Обеспечение безопасности расширений в корпоративных информационных системах

Как обстоят дела у «них» и у «нас»

Андрей Петухов

Thursday, September

Цель и метод• Cравнить степень осознания задачи по защите бизнес приложений у “нас” и у “них” (на примере SAP и 1C)

• Метод:✓ определим, что же такое бизнес-приложения

✓ опишем высокоуровневую структуру бизнес-приложений и определим характерные черты бизнес-приложений (BS)

✓ используем структуру для постановки задачи комплексной защиты

✓ разделим задачи по защите на типичные и специфичные именно для BS

✓ рассмотрим подходы к решению специфичных задач

✓ сделаем выводы и поставим диагноз

Thursday, September

Making things clear

• business software vs idleness software

Thursday, September

High-level view on BS

Инфраструктура для работы РИСМногозвенная слабо связанная архитектура

Платформа для автоматизации и контроля БПСистема поддержки разработки и выполнения программ на DSL, стандартная библиотека

Наполнение платформыПрограммы на DSL

Thursday, September

Ключевая особенность BS• Подходы к обеспечению безопасности BS и

Unreal Idleness будут различаться. Почему?

• Ключевой особенностью BS является

✓ огромная ценность обрабатываемой информации

✓ критичность в свете обеспечения непрерывности и эффективности бизнес процессов

• Последствия реализации одних и тех же угроз для обычных РИС и для бизнес-приложений различаются кардинально

• Неактуальные задачи для обычного ПО становятся актуальными для BS

• Затраты на Application Security vs Infrastructure Security

Программы на DSLUnreal Script

Среда выполнения программ на DSLUnreal Engine

Инфраструктура для работы РИСМногозвенная слабо связанная архитектура

Система Unreal Idleness

Thursday, September

Уязвимости в РИС• Уязвимость может быть в любом компоненте РИС

• Уязвимость может быть привнесена в РИС на любом этапе жизненного цикла ее компонента

• Компоненты РИС бывают стандартными, сторонними и собственными

• Чем выше в схеме компонент РИС, тем меньше его распространенность

• Вероятность обнаружения уязвимости и ее Impact Factor зависит от распространенности компонента

• Для распространенных компонентов формируется своя экосистема по обеспечению их безопасности

• Из-за их природы, к программам на DSL не применимы существующие средства статического анализа, фреймворки для тестирования и пр.

• Для собственных компонентов требования к безопаности должны предъявляться на этапе разработки, по результатам моделирования угроз

Thursday, September

Ничего не напоминает?

Thursday, September

Стандартные компоненты• Реализация принципа ограниченности ущерба

• Patch management

• Best practices по внедрению, конфигурации, эксплуатации и аудиту

• Системы мониторинга и обнаружения вторжений

• Сканеры уязвимостей (Nessus, MaxPatrol, ERPScan для SAP, для 1с - ???)

Инфраструктура для работы РИСМногозвенная слабо связанная архитектура

Платформа для автоматизации и контроля БПСистема поддержки разработки и выполнения программ на DSL, стандартная библиотека

Thursday, September

Собственные компоненты• Угрозы✓ программные закладки

✓ уязвимости (прежде всего Input Validation)

• Важные факторы✓ тенденция к интеграции с веб-технологиями и выходу в Интернет

✓ отсутствие требований к безопасности собственного ПО

✓ ограниченность инструментария для анализа программ на DSL

Наполнение платформыПрограммы на DSL

Thursday, September

Программные закладки

• Методически✓ без спецификации - теоретически неразрешимая задача

✓ варианты хоть какого-то решения: code review, сигнатурный статический анализ, динамический анализ с подсчетом покрытия

• Практически✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от

Fortify; предложения по code review

✓ 1С Предприятие - ???

Thursday, September

Уязвимости в custom-коде• Методически✓ определение зависимости аргументов критичных функций от пользовательского ввода при отсутствии его обработки

✓ варианты решения: code review, статический taint-анализ, динамический taint-анализ, black-box тестирование по словарю атак

✓ словари атак black-box сканеров должны быть расширены специализированными векторами атак

• Практически✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от

Fortify; предложения по code review; отчасти black-box сканеры

✓ 1С Предприятие - отчасти black-box сканеры

Thursday, September

Выводы

• У “них”: осознание проблемы уже находится на уровне необходимости защиты собственных расширений

• У “нас”: осознание проблемы находится на уровне необходимости защиты платформы

• Диагноз: владельцы инсталляций 1С Предприятия практически беззащитны перед технически грамотными инсайдерами, имеющими доступ к конфигурациям 1С

Thursday, September

Спасибо за внимание

• Email: andrew.petukhov@internalsecurity.ru

• WWW: http://internalsecurity.ru/

• Web log: http://andrepetukhov.wordpress.com/

• Tel: +7 (495) 774-90-48

Thursday, September