Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК

    9 декабря 2016 года вступили в силу Требования к межсетевым экранам, утвержденные в Информационном сообщении ФСТЭК от 28 апреля 2016 года. Все МЭ – производимые, поставляемые и разрабатываемые – к моменту вступления Требований в силу должны быть сертифицированы.

    Прошел год, и что же? Сертификатом могут похвастать всего несколько компаний, среди них и «Смарт-Софт». Сейчас, когда мы прошли через все тернии сертификации, мы совсем не удивлены, почему так мало тех, кто дошел до конца. Мы расскажем, как мимикрировал наш продукт под новые условия, поделимся особенностями проверки со стороны государства и покажем, была ли от доработок польза для конечного пользователя. Впрочем, обо всём по порядку.

    surprise attack

    Для производителей МЭ заинтересованность в сертификации очевидна: это «пропуск» на рынок B2G (другими словами, в государственные организации — медучреждения, школы, ВУЗы и т.д.). Ряд специалистов, однако, уже высказывал сомнения по поводу реальной пользы сертификата для потребителя. В частности, было отмечено, что от производителя не требуется добавлять функцию обновления продукта. При этом вредоносное ПО развивается постоянно, и изначальная сертифицированная версия от актуальных вирусных угроз отстанет очень быстро.

    Так в чем польза? Неясно было, станет ли администратору удобнее работать с МЭ после сертификации: никаких требований по централизованному управлению, режимам работы и т.д. не высказывалось. Были вопросы и менее критичные: зачем требовать отправку стольких оповещений? Очевидно было и то, что сертификацию пройти непросто: компаниям потребуются новые экспертизы (например, юридическая поддержка имеется не у всех поставщиков ИТ-услуг).

    Особенности сертификации МЭ Traffic Inspector Next Generation


    Немного об объекте проверки.
    Traffic Inspector Next Generation — программно-аппаратное решение по сетевой безопасности. Разворачивается в качестве шлюза на границе сети и служит входной точкой в сеть. Администрируется через веб-интерфейс по защищенному HTTPS-подключению и по протоколу SSH с использованием терминальной программы. В качестве среды выполнения использует ОС FreeBSD 10.

    По классификации Gartner относится к UTM (unified threat management), инспекция и фильтрация пакетов позволяют отнести его к NGFW — фаерволлам следующего поколения. Основано решение на открытом коде проекта OPNsense.


    Прохождение сценариев тестирования


    В сентябре 2016 года мы начали взаимодействие с испытательной лабораторией ЗАО «Документальные системы» для прохождения сертификации, в декабре лаборатория приступила к анализу предоставленного дистрибутива. Сертификация ФСТЭК была довольно скрупулезной. Проверяли не только программный код продукта и его модулей, но и базовую операционную систему. Проверка на прохождение сценариев тестирования заняла несколько месяцев. Доработки были вначале небольшими: блокирование конкретного трафика, создание оповещений о различных событиях.

    Пришлось реализовать оффлайновую установку обновлений, поскольку в некоторых инсталляциях Traffic Inspector Next Generation размещается внутри закрытого от интернета периметра.

    Проверка на скрытый код


    Пожалуй, самой сложной частью работы было доказать, что недекларированных возможностей нет ни в BIOS, ни на накопителях аппаратных платформ. И вот вам одна из причин, по которой сертификация – плюс для конечного пользователя.

    Процедура доказательства заняла еще примерно четыре месяца: с мая по август. Эта длительность понятна. В 2012 году вредоносный код нашелся в партии микросхем, произведенных в Китае, что стоило менеджерам одного крупного бренда многих нервных клеток. Тогда о «закладках» и заговорили всерьёз. Решающее слово досталось Дж. Броссару, который представил доклад «Аппаратный бекдоринг – это удобно» (Johnatan Brossard, Hardware Backdooring is practical) на конференции Black Hat. Впрочем, в нашем случае всё прошло довольно скучно: недостатков и уязвимостей обнаружено не было.

    Проверка целостности кода, аудит сборки


    Чтобы у пользователя были гарантии, что и на будущее нежелательных изменений не будет – нам по требованию ФСТЭК предстояло добавить самоконтроль целостности. Имеется в виду проверка контрольных сумм всех неизменяемых файлов и файла конфигурации, а также автоматическое восстановление конфигурации, измененной неавторизованным способом.

    По требованию контролирующего органа, все события, связанные с изменениями конфигурации, теперь детально протоколируются. Администратору направляется нотификация при критических событиях безопасности (например, разнице контрольных сумм). Таким образом, несанкционированная модификация системы исключается — еще один плюс.

