ФСТЭК проверила обновления
В 2022 г. российские ИБ-специалисты столкнулись с дилеммой: не ставить обновления ПО и тем самым не закрывать обнаруженные уязвимости или ставить, но при этом сталкиваться с риском получить с очередным обновлением то, что на языке регуляторов называют недекларируемыми возможностями. Подобного рода попытки отмечены как в компонентах с открытым кодом, так и в обновлениях коммерческого ПО.
При этом до сих пор в России продолжает доминировать офисное и системное ПО от Microsoft. По данным "Яндекс Радар" на первую неделю января 2023 г., доля Windows всех версий составила 93,3%, mac OS - 4,5%, всех остальных - 2,2%. По данным StatCounter, удельный вес Windows составляет 88%, mac OS - около 6%, всех разновидностей Linux - немногим более 2%. Доля Microsoft Office среди офисных редакторов - не меньше 70%.
Эксперт центра разработки решений по контролю безопасности ПО Solar appScreener компании "РТК-Солар" Сергей Деев напоминает, что в 2022 г. изменился ландшафт актуальных угроз безопасности и вопрос внедрения НДВ в легитимные пакеты данных стал одним из актуальных: "Распространенными среди злоумышленников стали атаки на цепочки поставок, когда атакующие взламывали ресурсы компаний разработчиков и подменяли код легитимных программ модифицированными данными, содержащими НДВ, обновления которых потом попадали по доверенным каналам пользователям данного ПО. Учитывая полученный опыт, нельзя исключать также вероятность, что и в коммерческих компаниях могут найтись разработчики с недобрыми мотивами в отношении российских компаний. Широкое применение атак на цепочки поставок свидетельствует, что прежде считавшееся доверенным ПО требует обязательной проверки".
До середины апреля российские регуляторы рекомендовали скорее первый вариант, но затем точка зрения начала меняться. Так, 15 апреля появились рекомендации НКЦКИ "Критерии для принятия решения по обновлению критичного ПО, не относящегося к open-source". Однако, как показало исследование Positive Technologies, проведенное в сентябре 2022 г., более четверти опрошенных перестали обновлять ПО.
Банк данных об угрозах (БДУ) Федеральной службы по техническому и экспортному контролю (ФСТЭК) в ноябре 2022 г. представил окончательный вариант методики тестирования обновлений ПО. Процесс тестирования может быть довольно трудоемким. Тестирование должно проводиться на специальном изолированном от работающей инфраструктуры стенде или в сетевой "песочнице".
При этом тестирование обновлений закрытого ПО, как предупреждает Сергей Деев, не только трудоемко, но и требует от исполнителя специальных навыков: "Для проверок подобных обновлений необходимо создание специализированной стендовой среды в "песочнице" для отслеживания подозрительных активностей. Проведение обоих типов проверок трудоемко и требует специализированных навыков от экспертов ИБ. Если применение современных SAST и SCA/OSA - за счет наглядности результатов и удобства интерфейса - смогут помочь специалистам ИБ на местах, то выявление аномалий на уровне "песочницы" должно сопровождаться комментариями экспертов отрасли, которых на рынке не так много. Спасением в этой ситуации может оказаться использование специализированного сервиса".
Также, как напоминает лидер практики продуктов для управления уязвимостями и мониторинга ИБ Positive Technologies Павел Попов, согласно методике ФСТЭК, практически все операции по тестированию уязвимостей необходимо проводить вручную: "Если обращаться к методике ФСТЭК от 28 октября 2022 г., то можно увидеть, что практически все рекомендуется делать в ручном режиме - каждый патч, обновление необходимо вручную проверять по хеш-суммам и т.д. В анонсированном же сервисе уже существуют результаты тестирований некоторого программного обеспечения, поэтому можно сразу сравнить хеш-суммы и посмотреть вердикт на данное обновление. Это снижает трудозатраты специалистов на такую работу и поможет корректно выстраивать процессы патч-менеджмента, а это неотъемлемая часть процесса управления уязвимостями. 90% уязвимостей закрываются именно патч-менеджментом и обновлениями".
