Белая книга

Stratus Безопасность продукции

Обзор Stratus's Программы и практики безопасности

Аннотация

В рамках комплексной стратегии безопасности Stratus управляет и внедряет программы и методы для обеспечения разработки безопасных продуктов и повышения уровня осведомленности о безопасности во всем предприятии. Установленные процедуры надзора помогают Stratus выявлять и снижать риски безопасности продуктов как во время, так и после их разработки. Цель данного документа - объяснить Stratus's Secure Development Lifecycle Program - комплексные и строгие процессы обеспечения безопасности продукта, которые помогают устранить потенциальные уязвимости и обеспечить целостность продукта.

Stratus серьёзно относится к безопасности

Stratus имеет богатое наследие в области безопасности

На протяжении почти 40 лет сайт Stratus предоставляет вычислительную инфраструктуру для предприятий, которым нужны высоконадежные, безопасные и управляемые платформы для обеспечения их наиболее важных рабочих нагрузок data center . Сегодня решения Stratus используются более чем половиной компаний из списка Fortune 100 для безопасной обработки транзакций по кредитным картам на сумму $8,6T, производства 200M тонн продуктов питания и напитков и перевозки 1,5B авиапассажиров в год.

инфраструктураEdge computing должна быть защищена

Все больше и больше решений Stratus внедряются на границе корпоративных сетей. Stratus"Простые, защищенные и автономные вычислительные платформы все чаще ищут для выполнения критически важных приложений на границе, в местах, где нет контроля за окружающей средой и/или технологических ресурсов.

Появление IoT (Internet of Things) и конвергенция IT (информационные технологии) и OT (операционные технологии) подвергают ранее "изолированные" пограничные сети OT новым и существующим уязвимостям в области ИТ-безопасности. Кроме того, эти сети ОТ нелегко защитить с помощью традиционных мер и инструментов безопасности ИТ.

Безопасность важна для Stratus

Обеспечение безопасности вычислительных платформ клиентов - от data center до края - имеет первостепенное значение для Stratus. Многие из ее клиентов работают в жестко регулируемых отраслях промышленности и используют платформы edge computing для критически важной национальной инфраструктуры. Таким образом, уменьшение числа жизнеспособных векторов атак и создание продуктов с уровнями, поддерживающими глубокие подходы к защите, являются важными элементами снижения риска. Чтобы лучше защитить своих клиентов и партнеров, Stratus следует комплексной стратегии безопасности, включая использование передовых методов обеспечения безопасности в отрасли, проектирование и создание продуктов с учетом требований безопасности, быстрое реагирование на известные уязвимости и угрозы безопасности, а также постоянную оценку своей текущей позиции и внесение улучшений для повышения уровня безопасности.

Stratus следует лучшим практикам индустрии безопасности

Stratus следует признанным лучшим практикам индустрии безопасности при проектировании и создании продуктов (безопасный процесс) и повышении их безопасности (безопасный продукт). Официальная программа SDL (безопасный жизненный цикл разработки), включающая в себя рекомендации ISA, NIST и OWASP, помогает Stratus выявлять и смягчать риски безопасности. Партнерство с такими организациями, как OPAF, помогает использовать ресурсы более широкого сообщества безопасности для максимизации безопасности продуктов.

Она начинается с ISA

Международное общество автоматизации (ISA) является некоммерческой профессиональной ассоциацией, основанной в 1945 году. Организация разрабатывает и поддерживает широко используемые мировые стандарты, в том числе стандарты безопасности для промышленной автоматизации и систем управления. Stratus в основном следует двум руководящим принципам ISA, которые также были приняты Международной электротехнической комиссией (МЭК) для рассмотрения безопасности как с точки зрения процесса, так и с точки зрения продукта.

