Тестирование безопасности

Теоретически злоумышленники могут взломать любую систему, имеющую сетевые соединения. Раньше объектами атак были в основном ИТ-системы предприятий с многочисленными открытыми интерфейсами, тогда как встроенные считались слишком трудными для взлома. Но по мере появления в бортовых решениях поддержки стандартов Ethernet, интерфейсов глобальных сетей, USB, Bluetooth, GPS и т. д. пространство для злоумышленников существенно расширилось. Самый популярный сегодня способ взлома — атака на диагностический порт или другой открытый стандартный интерфейс для получения доступа к внутренним функциям, порчи данных или снижения производительности.

Такие факторы, как потребность максимально быстрого выпуска продуктов, рост применения открытых архитектур и усложнение систем, не способствуют повышению качества и безопасности инфраструктур Интернета вещей. Атакам могут быть подвержены медицинские устройства (например, инсулиновые помпы и кардиостимуляторы), автомобили, промышленное оборудование, системы коммунального хозяйства и пр. Чем больше общество зависит от сетей, тем выше риск масштабных атак, способных нанести ущерб не только отдельным системам, но и целым городам и странам. К примеру, при масштабном отказе электроэнергетической сети будет отключено и водоснабжение с очевидными последствиями для жизнедеятельности города.

Таким образом, настоятельно рекомендуется применять риск-ориентированные методики тестирования безопасности и соответствующие инструменты. Подобные проверки предусматривают последовательное выполнение статического анализа кода, модульного тестирования и специализированных методов: фаззинга (ввода в систему случайных данных с целью вызвать отказ), оценки надежности и тестирования на возможность проникновения.

Особого внимания заслуживают современные методы тестирования на возможность проникновения, основанные на принципе «серого» ящика (gray box testing — тестирование с частичным знанием об устройстве системы), — они расширяют возможности анализа угроз, обеспечивая более эффективное тестирование с меньшими затратами.

Как и все методы верификации и валидации, тестирование безопасности требует опыта и знаний для выбора оптимальных подходов и конечных метрик оценки, а также экономной и эффективной стратегии регрессии, позволяющей наладить непрерывную интеграцию и поставку кода. Часто встречаются ситуации, когда тестируют только компоненты и их интерфейсы, упуская из виду угрозы безопасности в сетях и сервисах.

Конвергенция и кибербезопасность

Конвергенция ИТ и встроенных систем открыла множество новых возможностей для атакующих [1–3]. Средства взлома легкодоступны, и при желании их можно приобрести. Существуют программно-конфигурируемые радиотехнологии для атак посредничества, позволяющие имитировать и перехватывать сигналы и коды. На онлайн-форумах можно найти исчерпывающие руководства по угону автомобилей и взлому коммунальных сетей. Соответствующие инструменты доступны на специальных сайтах, пользователи которых делятся опытом друг с другом.

Конвергенция ИТ, встроенных систем и различной техники (автомобилей, медицинских приборов, промышленного и коммунального оборудования) не вызвала бы роста риска взлома, если бы все эти устройства работали автономно. Но сетевая инфраструктура может и будет использоваться для атак на любые соединенные устройства, например на электронные блоки управления автомобилем. Взломав серверы, применяемые для обновления ПО, удаленного управления и сопровождения систем, злоумышленники смогут устанавливать вредоносные программы и портить данные. Сегодня уже известны случаи вмешательства в сети сотовой связи с использованием встроенных сим-карт, которые широко применяются ИТ-компаниями для соединения с серверами доставки информации реального времени и обновления прошивок.

Проблемы, вызванные такими атаками, касаются не только безопасности и приватности данных, но и функциональной безопасности. Любая техника с автоматическими системами управления, включая автомобили и медицинские имплантаты, по определению небезопасна. Соответственно, без заботы об информационной безопасности невозможна и функциональная. Поэтому поставщики, с учетом требований конкретных отраслей, обязаны обеспечивать эффективную защиту от атак против ИТ-систем, объединяющихся со встроенными системами оборудования.

Автомобилям необходима функциональная безопасность, ведь и двигатель, и системы рулевого управления и торможения сегодня оснащены встроенными компьютерами, на базе которых реализованы функции содействия водителю: адаптивный круиз-контроль, системы формирования автоколонн и выполнения автоматизированной парковки и др. Рано или поздно на дорогах появятся полностью автономные машины, еще сильнее зависящие от внутренних и внешних ИТ. Инциденты с перехватом и порчей информации, которой обмениваются устройства, будут означать, что при проверке безопасности были допущены ошибки или использовались неподходящие технологии тестирования.