    С аудитом сборки было связано много задач. Для контрольной сборки пришлось даже настраивать сервер, чтобы специалисты контролирующего органа сами могли убедиться: конкретные объектные файлы собираются из конкретных исходников, а бинарные файлы, в свою очередь, — из конкретных объектников. Предоставлена была и возможность зафиксировать контрольные суммы исходных файлов.

    Результаты сертификации


    Доработки по требованию комиссии ФСТЭК коснулись системы оповещения о событиях, протоколирования, обновления, аудита целостности.

    К ноябрю 2017 года у нас была возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ оценили систему оповещений и возможность через браузер управлять блокировками, получать доступ к статистике, простой интерфейс.

    На сертификацию у нас ушел год. Это была большая, сложная работа, о которой мы не пожалели. Продукт полностью проверен, приведен в соответствие с требованиями. Значит ли это, что с нашим межсетевым экраном не страшны сетевые угрозы? Да, если соблюдать очевидные меры безопасности, а лучше — еще и обучать сотрудников основным принципам сетевой безопасности. На сегодня никаких «закладок», «бекдоров» и других уязвимостей в нашем продукте не обнаружено. Мы продолжаем следить за его качеством, чтобы и в дальнейшем все было в порядке.

    Можно много спорить о том, полезна ли сертификация конечному пользователю. Но главным нам кажется, вот что: готов ли производитель дорабатывать свой продукт? Имеет ли он ресурсы вовремя исправлять найденные недостатки? Открыт ли он для критики?

    Сертификация ФСТЭК в этом контексте – тест, показывающий уровень компетенций разработчика. Мы его прошли, отчего испытываем нескрываемое удовлетворение. Мы уважаем наших конкурентов, которые также прошли это испытание — значит, у нас достойные соперники (впрочем, их единицы). Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе? Впрочем, мы не настаиваем на своём мнении и готовы подискутировать в комментариях к статье :)

    Команда «Смарт-Софт»

    Smart-Soft

    50,85

    Компания

    Поделиться публикацией
    Комментарии 56
      +2
      Т.е. FreeBSD 10 проверку ФСТЭК тоже прошла?
        0
        Так как это составной компонент Traffic Inspector Next Generation, а сертифицировался весь комплекс безопасности – выходит что да :)
        +3
        проверка базовой системы — это вообще как? Там 10050 строк кода, ну не реально же перелопатить, понять и оценить.
          0
          Сертифицируют. Причём не только ФСТЭК но ещё отдельные сертификаты МО и ФСБ есть со своими требованиями и различиями.
          Другой вопрос как это всё лопатят и проверяют )
            0
            Скорее всего не лопатят и не проверяют. Возможно просто проверяют внешнюю активность. А так это 10 тясяч программистов системных садить надо, чтобы во вменяемый срок проверить.
            0
            Это нужно спросить у ФСТЭК, как они проверяли. Мы получили ответ, что система соответствует требованиям, выдвинутым сертифицирующим органом.
            +4
            Методики, исходные данные и результаты исследований публике не доступны? Тогда сертификат — филькина грамота. Ему можно верить, а можно и нет…
              0
              Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
              Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
                +1
                А кто-то НЕ сомневается в отечественной системе защиты информации? Я точно знаю, что существуют уязвимости на отказ в обслуживании (вероятно и на RCE) в сертифицированном ФСТЭК софте. Без конкретики, ессно.
                  0
                  В вашем понимании читается, что сертификация ФСТЭК проходит на все уязвимости и атаки, с чем не могу согласиться.
                  Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
                  Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.
                    0
                    Винить ФСТЭК и Ко стоит в том, что имеется эта самая бумажная безопасность. Которая отнимает силы и средства от безопасности реальной. Когда важнее «у нас все соответствует требованиям», а не реальное отсутствие SQLi, RCE и иже с ним.
                      +1
                      Вас никто не заставляет покупать нечто, что имеет уязвимости. Чем вызвано негодование, если никто не запрещает использовать СОА/СОВ или WAF?
                      Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
                      Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.

                  +1
                  Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
                  Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?

                  Да пожалуйста:

                  В конце 2013 была опубликована очередная порция разоблачений Сноудена — каталог различных программных и аппаратных закладок, разработанных подразделением АНБ — ANT. Вся информация о закладках носит гриф «Секретно» (Secret, S) либо «Совершенно секретно» (Top Secret, TS) и должна оставаться секретной до 2032 года.

                  Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
                  Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.

                    +1
                    Сложно прокомментировать, т.к. в реестре средств защиты информации не нашел информации о сертификации указанных продуктов.
                    Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).
                      0

                      Легко представить ситуацию, где наличие сертификата у продукта означает гарантию нахождения в нём уязвимости. И я даже не про наличие требования бэкдора для "большого брата". Взломают, например, гостовские алгоритмы и сообщат со всем подробностями на Хабре :) Сколько, по-вашему, потребуется регуляторам времени чтобы, хотя бы, разрешить переключиться на альтернативные алгоритмы, там где переключение возможно технически, без нарушения закона?

