE в SQL-запросе Манипулирование именами каталогов НСД: чтение и запись конфигурационных файлов; чтение и запись лог-файлов; чтение и запись файлов БД. Вызовы ABAP-модулейОтказ в обслуживании (сбой сервера приложения SAP); нарушение работы бизнес-логики ООО «Газинфомсервис», средства проведения исследования ПО

11 Платформа Windows Области применения сертификационные испытания ПО тестирование ПО Инструментальный комплекс IRIDA Sources Проведение исследований в условиях наличия исходных текстов ООО «Газинфомсервис», средства проведения исследования ПО

12 IRIDA Sources 1.5 Основное приложение ООО «Газинфомсервис», средства проведения исследования ПО

13 Проведение исследований и защита программного кода от недокументированных возможностей ООО «Газинфомсервис», средства проведения исследования ПО

14 Инструментальный комплекс IRIDA платформа Windows Области применения сертификационные испытания ПО тестирование ПО защита от НДВ и атак Проведение исследований в условиях отсутствия исходных текстов ООО «Газинфомсервис», средства проведения исследования ПО

15 Модельпрограммы Модель программы ООО «Газинфомсервис», средства проведения исследования ПО

16 IRIDA Основное приложение ООО «Газинфомсервис», средства проведения исследования ПО

17 Прерывание от точки трассировки Возврат управления Недокументированный маршрут Защита кода от недокументированных возможностей Модуль PE формата с установленными точками трассировки Установка точек трассировки Метод ДИАГЕН Паспорт программы Трасса Завершение программы ООО «Газинфомсервис», средства проведения исследования ПО

18 IRIDA 2.0 Основное приложение ООО «Газинфомсервис», средства проведения исследования ПО

19 Выводы НДВ всегда присутствуют в ПО Контроль отсутствия НДВ требует специализированных методик и инструментов для повышения производительности и достоверности Создание условий невозможности проявления НДВ Паспортизация ПО – один из путей решения проблемы защиты ПО от НДВ ООО «Газинфомсервис», средства проведения исследования ПО

20 Спасибо за внимание! ООО «Газинфомсервис» Директор департамента разработки и сертификации Р. Компаниец ООО «Газинфомсервис», средства проведения исследования ПО