ФСТЭК России опубликовала инструмент под названием ScanOVAL, предназначенный для автоматического обнаружения уязвимостей в ПО серверов и рабочих станций под управлением ОС Windows.

Введение

Информационно-вычислительная система — совокупность данных (или баз данных), систем управления базами данных и прикладных программ, функционирующих на вычислительных средствах как единое целое для решения определённых задач [ГОСТ Р 53622-2009].

Далее понятие информационная система употребляется тождественно терминам: информационно-вычислительная система, операционная система, база данных, сетевое устройство и т.д.

Стандарты, приказы, рекомендации определяют требования к информационным системам. Требования к безопасной конфигурации, управлению уязвимостями и обновлениями встречаются в лучших практиках от CIS (Center for Internet Security), стандарте PCI DSS, приказах ФСТЭК и других документах.

Для проверки того, насколько информационная система соответствует требованиям, выполняют аудит информационной безопасности.Информационная система — сложный и динамичный объект. Поэтому полный, да еще и периодический, аудит безопасности админ видит в кошмарах.

Статья иллюстрирует процесс аудита информационной безопасности с учетом этого стандарта.

Структурная схема процесса автоматизированного аудита безопасности информационных систем с использованием SCAP

Openscap

Проект компании Red Hat. OpenSCAP представлен множеством продуктов, среди которых OpenSCAP Base — сканер с CLI интерфейсом и открытым исходным кодом и SCAP Workbench — сканер с GUI интерфейсом.

Интерфейс SCAP Workbench

Несмотря на то, что средства OpenSCAP подходят для Windows, бОльшие возможности представлены для unix-подобных систем, т.к. изначально проект направлен только на их оценку.

Интерпретатор запускается командой в терминале:

oscap oval eval “D:definitions.xml” –report “D:results.html”,

после чего будет выполнена проверка системы по инструкциям в OVAL-документе D:definitions.xml с сохранением результатов в файл D:results.html.

Ovaldi

В OVALdi заложены две функции — демонстрация оценки и проверка синтаксиса OVAL-документов. Тем не менее возможно использование для проведения аудита. Есть версии как для Windows, так и для Linux. Распространяется по BSD лицензии.

Управление OVALdi возможно только из командной строки и только локально.Для запуска сканирования нужно ввести команду с правами администратора:

ovaldi.exe -m -o “definitions.xml”

где m — не проверять целостность OVAL-документа, o — путь к OVAL-документу.

Scap-логика

Для упрощения многие нюансы не учтены, что принципов SCAP, в целом, не нарушает, но позволяет лучше понять сам подход. Детально SCAP-логика представлена

Схема базовой логики SCAP

XCCDF-документ содержит профили, один из которых можно выбрать для проверки, например — поиск уязвимостей в Windows 10 или соответствие каким-то конкретным требованиям. Фактически профили содержат контрольные списки, которые должны быть проверены для определения того, соответствует ли система этому профилю.

Контрольные списки содержат описательную информацию — вербальные требования, рекомендации по устранению несоответствий, метрики оценки и т.д. Все это используется для вывода пояснений к результатам проверки.

Но главное, что содержит каждый элемент контрольного списка — это ссылка на конкретное определение в связанном OVAL-документе. После обработки OVAL-определения интерпретатор возвращает результат булева типа (true или false), на основе которого делается вывод о выполнении требования из контрольного списка.

В OVAL-документе определения формируют логическую связку из тестов, которые должны быть пройдены. Каждый тест с помощью логических операторов связывает объекты и состояния.

Тесты, объекты и состояния бывают различных типов, которых достаточно много. Именно их многообразие определяет широкие возможности спецификации SCAP.

Например для Windows, в числе прочих, существует тип group_sid (group_sid_test, group_sid_object и group_sid_state), который позволяет по SID идентификатору оценить пользователей и подгруппы. А тип dpkginfo для Linux позволяет проверить информацию о заданном DPKG пакете.

Состояние в OVAL-документе задает требуемое значение параметра, который характеризует какой-то объект.

Интерпретатор при обработке теста, определяет значение параметра, характеризующее текущее состояние объекта и, в соответствии с указанной в тесте логикой, сравнивает его с заданным значением. На основе этого формируется результат теста булева типа.

В определении результаты каждого связанного теста также сравниваются в соответствии с заданной логикой, в результате чего вычисляется финальный результат, который характеризует выполнение конкретного требования из контрольного списка.

Например, если существует требование обеспечить неизменность исполняемых файлов, то при его переводе в SCAP-контент в качестве объекта будет задан конкретный исполняемый файл, который определяется полным именем: …/example.exe.

Состояние будет задано требуемым значением хеш-суммы: D41…27E. Тест будет определять операцию сравнения: equal — равенство. При этом интерпретатор вычислит хеш-сумму файла …/example.exe и сравнит ее с заданной D41…27E. В случае их совпадения — вернет положительный результат.

Svanoval

Средство, разработанное для ФСТЭК одной российской компанией. Средство бесплатное и подходит как для Windows, так и для Linux (Astra).

Интерфейс ScanOVAL

Главный недостаток состоит в следующем. Возможности средства ограничены проверкой только на уязвимости из БДУ ФСТЭК. При этом проверяется цифровая подпись OVAL-документа. Несмотря на недостатки, ScanOVAL — большой шаг ФСТЭК к небумажной безопасности.