Процесс безопасности

ISA/IEC 62443-4-1
ISA/IEC 62443-4-1 определяет технологические требования для безопасной разработки продуктов, используемых в промышленных системах автоматизации и управления. Stratus следует данным рекомендациям ISA при безопасной разработке собственных продуктов. Руководящие принципы определяют безопасный жизненный цикл разработки с целью разработки и обслуживания безопасной продукции, включая следующее:

  • определение требований безопасности
  • безопасная конструкция
  • безопасная реализация (включая руководящие принципы кодирования)
  • проверка и обоснование
  • устранение дефектов
  • управление исправлениями
  • срок службы продукта

NIST SP 800-37
В настоящее время является частью Министерства торговли США, Национальный институт стандартов и технологий (NIST) является правительственной организацией, которая создает и контролирует технологии, измерения и стандарты, призванные способствовать повышению конкурентоспособности промышленности. NIST Special Publication 800-37 (SP 800-37) предоставляет рекомендации по применению своей системы управления рисками в федеральных информационных системах. Stratus разработчики используют эти дополнительные рекомендации при разработке своих программных продуктов, таких как Stratus Redundant Linux, everRun, и VOS.

Безопасность продукции

ISA/IEC 62443-4-2
Stratus также использует функциональные требования ISA для определения того, какие функции безопасности должны быть включены в его продукты. В ISA/IEC 62443-4-2 подробно описаны технические требования к компонентам (CRs), связанные с семью основополагающими требованиями (FRs) для соответствия уровням безопасности возможностей системы управления. Семь основных требований:

  • контроль идентификации и аутентификации
  • контроль использования
  • системная целостность
  • конфиденциальность данных
  • ограниченный поток данных
  • своевременное реагирование на события
  • наличие ресурсов

Например, продукты Stratus , такие как ztC Edge и everRun используют списки контроля доступа, роли и пароли для идентификации, аутентификации и контроля использования наименее привилегий. Целостность системы в ztC Edge обеспечивается безопасной и надежной загрузкой. И ftServer , и ztC Edge используют безопасные протоколы связи, такие как HTTPS, SSH и SMTP с шифрованием для обеспечения конфиденциальности данных. Журналы предупреждений немедленно уведомляют администраторов об изменениях в конфигурации продуктов Stratus , которые могут свидетельствовать об инцидентах, связанных с безопасностью. Доступность ресурсов также является отличительной чертой всех продуктов Stratus , которые обеспечивают высокую доступность и отказоустойчивость для обеспечения устойчивости к различным типам отказов в обслуживании и непрерывности работы критически важных для бизнеса сервисов.

Федеральный стандарт обработки информации
FIPS 140-2
(FIPS 140-2) - это еще один стандарт NIST, который совместно поддерживается Отделом компьютерной безопасности (CSD) и Отделом прикладной кибербезопасности (ACD). В нем указаны требования к безопасности, которые будут удовлетворяться с помощью криптографического модуля, обеспечивающего четыре возрастающих качественных уровня, предназначенных для охвата широкого круга потенциальных приложений и сред.

Stratus использует принципы криптографии по стандарту FIPS 140-2 и принципы проектирования защиты данных для обоснования требований безопасности своих продуктов. Например, в современных продуктах Stratus для веб-служб используется OpenSSL 1.0.2k-fips и TLS v1.2. Веб-сервер ztC Edgeдля предоставления консольного доступа по умолчанию соответствует алгоритмам FIPS 140-2.

OWASP
Проект Open Web Application Security Project (OWASP) - некоммерческий фонд, целью которого является повышение безопасности программного обеспечения. Stratus использует методики, документацию, инструменты и технологии фонда для повышения безопасности.

Stratus проектирует и строит свою продукцию с учетом безопасности.

Stratus создал программы и практики, которые выявляют и смягчают риски безопасности в процессе разработки своей продукции. Команда по безопасности продукции в рамках Stratus"Инженерная группа" отвечает за разработку и продвижение инициатив по безопасности в рамках всей компании, а также за развитие культуры безопасности. Эта группа отвечает за Stratus's SDL программы, усилия по реагированию на инциденты безопасности, а также сертификаты безопасности.

