Кто сторожит сторожей?

в 13:33, , рубрики: SecurityCode, Блог компании SecurityCode

Компания iViZ Security, специализирующаяся на проведении тестов на проникновение, опубликовала свой очередной отчет «(In) Security in Security Products 2013», в котором отметила бурный всплеск числа уязвимостей в security-решениях. В 2012 году, на фоне примерно 20% роста общего числа уязвимостей, количество уязвимостей в security-продуктах выросло почти в 3 раза!

И что самое прискорбное: по сравнению с общим объемом ошибок различного вида количество уязвимостей в security-продуктах, связанных с контролем доступа, управлением ресурсами и аутентификацией, несравнимо выше. При том, что подобные ошибки в security-продуктах, на мой взгляд, вообще не допустимы.

Кто сторожит сторожей?

Что же рекомендуют делать в этих условиях эксперты компании iViZ Security?
Рецепт прост и сложен одновременно:

  • требовать от производителя не только сертификации продуктов, но и проведения тестирования на наличие уязвимостей;
  • проводить собственные тесты на проникновение для security-решений.

Могут ли заказчики выполнить эти рекомендации? Теоретически – да, но на практике получается, что выкручивать руки вендору и что-то от него требовать могут только мега-заказчики, а тратить дополнительные деньги на тестирование безопасности продуктов, предназначенных собственно для безопасности, никто не станет.

Могут ли производители обеспечить более высокое качество своих продуктов? Конечно, могут. Есть целая область знаний, помогающая достичь этого результата и посвященная разработке безопасного (т.е. не содержащего ошибок и уязвимостей) программного обеспечения. Наиболее известными наработками в этой области являются:

  • Microsoft Security Development Lifecycle;
  • NIST Security Considerations in the System Development Life Cycle;
  • Cisco Security Development Lifecycle;
  • Software Assurance Maturity  Model и др.

Конечно, следование этим рекомендациям делает разработку более дорогой, но снижение числа ошибок и уязвимостей гарантированно приводит к уменьшению числа претензий от пользователей, что должно компенсировать затраты.

В частности, «Код Безопасности» внедрил процесс разработки, основанный на комбинации жизненных циклов безопасной разработки Microsoft и Cisco. Все его этапы документированы в рамках сертифицированной системы менеджмента качества и включают, в том числе, расширенные методики тестирования, поиска уязвимостей и моделирование атак, что позволяет нам выпускать на рынок качественные и безопасные средства защиты информации.

Кроме того, в связи с тем, что ФСТЭК России в своих последних документах по защите персональных данных рекомендовал применять программное обеспечение, разработанное с использованием методов защищенного программирования, мы планируем в скором времени разместить на сайте описание нашего процесса разработки.

Степаненко Андрей, директор по маркетингу компании «Код Безопасности»

Автор:

Источник

Поделиться

* - обязательные к заполнению поля