Риск-ориентированная кибербезопасность

Риск-ориентированная концепция позволяет сохранить контроль безопасности на протяжении всего жизненного цикла системы, несмотря на растущие угрозы и увеличение уровня ее сложности. Как показывают исследования и практика, принцип проектируемой безопасности (security by design) сегодня уже неэффективен, поскольку неприменим в масштабе всего жизненного цикла системы. Для предотвращения основных угроз, вызванных попытками преодоления средств защиты, используются методы проектирования защищенности и безопасности (см. рисунок). Поскольку для того и другого нужны разные методики, максимальную эффективность и уменьшение затрат можно обеспечить путем комбинирования инфраструктурных подходов и схем управления. Тем самым закладываются основы независимой системы обеспечения кибербезопасности на протяжении всего жизненного цикла продукта.

Экономически эффективная методика совместного обеспечения безопасности и защищенности

Тестирование безопасности в автомобилестроении опирается на установление прямой связи между требованиями к безопасности и проектными решениями в соответствии с трехкомпонентной моделью: анализ требований, моделирование решений и тест-ориентированная разработка технических условий. Такая модель обеспечивает возможность контроля на протяжении всего жизненного цикла продукта, начиная с первоначального анализа угроз и рисков и формулировки требований к безопасности. Этот подход дает преимущества с точки зрения контроля системы управления (governance) на соответствие нормам, поскольку обязывает получать подтверждение того, что требования к безопасности и соответствующие решения нужным образом проверяются в ходе каждой регрессии. Когда методика риск-ориентированной кибербезопасности была внедрена в одной из ведущих компаний автомобильной отрасли, это позволило существенно уменьшить затраты времени на дорожные испытания.

Тестирование безопасности в принципе не может быть исчерпывающим. Статический анализ по принципу «белого ящика», модульное тестирование, фаззинг, тестирование на проникновение (PenTest) и другие проверки должны проводиться с учетом требуемого уровня защиты, возможных потерь от атак и затрат на реализацию механизмов безопасности на протяжении всего жизненного цикла продукта.

Технологии тестирования безопасности

Тестирование безопасности состоит из нескольких этапов, требующих своих инструментов. Их преимущества и недостатки необходимо знать, чтобы выбрать из них максимально удовлетворяющие конкретным требованиям. В таблице приведен обзор наиболее распространенных средств тестирования — как зарекомендовавших себя, так и набирающих популярность. Некоторые из них используются сразу в нескольких отраслях. В перечень включены инструменты как с открытым кодом, так и коммерческие, полностью автоматизированные и предлагаемые в форме программного продукта или услуги. Все они характеризуются высокой эффективностью и имеют качественную поддержку. Большое внимание при формировании перечня также уделялось удобству использования инструментов, их масштабируемости и доступности обновлений.

Удобство использования

Для простоты освоения инструмент тестирования должен иметь и графический интерфейс, и интерфейс командной строки, а также обеспечивать подготовку подробных отчетов и формирование графиков по рискам и эксплойтам, связанным с каждой уязвимостью, обнаруженной в ходе тестирования на проникновение. Должна быть предусмотрена возможность автоматизации стандартных процедур. Фреймворки вроде популярного Metasploit позволяют реализовать все этапы тестирования на проникновение и тем самым обеспечивают преимущество перед средствами, которые используются только на отдельных фазах. Инструмент Nmap, широко применяемый для сканирования, за последнее время был усовершенствован и стал предоставлять максимально подробные сведения об уязвимостях.

Масштабируемость

Средства тестирования на проникновение должны использовать различные языки программирования, а также протоколы уровня сети и приложений. Кроме того, важно, чтобы их интерфейсы программирования позволяли тестировать различные программные и аппаратные объекты исследования. Переносимость такого ПО способствует доступности продукта для более широкого круга исследователей. Для коммерческих систем необходима совместимость с другими популярными средствами — этим обеспечивается универсальность инструмента.

Доступность

Лицензирование и цена — важные характеристики инструмента. Лучше применять решения, имеющие регулярно обновляемые базы уязвимостей и эксплойтов. Предпочтительны инструменты, сопровождаемые обширной библиотекой угроз и поддерживающие многонаправленное тестирование.

