В статье представлен комплексный подход компанииHuawei, глобального поставщика ИКТ-инфраструктуры и интеллектуальных устройств, к обеспечению информационной безопасности производимых ИКТ-продуктов. На основе стратегии компании в области кибербезопасности и защиты конфиденциальности описаны процессы безопасной разработки продукции, реагирования на уязвимости, а также направления работы в области независимой оценки соответствия программного обеспечения требованиям безопасности.
Александр Васильевич Зубарев, кандидат технических наук, старший научный сотрудник, директор по информационной безопасности ООО «Техкомпания Хуавэй»
zubarev.alexander@huawei.com
Юлия Евгеньевна Чернокожина, ведущий эксперт ООО «Техкомпания Хуавэй»
chernokozhinayulia@huawei.com
Введение
Вопросы кибербезопасности и защиты конфиденциальности на международном уровне и в каждой стране – важнейшие проблемы сегодняшнего дня. С развитием новых глобальных технологий – 5G, искусственного интеллекта, Интернета вещей, Больших данных, облачных вычислений – неизбежно появление новых комплексных угроз безопасности, размытость границ защиты и снижение эффективности традиционных защитных методов.
В связи с этим, компания Huawei (далее – Компания) уделяет повышенное внимание всем вопросам и компонентам Доверия, обусловливающим важнейший принцип взаимодействия Компании в мире и определяющим ее Стратегию, а также практику обеспечения безопасности производимых ИКТ-продуктов в условиях усиления требований ко всем производителям оборудования по всему миру.
При реализации стратегии и практики работы Huawei в России Компанией были сформулированы 16 основных компонентов Доверия, описанных в статье «Доверие и качество: основной приоритет Huawei в России», 2020.
Именно из этих «кирпичиков» доверия Huawei продолжает строить объединяющий мост, который позволяет обеспечить прогресс и развитие экономики и цифровых технологий в России и во всем мире.
Цель данной статьи – поделиться опытом и практикой Компании по реализации системного подхода к выполнению требований доверия и безопасности, предъявляемых регуляторами, контрагентами и заказчиками.
Безопасность как стратегия
Практика создания безопасных ИКТ-продуктов в первую очередь требует поддержки на стратегическом уровне. Безопасность должна стать долгосрочной целью компании, внедряться и контролироваться на всех уровнях организации, во всех бизнес-процессах, что особенно важно для крупных предприятий.
В Huawei создание и оптимизация комплексной системы обеспечения безопасности отнесена к важнейшей составляющей стратегии, а безопасность всех создаваемых ИКТ-продуктов и решений – к основным приоритетам.
В организационной структуре Компании данный подход реализован следующим образом:
- на уровне высшего руководства постоянно функционирует Глобальная комиссия по кибербезопасности и защите конфиденциальности (GSPC), отвечающая за утверждение Стратегии в области кибербезопасности и принятие важнейших решений;
- Глобальный директор по кибербезопасности и защите конфиденциальности (GSPO) и Дирекция GSPO занимаются разработкой и реализацией Стратегии на уровне Компании в целом;
- операционными задачами на разных уровнях занимаются ответственные руководители департаментов в подчинении GSPO, организуемые по принципу: ■ вида производимой продукции и направления бизнеса (например: сетевое оборудование, облачные решения, потребительский бизнес); ■ направления деятельности (например: кадры, закупки, логистика, маркетинг, информационные технологии, аудит и т. п.); ■ отношения к определенному региону и стране.
Созданная система непрерывного обеспечения кибербезопасности компании Huawei включает в себя 12 стратегических направлений деятельности, которые представлены на рис. 1.
Huawei является одной из самых активных международных компаний-производителей:
- по добровольному проведению независимого аудита (включая аудит исходного кода программного обеспечения, в том числе встраиваемого в чипы) с привлечением независимых лабораторий;
- по реагированию на инциденты безопасности в режиме реального времени (реализуется Командой PSIRT);
- по тестированию и моделированию атак;
- по оперативному поиску и устранению уязвимостей ПО на всем этапе жизненного цикла.
И всем этим Huawei на практике демонстрирует реальное состояние безопасности и доказывает надежность своих продуктов и решений заказчикам и регуляторам.
Безопасность как практика
Детализация данной статьи ограничена рассмотрением процессов и практик Компании, непосредственно связанных с обеспечением кибербезопасности при разработке ИКТ-продуктов, а именно:
- интегрированный процесс безопасной разработки (пункт 4 «НИОКР» на рис. 1);
- оценка соответствия требованиям безопасности информации (пункт 8 «Верификация» на рис. 1).