Stratus's SDL - это закрытая программа обеспечения безопасности, которая помогает инженерам Stratus безопасно разрабатывать безопасные продукты. Ее основной целью является снижение количества и степени уязвимости ее продуктов, как разрабатываемых, так и внедряемых. Для достижения этой цели компания внедряет безопасность в каждый аспект жизненного цикла своих продуктов и гибкую культуру разработки, включая предварительное обучение, сбор требований, проектирование, внедрение, верификацию, выпуск и ответную реакцию после выпуска.

В дополнение к использованию лучших практик в индустрии безопасности, рекомендаций, стандартов и инструментов, предоставляемых ISA, NIST и OWASP, Stratus включает в себя дополнительные практики безопасности на каждом этапе программы SDL для снижения рисков безопасности.

Обучение
Stratus Инженеры по безопасности регулярно проходят обучение по вопросам безопасности, постоянно следя за тенденциями в области безопасности и меняющимися угрозами в отрасли, чтобы свести к минимуму внедрение вопросов безопасности в процесс разработки и продукты. Stratus"Команда по безопасности управляет и поддерживает ролевые и технологические программы безопасности, периодически обновляя их. В настоящее время существуют курсы по концепциям безопасности, проектированию и тестированию безопасности, методам кодирования безопасности и инструментам безопасности.


Сбор требований На этапах сбора требований и планирования оценивается первоначальный профиль безопасности продукта. Это первый из нескольких этапов, на котором профиль безопасности продукта сравнивается с набором известных требований безопасности. Эти требования могут исходить от владельцев продуктов как от клиентов, так и от отраслевых стандартов, но они проверяются и поддерживаются командой безопасности. В настоящее время они включают стандарты для таких вещей, как аутентификация, авторизация, шифрование, управление сертификатами, сетевая безопасность, виртуализация, отчетность, а также упаковка и доставка программного обеспечения. Кроме того, существуют более высокие требования к безопасности, предъявляемые к таким элементам, как защита конфиденциальных данных, предотвращение вредоносного кода и уменьшение площади атак.

Проектирование
На этапе проектирования продукта происходит параллельная работа по выявлению и устранению проблем с безопасностью перед выпуском. Составляется модель угрозы или архитектурный чертеж, в котором определяются потенциальные уязвимости, системные дефекты и неверные проектные предположения. Выполняя эти действия на ранней стадии разработки, команды разработчиков располагают достаточным временем для решения любых проблем безопасности, связанных с проектированием.

Реализация
На этом этапе группы разработчиков используют автоматизированные инструменты для выявления дефектов, в том числе связанных с безопасностью. SAST (статическое тестирование безопасности приложений) используется для анализа исходного кода приложений, байтового кода и двоичных файлов на предмет кодирования и условий проектирования, свидетельствующих об уязвимостях безопасности. На этом этапе также выполняется сканирование уязвимостей.

Кроме того, группа безопасности использует безопасные источники. Она документирует названия и уровни выпуска всех OSS (программное обеспечение с открытым исходным кодом) и TPS (программное обеспечение сторонних производителей), включенных в ее продукты, проверяя их на наличие известных уязвимостей. Оценки безопасности оборудования и программного обеспечения поставщиков проводятся для того, чтобы убедиться, что Stratus получает безопасные продукты, разработанные в соответствии с отраслевыми стандартами, в целях снижения риска передачи проблем безопасности своим клиентам.

Верификация
На этом этапе жизненного цикла команды разработчиков используют автоматизированные инструменты для сканирования программных продуктов на наличие уязвимостей в вычислительных системах, работающих в сети, чтобы определить, существуют ли конкретные способы, которыми система может угрожать или эксплуатироваться. Кроме того, может быть проведено тестирование на проникновение, чтобы определить, может ли злоумышленник успешно атаковать продукт или решение. Эти тесты проводятся в изолированных тестовых средах и могут включать в себя проверку архитектуры продукта и исходного кода, а также использование различных коммерческих или внутренних средств обнаружения уязвимостей.