По оценке генерального директора Security Vision Руслана Рахметова, трудоемкость тестирования обновлений зависит от класса ПО: "Например, при обновлении операционной системы, если на ней работает несколько СЗИ (средства защиты информации) или серверов веб-приложений для десятков тысяч клиентов, тестировать обновления стоит в отдельном контуре и продолжительное время. Если для этого нет инфраструктуры, то ее нужно подготовить. А если обновляется офисный пакет в компании, где есть альтернативы или регламенты позволяют работать в онлайн-редакторах - то тестирование сократится до минимума. Только в самых простых случаях можно рассчитывать успеть за день. Если случай сложный, задействуется ИТ, ИБ, отдельные сотрудники, то трудозатраты могут занять сотни часов".
Но при этом нормо-час одного ИБ-специалиста обходится в среднем в 10 тыс. руб. Учитывая жесткий дефицит таких сотрудников, особенно в небольших компаниях, часто проводить такие тестирования просто некому. Согласно данным двух опросов, проведенных в России, треть компаний не проводят тестирования обновлений ПО. "Недостаток защищенности приложений приводит к ожидаемым результатам. Среди разработчиков заказного ПО, кто не проверяет защищенность ПО или проверяет от случая к случаю, каждый четвертый респондент (25%) отметил, что уязвимости в ПО привели к значимым инцидентам ИБ", - такое наблюдение сделали авторы исследования "РТК-Солар", результаты которого обнародованы в ноябре 2022 г. Согласно данным того же исследования, каждая третья компания сталкивается с финансовым (31%) или репутационным (31%) ущербом из-за инцидента, связанного с уязвимостями. По оценкам "Лаборатории Касперского", ущерб от киберинцидента обходится крупной компании в среднем без малого в $1 млн, а для предприятия сегмента СМБ - в $32 тыс. В среднем одна уязвимость на устройство "стоит" около $900.
В январе 2023 г. БДУ ФСТЭК открыт раздел, содержащий результаты тестирования обновлений программного обеспечения и программно-аппаратных средств в соответствии с Методикой тестирования обновлений безопасности программных и программно-аппаратных средств. В нем выложены протестированные ФСТЭК 122 обновления зарубежных продуктов, широко используемых в российских компаниях и госучреждениях. Пока данный раздел работает в тестовом режиме.
Руслан Рахметов считает появление данного ресурса значимым событием для рынка: "С учетом потенциальной пользы для компаний любого масштаба, как минимум обращать внимание, если не пользоваться на 100%, будут почти все участники рынка. И вендоры, и заказчики, и интеграторы".
Сергей Деев также считает появление данного перечня верным шагом к обеспечению информационной безопасности компаний: "Появляется централизованная информация, какие обновления можно считать доверенными и устанавливать в своих информационных системах. Важно, чтобы на портале появлялась информация по ключевым актуальным пакетам обновлений, распространенных среди компаний".
"Запуск БДУ ФСТЭК в тестовом режиме раздела с результатами тестирования обновлений ПО - это большой шаг в поддержку безопасного патч-менеджмента, который является частью процесса управления уязвимостями (vulnerability management). В октябре ФСТЭК России выпустила методичку по тестированию тех самых обновлений и получению вердикта о безопасности обновления того или иного ПО. Запущенный БДУ ФСТЭК ресурс как минимум поможет упростить процессы патч-менеджмента в любой компании, а патч-менеджмент непосредственно связан с процессом vulnerability management, - полагает Павел Попов. - Это большой шаг как минимум к уменьшению трудозатрат специалистов и, соответственно, снижению числа случаев, когда имеющееся в компании иностранное ПО просто перестает работать. Кроме того, никто не отменял бэкдоры, а любой патч по безопасности закрывает уязвимости. Портал как раз выдает всю историю, какие уязвимости закрываются этим патчем, а также сам вердикт на рассматриваемое программное обеспечение".