Данные направления взаимозависимы: результаты верификации используются для развития и совершенствования продукции в интегрированном процессе безопасной разработки.
Если первое направление преимущественно относится к внутренней деятельности Компании, то второе обязательно включает в себя внешних исполнителей и заинтересованных лиц, к которым могут относиться испытатели, регуляторы, поставщики информационных систем и конечные пользователи ИКТ-продуктов. Таким образом, эффективность процессов верификации зависит от совместных усилий всех участников и требует соблюдения баланса интересов.
Рассмотрим подробнее, как именно реализованы вышеуказанные направления обеспечения безопасности ИКТ-продуктов.
Интегрированный процесс безопасной разработки
Интегрированный процесс безопасной разработки (IPD) начал внедряться в Huawei в 1999 году на основе методологии PACE (Product and Cycle-time Excellence), разработанной компанией PRTM, и в дальнейшем адаптировался и совершенствовался на основе рекомендаций консультантов и собственного опыта компании. Начиная с 2010 года, Компания также начала активно внедрять известные отраслевые методологии безопасной разработки, такие как Microsoft SDL, BSIMM, OpenSAMM.
В соответствии с принятой методикой, выделяется 6 этапов жизненного цикла продукта, 6 контрольных точек, на каждой из которых проводится технический обзор продукта (TR). Перечень этапов и контрольных точек изображен на рис. 2.
На этапе «Концепция» проводятся следующие работы:
- сбор требований к безопасности продукта;
- интеграция требований заказчика и требований безопасности на основе положений законодательства, отраслевых стандартов и лучших практик, анализ итоговых требований к продукту;
- моделирование угроз на разных архитектурных уровнях.
На этапе «Проект» проводятся следующие работы:
- разработка проекта архитектуры безопасности;
- выбор открытого ПО/сторонних компонентов.
(При необходимости использования открытого ПО или сторонних компонентов, производится анализ рисков для каждого компонента, проверяется отслеживаемость ПО, включая исходный код, результаты независимой верификации сторонних компонентов. Осуществляется централизованное управление процессами использования открытого и стороннего ПО.)
На этапах «Концепция» и «Проект» проводятся 3 технических обзора подготовленной документации (TR1, TR2, TR3) и принимается решение о дальнейшей разработке продукта.
Этап «Разработка» связан с написанием кода, компиляцией и сборкой продукта. Безопасность кода обеспечивается:
- применением единых стандартов разработки и критериев качества кода, а также поощрением сотрудников, применяющих лучшие практики в области безопасности;
- назначением единых ответственных за процессы фиксации, проверки кода, экспертной оценки уязвимостей для каждого компонента продукта, а также отслеживание всех операций;
- использованием автоматических инструментальных средств проверки безопасности кода: ■ локального средства проверки качества, которое служит для самопроверки до стадии фиксации кода; ■ облачного средства проверки кода и статического анализа, в основе которого лежат методы машинного обучения и распространенные программные продукты для статического анализа, такие какCoverity, Fortify,Klockwork и др.;
- обязательным применением встроенных функций безопасности компиляторов.
Этап «Разработка» включает в себя три промежуточных технических обзора (TR4, TR4A, TR5), по итогам которых, а также независимой верификации ICSL (будет описана далее), продукт передается на квалификационное тестирование.
На этапе «Квалификационное тестирование» проводятся испытания продукта по следующим направлениям:
- анализ архитектуры;
- динамический анализ;
- фаззинг-тестирование;
- тестирование на проникновение.
Более 85 % всех тестов выполняется в автоматическом режиме с использованием специально разработанных облачных платформ, включающих базу знаний о десятках тысяч тест-кейсов, спецификаций, угроз, сценариев атак и предоставляющих необходимый выбор сервисов и инструментов для тестирования. Среди стандартных инструментов можно выделить AppScan, Nessus, открытое ПО Nmap и OpenVAS, средства собственной разработки. Для фаззинг-тестирования применяется отдельная облачная платформа на основе около 300 различных инструментов автоматизации фаззинга протоколов, файлов, API и драйверов.
После прохождения квалификационного тестирования, перед принятием решения о выпуске продукта проводится финальный технический обзор (TR6) (этап «Выпуск», GA).
Этап «Поддержка жизненного цикла продукта» включает:
- контроль конфигурации продукта;
- регулярное сканирование продукта известными сканерами безопасности и антивирусным ПО;
- непрерывное управление недостатками и уязвимостями.