                        0
                        Давайте говорить на конкретных примерах, нафантазировать можем много.
                        Диалог плавно переходит из русла сертификации ФСТЭК в ФСБ.
                        Ответы на ваши вопросы размещены на сайте ТК-26, а в частности, закладывается переходный период или вводится запрет на эксплуатацию. Т.е. работа над обращением алгоритмов шифрования ведется планомерно, а не имеет характер «разовой работы».
                +3
                Очень рекомендую, кстати, посмотреть на сайте ФСТЭК на перечень уязвимостей в CMS, которую вы на своем сайте используете. Как минимум одна там не перечислена. Что наводит на странные мысли о «полезности» как списка уязвимостей, так и самого ФСТЭК
                  +1
                  Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
                  Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
                    +2
                    Лаборатория принимает патчи. Да не быстро, да стоит денег.
                      0
                      Очень интересно что они будут делать с микрокодом для процессоров?
                        +2
                        Получат денежку, поставят печать. На этом в 90% случаев все и закончится.
                      +1
                      Ааа, ну все ясно теперь, очередной сравнительно законный способ отъема денег.
                        0
                        Сколько по факту времени займёт сертифицировать новый небольшой патч к ядру в лучшем случае?
                          +1
                          Нет отдельно выделенных патчей для ядра или базовой системы — сертифицируется весь комплекс в целом. Когда пройдем первую ресертификацию, сможем более детально об этом написать.
                            +1

                            Если я правильно помню, то по регламенту предусматривается сокращённый путь исследования.

                          0
                          Сейчас процедура сертификации не предполагает быстрой проверки обновлений для сертифицированной версии. Каждое обновление необходимо «прогонять» по полному циклу тестирования. Надеемся, что в будущем это изменится и появится методика ускоренной ресертификации обновлений и доработок.
                          0
                          Сертификация — очень муторное занятие, но местами увлекательное. Такие штуки, как подсчет строк кода в мультиязычном проекте — повод померяться)))
                          Сопоставление исходных и объектных файлов, описание сертифицируемого функционала отнимает массу времени. В конечном счете, сертификат все равно не является чем-либо большим, чем бумажка. Однако при работе с ГОСами без нее не обойтись.
                            +1
                            По поводу межсетевых экранов — это отдельная тема.
                            Посмотрев на реализацию некоторых хочется плакать. Говорю про СТРОМ. Который представляет по сути ретранслятор оптики в медь, в котором используется только одна оптическая жила в определенном направлении с кривым софтом и ужасной документацией, однако обладающим нужными сертификатами для того, чтобы заломить ценник.
                            P.S. U_bobra_estb_usiki
                              0
                              Это не МЭ в традиционном понимании, а диод данных — однонаправленный шлюз..На самом деле неплохая вещь. Непробиваемость на эксфильтрацию данных на уровне физики.
                              +1
                              Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе?

                              Ме..., ну такое себе.
                                +5
                                Все это филькина грамота, сертификация ФСТЭК. Обновлять продукты нельзя не ресертифицируя, если с персданными работаешь. И стоят эти продукты с дырами годами. Так что получается все наоборот, не защита данных, а разведение дыр. И даже банальные косяки нельзя исправить в программе.
                                  +1

                                  Предложите как лучше.

                                    +1
                                    В случае с ПДн — усилить ответственность, но убрать сертификационные требования.
                                      0

                                      Ответственность за что? За утечку, за создание условий когда утечка возможна или др.?
                                      Сертификационные требования исполнитель может использовать чтобы выбить средства на мероприятия хоть какие-то из руководства /вышестоящей организации.

                                        0

                                        За нарушение закона о ПДн, прежде всего за нецелевое использование ПДн, в том числе утечки. Экспертиза, анализ на сооотвествие, по желанию или в рамках судебных дел.

                                  0

                                  Обновленные версии выпускаются, с новыми котролями, суммами, формулярами и т.д.
                                  У многих производителей СЗИ соответствующие разделы или объявления на сайтах. Часто обновление и доставка (это носитель и бумаги) за счет производителя.

