一年が経ちました。 証明書を自慢できるのは、Smart-Softなどの数社のみです。 認定のすべてのとげを経験したので、終わりに達した人が少ないのは驚くことではありません。 新しい条件下で当社の製品がどのように模倣されたかを説明し、州の検証の機能を共有し、改善がエンドユーザーに役立つかどうかを示します。 ただし、最初にまず。
MEメーカーにとって、認証への関心は明らかです。これは、B2G市場(つまり、医療機関、学校、大学などの国家組織)への「パス」です。 ただし、多くの専門家は、証明書が消費者にもたらす本当のメリットについて疑問を呈しています。 特に、製造業者は製品更新機能を追加する必要がないことに留意されました。 同時に、マルウェアは常に進化しており、元の認定バージョンは実際のウイルスの脅威に非常に迅速に遅れをとっています。
それでは、何を使用しますか? 管理者が認証後にMEで作業する方が便利かどうかは不明でした。集中管理、動作モードなどの要件はありません。 表現されていません。 また、それほど重要ではない質問もありました。なぜそれほど多くのアラートを送信する必要があるのですか? また、認定は簡単ではないことも明らかでした。企業には新しい専門知識が必要です(たとえば、すべてのITサービスプロバイダーが法的サポートを提供しているわけではありません)。
Traffic Inspector Next Generation MEの認定の特徴
検証の対象について少し。
Traffic Inspector Next Generation-ネットワークセキュリティのためのソフトウェアおよびハードウェアソリューション。 ネットワーク境界でゲートウェイとして展開され、ネットワークへのエントリポイントとして機能します。 これは、安全なHTTPS接続および端末プログラムを使用したSSHプロトコルを介したWebインターフェイスを介して管理されます。 FreeBSD 10 OSをランタイム環境として使用します。
分類によれば、ガートナーはUTM(統合脅威管理)を指し、パケットの検査とフィルタリングにより、NGFW(次世代ファイアウォール)に起因するパケットを許可します。 OPNsenseプロジェクトのオープンソースソリューションベース。
分類によれば、ガートナーはUTM(統合脅威管理)を指し、パケットの検査とフィルタリングにより、NGFW(次世代ファイアウォール)に起因するパケットを許可します。 OPNsenseプロジェクトのオープンソースソリューションベース。
テストスクリプトを渡す
2016年9月に、 ドキュメンタリーシステムCJSCの試験ラボとの認証を開始し、12月に提供された配布キットの分析を開始しました。 FSTEC認証は非常に細心の注意を払っていました。 製品とそのモジュールのプログラムコードだけでなく、基盤となるオペレーティングシステムもチェックしました。 テストスクリプトのテストには数か月かかりました。 改善は当初は小規模でした。特定のトラフィックをブロックし、さまざまなイベントに関するアラートを作成しました。
オフラインアップデートインストールを実装する必要がありました。一部のインストールでは、Traffic Inspector Next Generationがインターネットから閉じられている境界内にあるためです。
隠しコードの検証
おそらく、作業の中で最も難しい部分は、BIOSまたはハードウェアプラットフォームのドライブのいずれにも未宣言の機能がないことを証明することでした。 そしてここに、エンドユーザーにとって認証がプラスになる理由の1つがあります。
証明手続きにはさらに4か月かかりました。5月から8月までです。 この期間は理解できます。 2012年には、中国で製造された一連のマイクロサーキットで悪意のあるコードが発見されました。 その後、彼らは「ブックマーク」について真剣に話し始めました。 J. Brossarに決定的な言葉が与えられました。J。BrossarはBlack Hat会議で「Johnatan Brossard、ハードウェアバックドアリングは実用的です」というレポートを発表しました。 しかし、私たちのケースでは、すべてがかなり鈍いものになりました。欠陥や脆弱性は見つかりませんでした。
コード整合性検証、アセンブリ監査
ユーザーが将来的に望ましくない変更がないことを保証するために、FSTECの要求に応じて整合性制御を追加する必要がありました。 これには、すべての不変ファイルと構成ファイルのチェックサムのチェック、および不正な方法で変更された構成の自動復元が含まれます。
規制当局の要請により、構成の変更に関連するすべてのイベントが詳細に記録されるようになりました。 重要なセキュリティイベント(チェックサムの違いなど)が発生した場合、管理者に通知が送信されます。 したがって、システムの不正な変更は除外されます-別のプラス。
アセンブリ監査に関連する多くのタスクがありました。 制御アセンブリの場合、制御機関の専門家が自分で確認できるようにサーバーを構成する必要がありました。特定のオブジェクトファイルは特定のソースから収集され、バイナリファイルは特定のオブジェクト所有者から収集されます。 ソースファイルのチェックサムを修正する機会も提供されました。
認証結果
FSTEC委員会の要請による改善は、イベント通知システム、ログ記録、更新、整合性監査に関するものでした。
2017年11月までに、実際のケースでソリューションをテストする機会がありました。インターネットへの単一のアクセスポイントをTsoguのローカルネットワークに提供しました 。 情報セキュリティの専門家は、通知システムと、ブラウザー、アクセス統計、およびシンプルなインターフェースを介したロックの管理能力を評価しました。
認定を取得するのに1年かかりました。 大変な仕事でしたが、後悔しませんでした。 製品は完全にテストされ、要件に適合しています。 これは、ファイアウォールネットワークの脅威が怖くないということですか? はい、明らかなセキュリティ対策に従えば、さらに良いことに、ネットワークセキュリティの基本原則について従業員をトレーニングすることもできます。 現在までに、当社の製品には「ブックマーク」、「バックドア」、およびその他の脆弱性は発見されていません。 今後もすべてが正常になるように品質を監視し続けます。
エンドユーザー認証が有用かどうかについては、多くの議論があります。 しかし、主なことは私たちに思われます、これ:メーカーはその製品を変更する準備ができていますか? 彼は時間通りに見つかった欠点を修正するためのリソースを持っていますか? 彼は批判を受け入れていますか?
このコンテキストでのFSTEC認定は、開発者の能力レベルを示すテストです。 私たちはそれを体験しました。 このテストにも合格した競合他社を尊重します。つまり、私たちには立派なライバルがいるということです(ただし、それらのライバルはほんのわずかです)。 さて、これは顧客が考えるもう1つの理由です。サプライヤーがFSTEC証明書を持っていない場合、それはそれ自体について述べているのと同じくらい良いですか? しかし、私たちは意見を主張せず、記事へのコメントで議論する準備ができています:)
スマートソフトチーム