Тестирование в режиме «черного» ящика стало нормой анализа безопасности во всех отраслях. При проведении тестирования на проникновение предпочтительна возможность выявления рисков, но доступные инструменты практически не поддерживают режим «серого» ящика. Это объясняется высокой сложностью цепочки поставок в автомобильной и аэрокосмической отраслях, где многочисленные производители отгружают встроенные системы для индивидуальных функций. Защищая интеллектуальную собственность, они не раскрывают архитектуру таких устройств, в связи с чем невозможно их тестирование в режиме «белого» и «серого» ящика. Как следствие, большинство инструментов тестирования на проникновение работают по принципу «черного» ящика. Между тем высокоэффективной и малозатратной проявила себя методика обнаружения уязвимостей, основанная на сочетании анализа рисков, оценки архитектуры и проверки безопасности.

***

Задача обеспечения кибербезопасности соединенных вместе систем приобрела огромную актуальность в связи с конвергенцией ИТ и встроенных систем. Растет число атак на критические инфраструктуры в связи с появлением у них уязвимостей, характерных для традиционных ИТ-систем. Поскольку такие атаки происходят в критически важных отраслях, подобные системы необходимо самым тщательным образом защищать и укреплять. Защищенность является необходимым условием физической безопасности, в защите нуждаются любые критичные к безопасности системы. О безопасности необходимо заботиться уже на начальных этапах проектирования, в том числе анализировать угрозы и риски для встроенных функций. Контроль защищенности обязателен не только из-за ее влияния на безопасность, но и для обеспечения качества продукции.

Соединенные системы необходимо защищать в максимальной степени, приводя доказательства того, что были приняты все возможные меры в отношении процессов, обучения, управления и технологий. Критически важную роль в этом играет тестирование.

Традиционно большинство систем тестирования безопасности основано на принципе «черного» ящика, но более предпочтительной является методика «серого ящика» с анализом угроз и оценкой рисков, которая учитывает известные уязвимости компонентов, интерфейсов и сетей. Начальный анализ безопасности и построение технической концепции на основе конкретной эталонной архитектуры помогают выявить угрозы и риски, а также получить необходимые сведения для их устранения. В частности, данный подход показал эффективность при анализе типичных механизмов защиты Ethernet-сетей: межсетевого экрана, системы распознавания и предотвращения вторжений, виртуальной локальной сети. Снабжение средств тестирования интеллектуальными механизмами, основанными на машинном обучении, позволяет усовершенствовать процесс тестирования за счет улучшения таких характеристик, как скорость, время отклика, доля обнаруженных уязвимостей и т. п.

Необходимо не только обнародовать конкретные ошибки инженеров встроенных систем, но и менять их менталитет, призывая отдавать приоритет укреплению безопасности, а не расширению функциональности.

Обеспечение кибербезопасности стало одним из ключевых требований в самых разных отраслях. Сегодня уже недостаточно изолированных механизмов и таких методов, как распределение функциональности подсистем, защита на уровне отдельных компонентов, шлюзы и межсетевые экраны между компонентами и валидация критических функций. «Если целенаправленно не атаковать риски, то они целенаправленно будут атаковать вас» — именно таким принципом нужно руководствоваться, укрепляя безопасность систем. Кибербезопасность не может быть исчерпывающей, но ее можно существенно повысить, применяя риск-ориентированное тестирование, осуществляемое с использованием оптимально подобранных стратегий и инструментов.

Литература

1. C. Ebert, A. Dubey. Convergence of enterprise IT and embedded systems // IEEE Softw. — 2019 (May-June). — vol. 36, N. 3. — P. 92–97. doi:10.1109/MS.2019.2896508.

2. S. Morgan. Global ransomware damage costs predicted to hit $11.5 billion by 2019 // Cybercrime Mag. — 2017 (Nov. 14). [Online]. URL: https://cybersecurityventures.com/ransomware-damage-report-2017-part-2/ (дата обращения: 21.05.2020).

3. C. Osborne. NonPetya ransomware forced Maersk to reinstall 4000 servers, 45000 PCs // ZDNet. — 2018 (Jan. 26). [Online]. URL: https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack (дата обращения: 21.05.2020).

Кристоф Эберт ( christof.ebert@vector.com ) — старший научный сотрудник, IEEE; Юсеф Рекик ( Youssef.Rekik@vector.com ) — консультант, Vector Consulting Services; Рауль Караде (rahulskarade@gmail.com ) — научный сотрудник, Штутгартский университет.