КАО.2 — Анализ архитектуры ОО динамическими методами
Раздел методики: 4.1.3
Применимость для уровня доверия 4 (уровень контроля 4): базовое исследование + усиление 1
Кто проводит: испытательная лаборатория
Задача исследования
Выявление недостатков безопасности и известных уязвимостей ОО, в том числе самостоятельно и в результате анализа результатов выполнения процессов разработки ОО по ГОСТ Р 56939-2024 — методами и инструментами, требующими выполнения ОО.
Исходные данные
От разработчика ОО (п. 2.3 Методики):
- а) Документация на ОО: руководство пользователя, руководство администратора, руководство по безопасной установке и настройке
- б) Исходный код ОО
- г) Дистрибутив ОО
- д) Результаты выполнения процессов разработки ОО по ГОСТ Р 56939-2024: анализ безопасности архитектуры и определение поверхности атаки, анализ безопасности конфигураций
Из предыдущих этапов:
- Сведения из ПОД.1: методика проведения исследований, описание поверхности атаки, перечень анализируемых модулей
- Испытательный стенд и тестовые сборки ОО по результатам ПОД.2
- Сведения об архитектуре и уязвимостях ОО, полученные по результатам КАО.1
Требования к проведению исследования
Сценарии функционирования ОО
Испытательная лаборатория выполняет не менее трёх различных сценариев функционирования ОО с контролем сетевой активности ОО с целью выявления:
- утечек чувствительных данных (учётные записи, пароли, приватные ключи и т.п.)
- НДВ
Примеры сценариев:
- создание и редактирование учётной записи пользователя
- изменение набора правил фильтрации сетевого трафика
- выполнение антивирусного анализа файла
Приоритет при выборе сценариев:
- Сценарии, затрагивающие порождение (модификацию) чувствительных данных.
- Сценарии, затрагивающие выполнение административных функций.
- Сценарии, предполагающие взаимодействие с подсистемами на различных узлах сети.
Анализ сетевых интерфейсов
Выполняется анализ сетевых интерфейсов ОО, составляющих поверхность атаки, с использованием анализаторов безопасности, предполагающих запуск сценариев автоматизированного определения недостатков безопасности ОО.
Анализ веб-интерфейсов
Испытательная лаборатория выполняет анализ веб-интерфейсов из состава поверхности атаки динамическими методами на предмет уязвимостей из раздела «Типовые уязвимости веб-приложений» банка данных угроз безопасности информации ФСТЭК России.
Дополнительные требования (усиления) для уровня контроля 4
Усиление 1 — Автоматизированный динамический анализ на специфические угрозы
Испытательная лаборатория анализирует рекомендованные ФСТЭК России либо применяемые разработчиком ОО методы автоматизированного динамического анализа, направленные на подтверждение устойчивости ОО к специфическим для данного типа ОО угрозам.
Примеры специфических угроз:
- компрометация приватных параметров, составляющих ОО и различных сервисов
- DDoS-атаки на системы массового обслуживания
- атаки на базовую систему ввода-вывода через SMI-прерывания
- компрометация учётных данных сервисов
Испытательная лаборатория выполняет автоматизированный динамический анализ, направленный на подтверждение устойчивости ОО к специфическим угрозам, выбранным подмножеством методов. Испытательная лаборатория предоставляет инструменты анализа и может привлекать разработчика ОО для организации и проведения анализа.
Требования к результатам исследования
Результаты исследований фиксируются в материалах исследований в объёме, соответствующем п. 5.2 Методики.
Проверка артефактов результата
Формат для агента: артефакт считается принятым только при выполнении всех критериев; неприменимые пункты фиксируются с причиной.
| Артефакт | Что проверить | Критерий приемки |
|---|---|---|
| Описание сценариев функционирования | Есть не менее 3 различных сценариев, цели, шаги, учетные записи/роли, задействованные подсистемы | Сценарии покрывают чувствительные данные, административные функции или межузловые взаимодействия; выбор обоснован |
| Журналы сетевой активности | Для каждого сценария приложены сетевые логи/дампы, настройки средств контроля и временные метки | Утечки учетных данных, паролей, приватных ключей и НДВ отсутствуют или оформлены как недостатки |
| Результаты анализа сетевых интерфейсов | Перечень интерфейсов из поверхности атаки сопоставлен с использованными анализаторами безопасности | Каждый сетевой интерфейс проверен или имеет обоснование неприменимости инструмента |
| Результаты динамического анализа веб-интерфейсов | Есть перечень проверенных типовых уязвимостей веб-приложений из БДУ ФСТЭК | По каждому веб-интерфейсу есть результат и подтверждающие логи/скриншоты |
| Анализ специфических угроз | Есть перечень угроз, выбранные методы, инструменты и результаты автоматизированного динамического анализа | Выбранное подмножество методов обосновано; устойчивость подтверждена или недостатки оформлены |
| Материалы привлечения разработчика | Если разработчик участвовал, зафиксированы задачи, ответственность и предоставленные данные | Роль разработчика не подменяет вердикт испытательной лаборатории |
Чек-лист проверки результатов перед отправкой
Формат: каждый пункт проверяется как выполнено / не выполнено / неприменимо.
Блок 1: Сценарии функционирования
- Выполнено не менее трёх различных сценариев функционирования ОО.
- При выполнении каждого сценария осуществлялся контроль сетевой активности ОО.
- В приоритете выбраны сценарии с порождением чувствительных данных и административными функциями.
- Сценарии задокументированы с описанием целей, порядка действий и результатов.
- Выявленные утечки чувствительных данных (учётных данных, ключей) зафиксированы как недостатки.
- Выявленные НДВ (сетевые взаимодействия, не предусмотренные документацией) зафиксированы.
Блок 2: Анализ сетевых интерфейсов
- Выполнен анализ всех сетевых интерфейсов ОО из поверхности атаки.
- Использованы анализаторы безопасности с автоматизированным определением недостатков.
- Конфигурации инструментов и результаты анализа задокументированы.
Блок 3: Анализ веб-интерфейсов (динамика)
- Выполнен динамический анализ всех веб-интерфейсов из поверхности атаки.
- Проверен полный перечень типовых уязвимостей веб-приложений из банка данных угроз ФСТЭК России.
- Результаты задокументированы.
Блок 4: Специфические угрозы (усиление 1)
- Определён перечень специфических для данного типа ОО угроз (с обоснованием выбора).
- Выбраны методы автоматизированного динамического анализа (рекомендованные ФСТЭК или применяемые разработчиком).
- Выполнен автоматизированный динамический анализ по выбранным методам.
- Результаты анализа задокументированы.
- При привлечении разработчика ОО — факт привлечения и распределение ответственности задокументированы.
Блок 5: Оформление результатов
- Результаты всех видов КАО.2 зафиксированы в материалах исследований (п. 5.2 Методики).
- Все выявленные недостатки безопасности задокументированы по форме таблицы 6 Методики.
Задачи СИ по данному разделу
Рабочий перечень задач для Redmine: Перечень_задач_СИ_М3.md
| Код задачи | Наименование |
|---|---|
| СИ-КАО2.01 | Подготовить сценарии функционирования ОО (не менее 3) |
| СИ-КАО2.02 | Выполнить сценарии с контролем сетевой активности (утечки + НДВ) |
| СИ-КАО2.03 | Проанализировать сетевые интерфейсы поверхности атаки |
| СИ-КАО2.04 | Выполнить динамический анализ веб-интерфейсов |
| СИ-КАО2.05 | Проверить устойчивость к специфическим угрозам (усил. 1) |