Анализ на соответствие требованиям ОУД4 разделили на два этапа.
Обследование объекта оценки — команда УЦСБ изучила документацию по приложениям и провела интервью с разработчиками и представителями ИБ-службы Заказчика, чтобы понять устройство продукта, реализацию в нем функций безопасности и порядок его развертывания и конфигурирования.
Анализ уязвимостей с помощью Apsafe — на этом этапе использовались несколько инструментов из стека платформы:
- SAST (Static Application Security Testing) — статический анализ кода, который позволяет находить дефекты в исходном коде продукта в момент его разработки;
- SCA (Software Composition Analysis) — композиционный анализ состава ПО для обнаружения угроз в подключаемых компонентах и соблюдения политик использования открытого кода;
- DAST (Dynamic Application Security Testing) — динамический анализ безопасности приложения. Он выявляет уязвимости методом «черного ящика» в работающем ПО, когда тестирование проводится без доступа к исходному коду. Похожим образом действуют злоумышленники.
С помощью SAST и SCA проверили более двух миллионов строк кода. Также Apsafe использовался для сосредоточенного анализа уязвимостей по компоненту доверия AVA_VAN.3*, предусмотренному ГОСТ 15408-3-2013. Помимо этого, был проведен пентест, который моделирует реальные действия хакеров и помогает выявить слабые места в защите продукта.
В результате этих работ эксперты УЦСБ подготовили для Банка Синара промежуточный отчет с перечнем уязвимостей, обязательных к устранению. После их закрытия Заказчик получил положительное заключение на соответствие финансовых сервисов Банка Синара требованиям ОУД4.
*AVA_VAN — семейство требований к анализу уязвимостей в рамках международного стандарта «Общие критерии» (ГОСТ Р ИСО/МЭК 15408). 3 — это уровень глубины анализа. Максимальный уровень — 5.