Очень важную роль в процессе управления уязвимостями играет Группа реагирования на инциденты безопасности (Huawei PSIRT), взаимодействующая с заказчиками, поставщиками, исследователями и отраслевыми организациями в части сбора информации об уязвимостях в режиме 24>7.Полученные сведения классифицируются и анализируются с участием разработчиков и подразделений, отвечающих за поддержку продукта. По итогам исправления уязвимости или иных важных обновлений информация публикуется в виде бюллетеней или уведомлений безопасности на официальных ресурсах Huawei, а также оперативно направляется заказчикам, которым необходимо применить предлагаемые исправления.
Верификация
При организации своей деятельности в области верификации, Компания выделяет следующие основные принципы:
- независимость – проверка соответствия требованиям должна производиться без вмешательства заинтересованных лиц;
- беспристрастность – требования к безопасности ИКТ-продуктов должны быть обоснованными и едиными для всех поставщиков таковых вне зависимости от страны происхождения продукта или иных факторов;
- объективность – стандарты проверок должны быть унифицированными и постоянно совершенствоваться;
- прозрачность – отчеты об испытаниях, содержащие выводы о безопасности и качестве продукта, должны быть доступны для всех сторон, участвующих в процессе.
В части многоуровневой верификации своих продуктов Компания выделяет следующие испытания (рис. 3):
- в ICSL (независимой лаборатории безопасности Huawei);
- на соответствие международным стандартам;
- на соответствие локальным требованиям безопасности отдельных стран;
- на соответствие иным требованиям (например, заказчиков).
ICSL (Independent Cyber Security Lab) или независимая лаборатория безопасности – это рабочая группа из более чем140 сотрудников с собственными техническими ресурсами и инструментарием. Задача лаборатории заключается в том, чтобы проводить испытания каждого продукта Huawei перед выходом на рынок без участия разработчиков и объективно оценивать безопасность продукции Huawei с точки зрения заказчиков.
Испытания ICSLначинаются с момента утверждения концепции продукта и включают:
- документальную оценку соответствия;
- проверку безопасности кода (статический и динамический анализ, фаззинг);
- тесты на проникновение.
При обнаружении проблем безопасности во время испытаний замечания отправляются разработчикам продукта для внесения исправлений. Итоговое заключение ICSL рассматривается по завершении технического обзора TR6. В случае отрицательного заключения ICSL продукт не допускается к выходу на рынок (право вето).
Испытания на соответствие таким международным стандартам, как ISO15408, ISO 27034, с учетом практик Huawei и международных практик типа OWASP, STRIDE, SANS, а также требований отдельных стран, проводятся на проектной основе с созданием временных стендов. Испытательным лабораториям предоставляются документация, ресурсы и инструменты для исследований. При необходимости анализа исходного кода в процессе испытаний дополнительно развертывается решение по удаленному доступу к коду на центральной базе НИОКР в городе Дунгуан, КНР.
Как результат успешной реализации такого подхода, по состоянию на 2020 год компания Huawei получила более 280 международных сертификатов безопасности в системах сертификации по требованиямCommon Criteria, CSA Star, PСI DSS, Mobile Financial Service, FIPS, ePrivacy Seal и др.
Говоря о требованиях безопасности, принятых в нашей стране, отметим получение 12 сертификатов ФСТЭК России различных уровней на 43 продуктаHuawei, включая межсетевые экраны, сетевое оборудование и платформу виртуализации.
Если имеющихся сертификатов или отчетов об испытаниях недостаточно для конкретного заказчика, поддерживается возможность проведения дополнительных тестов на базе Центров прозрачности Huawei (Huawei Transparency Centers). Центры прозрачности работают на коммерческой основе и оснащаются необходимым оборудованием, стендами и инструментами для проведения испытаний, включая проверки исходного кода в защищенном и доверенном удаленном режиме. В настоящее время Центры прозрачности открыты в 6 странах мира и успешно используются заказчиками Компании во всем мире.
Заключение
Huawei прекрасно осознает риски, с которыми сталкивается Компания в современном мире, и будет продолжать активно участвовать в оценке продукции и добиваться открытого и объективного ее анализа.
Завершая рассмотрение стратегии и практики Huawei в области безопасной разработки и верификации продукции, отметим, что основной акцент Компания делает на доступности и разнообразии методов, инструментов и процедур оценки для всех заинтересованных сторон, приветствуя при этом использование признанных международных стандартов и практик.
В то время как процессы безопасной разработки кода в большой степени стандартизированы, в области верификации глобальный консенсус не достигнут. Это может проявляться во взаимоисключающих требованиях, например, в необходимости или, наоборот, в запрете предоставления исходного кода для испытаний на территорию отдельных стран.
В этих условиях важно продолжать поиск компромиссов и выработку единых доверенных методов оценки, чтобы безопасность той или иной технологии могла быть доказана объективно и документально.
Журнал «Защита информации. INSIDE» № 5’2021