                                    0
                                    Много лет назад на форуме этой компании спрашивал насчёт лицензионной частоты:
                                    Данное ПО работает на платформе Windows. По лицензионнной политике Microsoft каждому клиенту сервера требуется клиентская лицензия (за исключением FTP и WEB служб). Т.е. недостаточно купить лицензию на 50 пользователей вашего экрана — нужно купить ещё 50 лицензий на Windows(!)
                                    Компания Smartsoft скромно умалчивает этот факт.
                                      0
                                      Они с винды на никс уже соскочили в ng версии.
                                      0
                                      Простите, но — не верю.
                                      Для меня слово сертификация означает лишь то что «уплочена денежка» и ящик коньяка занесён «куда надо». И нужна эта бумажка лишь для прикрытия, мол если что — у нас продукт сертифицированный, пишите в спортлото.

                                      Вот если бы ваши исходные тексты показали компании-разработчику статического анализатора кода, паре-тройке антивирусных компаний, пригласили бы ознакомиться нескольких признанных специалистов в данной отрасли (выложив в публичный доступ сканы заключений)…

                                        0
                                        Государственная сертификация — это проверка софта на требования государства. Государство само решает, что ему нужно, ящик коньяка или анализ исходников. Для простых пользователей она мало что даёт, даже если доверие к государству откуда-то есть. Проблема только в том, что государство влезает в дела простых пользователей, обязуя их ставить сертифицированный софт.
                                        0

                                        mihmig: Мне кажется, что вы недопонимаете что такое сертификация и зачем она нужна.
                                        Сертификация проводится на соответствие каким-либо требованиям, и, соответственно, сертификат — это документальное подтверждение того, что по результатам анализа ПО соответствует требованиям.
                                        Наличие сертификата не гарантирует отсутствия проблем у ПО, это лишь подтверждение того, что ПО как минимум обладает нужными свойствами.
                                        По уму, требования на МЭ от ФСТЭК'а это всего лишь часть ТЗ на продукт. И требования на мой взгляд довольно разумные.
                                        Текущая система сейчас неповоротлива, и не всегда поспевает за изменениями, но довольно последовательна. Я не знаю другого способа, как обеспечить необходимый уровень качества ПО, которое поставляется в госорганизации.

                                          0
                                          Спасибо за разъяснения.
                                          Просто у меня сложилось впечатление что сертифицированный продукт (не только ПО) — это продукт проверенный на качество. А оно вон как выходит.
                                          Жаль только что производители «сертифицироанного ПО» выдают одно за другое (а пользователи принимают это).
                                            0

                                            Я в своё время идею текущих требований понял так:
                                            сертификация гарантирует минимальное качество/соответствие необходимым (но не достаточным) требованиям, а дальше в игру вступает в рынок и производители, конкурируя между собой, обеспечивают качество.

                                          0
                                          А как быть если обнаружилась ошибка и без изменений в код не обойтись? По новой сертификацию проходить?
                                            0
                                            Ресертификация. Такой стандарт.
                                              +1
                                              Господа. Убедительная просьба.
                                              Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
                                              Прошу меня извинить, но глаз режет это слово — «ресертификация» )
                                                0

                                                И она как раз, в теории, должна занимать меньше времени/затрат.

                                                  0
                                                  Именно так.
                                                  Однако если это аппаратно-программная платформа, то получится ли так с ней?
                                                  Ибо сертифицируется платформа в целом, именно, в таком случае.
                                                  По крайней мере насколько мне известно.
                                                    0
                                                    Есть регламент закрытия уязвимостей, прописанный в приложении к Формуляру, который предполагает:
                                                    1. Информирование всех клиентов об обнаруженной уязвимости, с инструкцией, как избежать эксплуатации уязвимости, описанием организационно-технических мероприятий по устранению возможности эксплуатации уязвимости;
                                                    2. Выпуск патча или обновления и донесения его до клиента с занесением записи в Формуляр;
                                                    3. Затем патч передается в Испытательную Лабораторию и ФСТЭК, проводится инспекционный контроль;
                                                    4. После проведения контроля изменения вносятся в сертификат, эксплуатационную документацию и производитель обновляет сертификаты и документацию у своих клиентов.
                                                    Это в теории и это разумно. Осталось, чтобы и на практике было также.
                                              0
                                              А какие закладки были добавлены по требованиям ФСТЭК?
                                                0
                                                В каждый сотый комплект поставки мы обязаны добавить к формуляру самодельную закладку в стиле оригами из бумаги непременно синего цвета.
                                                  0
                                                  Все закладки должны быть отражены в документации.
                                                  Поэтому можно посмотреть именно там.
                                                  0
                                                  Господа.
                                                  А почему отказались от идеи реализации МЭ+СОВ сразу?
                                                  Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.
                                                    0

                                                    Продукт может иметь несколько сертификатов сразу: и МЭ, и СОВ, и антивирус, и СЗИ.

                                                      0
                                                      В сертифицированной версии решения системы обнаружения и предотвращения вторжений действительно нет. Сертификация функционала запланирована.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое