Обеспечение безопасности программного обеспечения

Обеспечение безопасности программного обеспечения — это процесс, который помогает разрабатывать и внедрять программное обеспечение , которое защищает данные и ресурсы, содержащиеся в этом программном обеспечении и контролируемые им. Программное обеспечение само по себе является ресурсом, и поэтому ему должна быть обеспечена соответствующая безопасность .

Что такое обеспечение безопасности программного обеспечения?

Обеспечение безопасности программного обеспечения (SSA) — это процесс обеспечения того, чтобы программное обеспечение было разработано для работы на уровне безопасности, соответствующем потенциальному ущербу, который может возникнуть в результате потери, неточности, изменения, недоступности или неправильного использования данных и ресурсов, которые он использует, контролирует и защищает. ^{[ 1 ]}

Процесс обеспечения безопасности программного обеспечения начинается с идентификации и классификации информации, которая должна содержаться в программном обеспечении или использоваться им. Информация должна быть классифицирована в соответствии с ее конфиденциальностью . Например, в самой низкой категории влияние нарушения безопасности минимально (т. е. влияние на миссию, функции или репутацию владельца программного обеспечения незначительно). Однако для высшей категории воздействие может представлять угрозу для человеческой жизни; может оказать непоправимое влияние на миссию, функции, имидж или репутацию владельца программного обеспечения; или может привести к потере значительных активов или ресурсов.

После того как информация классифицирована, можно разработать требования безопасности. Требования безопасности должны касаться контроля доступа , включая доступ к сети и физический доступ; управление данными и доступ к данным; контроль окружающей среды (электроэнергия, кондиционирование воздуха и т. д.) и автономное хранение ; безопасность человеческих ресурсов; а также контрольные журналы и записи использования.

Что вызывает проблемы с безопасностью программного обеспечения?

Все уязвимости безопасности в программном обеспечении являются результатом ошибок или дефектов безопасности в программном обеспечении. В большинстве случаев эти дефекты возникают по двум основным причинам: (1) несоответствие или неспособность удовлетворить требования; и (2) ошибка или упущение в требованиях к программному обеспечению.

Несоответствие или невыполнение требований

Несоответствие может быть простым (наиболее распространенным является ошибка или дефект кодирования) или более сложным (например, незначительная ошибка синхронизации или ошибка проверки ввода). Важным моментом в отношении несоответствий является то, что методы проверки и валидации предназначены для их обнаружения, а методы обеспечения безопасности предназначены для их предотвращения. Усовершенствования этих методов с помощью программы обеспечения безопасности программного обеспечения могут повысить безопасность программного обеспечения.

Ошибки или упущения в требованиях к программному обеспечению

Наиболее серьезные проблемы безопасности программных систем возникают, когда требования к программному обеспечению неверны, не подходят или неполны для конкретной ситуации в системе. К сожалению, ошибки или упущения в требованиях выявить труднее. Например, программное обеспечение может работать точно так, как требуется при обычном использовании, но требования могут неправильно учитывать некоторые состояния системы . Когда система входит в это проблемное состояние, это может привести к неожиданному и нежелательному поведению. Проблемы такого типа невозможно решить в рамках программной дисциплины; это происходит из-за сбоя процессов разработки системы и программного обеспечения, которые разработали и определили системные требования к программному обеспечению.

Деятельность по обеспечению безопасности программного обеспечения

Существует два основных типа деятельности по обеспечению безопасности программного обеспечения.

Некоторые фокусируются на обеспечении того, чтобы информации, обрабатываемой информационной системой, была присвоена надлежащая категория конфиденциальности, а также на том, что соответствующие требования защиты были разработаны и соблюдены в системе.
Другие сосредоточены на обеспечении контроля и защиты программного обеспечения, а также инструментов и данных поддержки программного обеспечения.

Как минимум, программа обеспечения безопасности программного обеспечения должна гарантировать, что:

Для программного обеспечения была проведена оценка безопасности.
К программному обеспечению установлены требования безопасности.
Требования безопасности установлены для процессов разработки и/или эксплуатации и обслуживания (O&M).
Каждая проверка или аудит программного обеспечения включает оценку требований безопасности.
создавали нарушений безопасности или Существует процесс управления конфигурацией и корректирующих действий для обеспечения безопасности существующего программного обеспечения и обеспечения того, чтобы любые предлагаемые изменения непреднамеренно не уязвимостей .
Физическая безопасность программного обеспечения достаточна.

Построение безопасности

Улучшение процесса разработки программного обеспечения и создание лучшего программного обеспечения — это способы повысить безопасность программного обеспечения за счет создания программного обеспечения с меньшим количеством дефектов и уязвимостей. Подход первого порядка заключается в определении критических компонентов программного обеспечения, которые контролируют функции, связанные с безопасностью, и уделении им особого внимания на протяжении всего процесса разработки и тестирования. Такой подход помогает сосредоточить ограниченные ресурсы безопасности на наиболее важных областях.

Инструменты и методы

Существует множество готовых коммерческих пакетов программного обеспечения (COTS), которые доступны для поддержки деятельности по обеспечению безопасности программного обеспечения. Однако перед использованием эти инструменты необходимо тщательно оценить и убедиться в их эффективности.

Перечень распространенных недостатков

Один из способов улучшить безопасность программного обеспечения — лучше понять наиболее распространенные недостатки , которые могут повлиять на безопасность программного обеспечения. Учитывая это, в настоящее время существует общественная программа под названием «Проект по подсчету общих слабых мест». ^{[ 2 ]} который спонсируется корпорацией Mitre для выявления и описания таких недостатков. Список, который в настоящее время находится в весьма предварительной форме, содержит описания распространенных недостатков, неисправностей и дефектов программного обеспечения.

Анализ архитектуры/проектирования безопасности

Анализ архитектуры /проектирования безопасности подтверждает, что проект программного обеспечения правильно реализует требования безопасности. Вообще говоря, существует четыре основных метода, которые используются для анализа архитектуры/проектирования безопасности. ^{[ 3 ]}^{[ 4 ]}

Логический анализ

Логический анализ оценивает уравнения , алгоритмы и логику управления проектом программного обеспечения.

Анализ данных

Анализ данных оценивает описание и предполагаемое использование каждого элемента данных, использованного при разработке программного компонента . Использованию прерываний и их влиянию на данные следует уделять особое внимание, чтобы гарантировать, что процедуры обработки прерываний не изменяют критические данные, используемые другими программами.

Анализ интерфейса

Анализ интерфейса проверяет правильность проектирования интерфейсов программного компонента с другими компонентами системы, включая компьютерное оборудование , программное обеспечение и конечных пользователей .

Анализ ограничений

Анализ ограничений оценивает проект программного компонента на предмет ограничений, налагаемых требованиями и ограничениями реального мира. Проект должен учитывать все известные или ожидаемые ограничения программного компонента. Эти ограничения могут включать ограничения по времени, размеру и пропускной способности, ограничения входных и выходных данных, ограничения уравнений и алгоритмов, а также другие ограничения конструкции.

Безопасные проверки кода, проверки и пошаговые руководства

программного обеспечения Анализ кода проверяет, что исходный код написан правильно, реализует желаемый дизайн и не нарушает никаких требований безопасности. Вообще говоря, методы, используемые при анализе кода, аналогичны методам, используемым при анализе дизайна.

безопасности Проверки кода проводятся во время и в конце этапа разработки, чтобы определить, удовлетворены ли установленные требования безопасности, концепции проектирования безопасности и спецификации, связанные с безопасностью. Эти обзоры обычно состоят из представления материала группе обзора. Проверка безопасного кода наиболее эффективна, когда ее проводит персонал, не принимавший непосредственного участия в разработке проверяемого программного обеспечения.

Неофициальные обзоры

Неофициальные проверки безопасного кода могут проводиться по мере необходимости. Для проведения неофициальной рецензии разработчик просто выбирает одного или нескольких рецензентов и предоставляет и/или представляет материал для рецензирования. Материал может быть столь же неформальным, как псевдокод или рукописная документация.

Официальные обзоры

Официальные проверки безопасного кода проводятся в конце этапа разработки каждого программного компонента. Заказчик программного обеспечения назначает официальную группу проверки, которая может принять или повлиять на решение «идти/не идти» о переходе к следующему этапу жизненного цикла разработки программного обеспечения .

Проверки и обходы

Проверка или пошаговое руководство по безопасному коду — это детальное изучение продукта, поэтапное или построчное (исходного кода ). Целью проведения безопасных проверок или обходов кода является обнаружение ошибок. Обычно группа, выполняющая проверку или обход, состоит из коллег из отделов разработки, проектирования безопасности и обеспечения качества .

Тестирование безопасности

программного обеспечения Тестирование безопасности , включающее тестирование на проникновение , подтверждает результаты проектирования и анализа кода, исследует поведение программного обеспечения и проверяет его соответствие требованиям безопасности. Специальное тестирование безопасности, проводимое в соответствии с планом и процедурами тестирования безопасности, устанавливает соответствие программного обеспечения требованиям безопасности. Тестирование безопасности направлено на обнаружение слабых мест программного обеспечения и выявление экстремальных или неожиданных ситуаций, которые могут привести к сбою программного обеспечения, что может привести к нарушению требований безопасности. Усилия по тестированию безопасности часто ограничиваются требованиями к программному обеспечению, которые классифицируются как «критические» элементы безопасности.

См. также

Ссылки

^ Герцель, Карен М.; Виноград, Теодор; МакКинли, Холли Л.; О, Линдон Дж.; Колон, Майкл; МакГиббон, Томас; Федчак, Элейн; Вьенно, Робер (31 июля 2007 г.). «Обеспечение безопасности программного обеспечения: отчет о современном состоянии (SAR)» . Форт Бельвуар, Вирджиния. дои : 10.21236/ada472363 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «Проект перечисления общих слабых сторон» . Проверено 26 августа 2010 г.
^ Тестирование безопасности веб-приложений
^ «Каталог слабых мест архитектуры безопасности». Международная конференция IEEE по архитектуре программного обеспечения (ICSA), 2017 г. doi:10.1109/ICSAW.2017.25.

[1] Герцель, Карен М.; Виноград, Теодор; МакКинли, Холли Л.; О, Линдон Дж.; Колон, Майкл; МакГиббон, Томас; Федчак, Элейн; Вьенно, Робер (31 июля 2007 г.). «Обеспечение безопасности программного обеспечения: отчет о современном состоянии (SAR)» . Форт Бельвуар, Вирджиния. дои : 10.21236/ada472363 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[common-weaknesses-2] «Проект перечисления общих слабых сторон» . Проверено 26 августа 2010 г.

[3] Тестирование безопасности веб-приложений

[4] «Каталог слабых мест архитектуры безопасности». Международная конференция IEEE по архитектуре программного обеспечения (ICSA), 2017 г. doi:10.1109/ICSAW.2017.25.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

v т и Информационная безопасность
Связанные категории безопасности	Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс-торговля Компьютерное мошенничество Кибергеддон Кибертерроризм Кибервойна Электромагнитная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами	vectorial version
Угрозы	Рекламное ПО Расширенная постоянная угроза Выполнение произвольного кода Бэкдоры Бомбы Вилка Логика Время Почтовый индекс Аппаратные бэкдоры Внедрение кода Криминальное ПО Межсайтовый скриптинг Межсайтовые утечки Затирание DOM Обнюхивание истории криптоджекинг Ботнеты Утечка данных Загрузка для проезда Вспомогательные объекты браузера Вирусы Парсинг данных Атака типа «отказ в обслуживании» Подслушивание Мошенничество по электронной почте Подмена электронной почты Эксплойты Мошеннические дозвонщики Хактивизм Инфокрад Небезопасная прямая ссылка на объект Регистраторы нажатий клавиш Вредоносное ПО Полезная нагрузка Фишинг Голос Полиморфный движок Повышение привилегий программы-вымогатели Руткиты пугающие программы Шеллкод Спам Социальная инженерия Шпионское ПО Программные ошибки Троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки Стеклоочиститель Черви SQL-инъекция Мошенническое программное обеспечение безопасности Зомби
Защита	Безопасность приложений Безопасное кодирование Безопасно по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусное программное обеспечение Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация (программное обеспечение) Маскирование данных Шифрование Брандмауэр Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Управление информационной безопасностью Управление информационными рисками Управление информацией о безопасности и событиями (SIEM) Самозащита приложений во время выполнения Изоляция сайта