Интерпретаторы

Формализованные требования в виде SCAP-контента являются входными данными так называемых интерпретаторов или сканеров. Сканеров существует великое множество. Раньше MITRE вел учет «авторизованных» организаций, выпускаемых ими

. Теперь этим занимается CIS. Я не нашел на их сайте такой-же перечень.

Рассмотрим некоторые бесплатные интерпретаторы: OVALdi, OpenSCAP и ScanOVAL.

Исправление

Возможности протокола SCAP предполагают автоматическое исправление найденных несоответствий и устранение уязвимостей (функционал должен поддерживаться системой автоматизированного аудита).

Такой вариант кажется неплохим, но автоматические исправления могут нарушить работоспособность системы, поэтому использовать эти возможности нужно вдумчиво.

Наиболее распространен вариант, когда результаты проверки представлены перечнем невыполненных требований и текстовым описание действий, которые нужно выполнить для исправления. Например как в бесплатной версии CIS-CAT.

Пример результатов интерпретатора CIS-CAT Lite с рекомендациями по устранению

Результаты

Согласно спецификации SCAP результаты аудита представляюстя в формате ARF (Asset Reporting Format).

Отчет в формате ARF содержится в XML-документе и включает описания профилей, требований из контрольных списков и итоговые результаты по каждому пункту из контрольного списка.

Как правило, результаты сканирования преобразуются к удобочитаемому виду.

Пример результатов проверки Windows 10 на наличие уязвимостей с помощью интерпретатора OVALdi

Старт открытого тестирования программы “scanoval для linux”. новости компании алтэкс-софт

Компания АЛТЭКС-СОФТ приглашает принять участие в открытом тестировании программы «ScanOVAL для Linux» — инструмента для проведения автоматизированных проверок на наличие уязвимостей ПО, работающего под управлением операционных систем семейства Linux, опубликованных в Банке данных угроз безопасности информации (БДУ) ФСТЭК России. На сайте БДУ можно свободно скачать эту программу, а также оставить вопрос, замечания и любые предложения по работе программы через форму обратной связи или электронную почту.

Первая версия программы предназначена для проверки на уязвимости в локальном режиме ОС специального назначения Astra Linux Special Edition версии 1.6, а также общесистемного и прикладного ПО, входящего в её состав. В разработке программы и её базы данных проверок непосредственное участие принимала компания АЛТЭКС-СОФТ.

Основные функции «ScanOVAL для Linux» — проведение оценки защищенности ОС и ПО на наличие уязвимостей, сведения о которых содержатся в банке данных угроз безопасности информации ФСТЭК России и бюллетенях разработчиков. Предполагается регулярное обновление базы данных программы новыми уязвимостями. По результатам проверок имеется возможность построения отчетов в формате HTML и CSV.

Обращаем внимание, что Программа ScanOVAL для Linux может использоваться только для исследовательских целей, в частности, для поиска уязвимостей ПО, разработки и отладки описаний (определений) на языке OVAL проблем безопасности программных продуктов, функционирующих на платформе Linux. Для коммерческого использования, а также для проведения проверок в сетевом режиме рекомендуется использовать профессиональные сканеры уязвимостей.

«Инициатива ФСТЭК России по предоставлению свободно распространяемого инструмента для проверки на наличие известных уязвимостей отечественных Linux-подобных ОС одновременно помогает решить множество вопросов. Это и информирование пользователей об выявленных уязвимостях используемого ПО, и стимулирование разработчиков ПО на своевременное их устранение, и непосредственно привлечение внимания к БДУ и проблеме безопасного использования ПО в целом», – комментирует Сергей Уздемир, заместитель генерального директора по ИТ компании АЛТЭКС-СОФТ.

Про сертификаты:  Скачать сертификаты выданные СТАНДАРТ-ТЕСТ | - Сертификаты соответствия

Следите за новостями, в ближайшее время будет анонсирован ScanOVAL для Linux и для других российских ОС на базе Linux.

Требования

Регуляторы, исследователи, руководители определяют в законах, рекомендациях и политиках высокоуровневые бумажные требования к информационным системам.

Например PCI DSS определяет требования к безопасной конфигурации систем и управлению уязвимостями.

Управление конфигурациями и уязвимостями — элемент системы управления информационной безопасностью. Этот элемент включает обязательную периодическую проверку того, насколько конфигурации систем остаются неизменными, а новые уязвимости закрываются патчами.

CIS в последних рекомендациях указывает на необходимость выполнения следующих четырех пунктов:

Выполнение указанных требований предполагает автоматизацию. Проблема автоматизации аудита — высокоуровневое неформализованное описание требований. Для автоматизации требования должны быть выражены на языке, который понятен машине. Решение предложил NIST и в 2009 году разработал спецификацию SCAP.

Фстэк россии опубликовала инструмент под названием scanoval, предназначенный для автоматического обнаружения уязвимостей в по серверов и рабочих станций под управлением ос windows.

Заключение

Автоматизация аудита — важнейшая задача информационной безопасности, ее актуальность обусловлена количеством, сложностью и динамичностью систем, которые должны соответствовать определенным требованиям.

SCAP предоставляет гибкую и многогранную методологию автоматизации, которая, однако, имеет недостатки:

С другой стороны, с точки зрения конечного пользователя, средства SCAP это простой и эффективный инструмент, который позволяет сократить временные затраты и повысить уровень безопасности администрируемой инфраструктуры.