Кроме того, на этом этапе проводится заключительный обзор безопасности для проверки того, прошел ли продукт через все программные мероприятия SDL, и были ли решены любые вопросы, поднятые в ходе предыдущих обзоров безопасности. Этот заключительный обзор безопасности завершается до того, как будут достигнуты какие-либо промежуточные этапы в работе RC (release candidate).

Релизный и пост-релизный ответ
Продукты, которые являются GA (общедоступными), вступают в стадию производства в течение жизненного цикла продукта. Они остаются в этой фазе до момента EOL (окончания срока службы). Stratus's Product Security Incident Response Team (PSIRT), подгруппа группы безопасности, отвечает за мониторинг технологического ландшафта для любых сообщений о проблемах безопасности, касающихся продуктов Stratus . Глобальная группа, одна из функций которой заключается в расследовании сообщений об уязвимостях и предоставлении информации внутри организации соответствующим группам. Другая роль, которую она играет, - это контактное лицо по адресу Stratus (product.security@stratus.com) для исследователей в области безопасности, клиентов, партнеров и других внешних сторон, сообщающих об уязвимостях в продуктах Stratus .

Stratus быстро реагирует на уязвимости и угрозы безопасности

Когда PSIRT обнаруживает или получает сообщение о проблеме с продуктом Stratus , PSIRT работает с командами разработчиков Stratus для ее изучения. PSIRT продолжает координировать работу по устранению проблемы и взаимодействие как внутри компании, так и за ее пределами с соответствующими группами специалистов и поддержки. Кроме того, PSIRT отвечает за передачу и распространение всех рекомендаций по безопасности, а также ведет их учет на сайте Stratus.

Stratus, вместе с другими поставщиками технологий и государственными организациями (например, Intel, AMD, IBM, Microsoft, Red Hat, Google, Facebook, Amazon, MITRE, CISA и т.д.) принадлежат к коалиции по безопасности, которая постоянно выявляет, квалифицирует и публикует информацию об известных уязвимостях в области безопасности. Когда члены коалиции получают предупреждение о потенциальной уязвимости, начинается работа по ее квалификации и диагностике. Информация распространяется среди членов коалиции, и они совместно работают над устранением этой уязвимости. В конце концов, на сайте Stratus создается исправление безопасности, которое затем распространяется компанией PSIRT среди своих клиентов и партнеров.

Stratus постоянно оценивает и улучшает свою позицию в области безопасности.

Stratus's SDL программа периодически оценивается на предмет ее способности идентифицировать и снижать риски, и новые процессы и инструменты добавляются в программу по мере ее созревания и квалификации.

Кроме того, гибкая методология Stratusвключает автоматизированные процессы тестирования безопасности, которые соответствуют типу и уровню уязвимости для каждого этапа разработки. Интегрированный подход DevSecOps помогает обеспечить безопасность включена в быстрые и частые циклы разработки продуктов Stratus, где уроки, извлеченные из предыдущих циклов, могут быть быстро применены к будущим.

Для получения дополнительной информации

За дополнительной информацией или сообщением об уязвимости обращайтесь по адресу Stratus's PSIRT по адресу product.security@stratus.com. Дополнительную информацию о рекомендациях по безопасности Stratusможно получить в службе поддержки.stratus.com. Для получения дополнительной информации о том, как Stratus обеспечивает безопасность своих продуктов, посетите веб-сайтstratus.com/security или stratus.com.

Ссылки

  • Международное общество автоматизации (ISA): isa.org
  • Международная электротехническая комиссия (МЭК): IEC.ch
  • Национальный институт стандартов и технологий (NIST): nist.gov
  • Проект по безопасности открытых веб-приложений (OWASP): owasp.org
  • Форум по автоматизации открытых процессов (OPAF): opengroup.org/forum/open-process-automation-forum
  • Агентство по кибербезопасности и инфраструктурной безопасности (CISA): us-cert.gov

Связанные ресурсы

Прокрутка к началу страницы