Новые нормативные и методические документы ФСТЭК России в области сертификации (требования к САВЗ и СОВ) требуют от экспертов испытательных лабораторий при проведении сертификации выполнять независимый анализ уязвимостей объекта оценки (ОО).

Данное требование сформулировано в семействе «Анализ уязвимостей» (AVA_VLA) и предъявляется начиная с 4 класса защиты:

AVA_VLA.3.3E  Оценщик должен выполнить независимый анализ уязвимостей.

AVA_VLA.3.4E  Оценщик должен выполнить независимое тестирование проникновения, основанное на независимом анализе уязвимостей, и сделать независимое заключение о возможности использования дополнительно идентифицированных уязвимостей в предполагаемой среде.

Анализ зарубежных отчетов о сертификации (certification report), доступных на портале commoncriteriaportal.org, позволяет сформулировать основные техники проведения данного анализа.

1. Поиск существующих уязвимостей ОО или схожих с ним изделий информационных технологий в общедоступных базах уязвимостей (например, securityfocus.com, the cve.mitre.org, and the nvd.nist.gov). Найденная информация может использоваться при разработке методики независимого анализа уязвимостей.
2. Перехват и анализ сетевого трафика. Цель атаки — исследовать сетевые пакеты, которые передаются между составными частями ОО (например, сервера управления и датчика СОВ), с целью обнаружения защищаемой информации. Как правило, исследуются взаимодействия с использованием веб-интерфейса и интерфейса командной строки.
3. Сканирование сетевых портов. Удаленный доступ к ОО должен предоставляться через строго описанные в документации интерфейсы. Цель данного теста — убедиться, что ОО не содержит недекларирвоанных сетевых интерфейсов, которые могут быть использованы злоумышленником при обходе средств защиты информации ОО.
4. Сканирование на наличие уязвимостей. С использованием сканеров уязвимостей выполняется сканирование доступных сетевых интерфейсов с целью обнаружения существующих уязвимостей ОО. Тесты могут выполнены с использованием, например, программ Retina, Nikto, «Сканер-ВС».
5. Отправка плохо сформированных TCP-пакетов (TCP Malformed Packet Flooding). Цель теста — попытаться выключить (перезагрузить) ОО с использованием большого количества плохо сформированных TCP-пакетов.
6. Атаки SQL Injection / Cross Site Scripting Attack / Cross Site Request Forgery. Попытка выполнения атак с целью нарушения свойств защищаемой информации. Данные тесты могут быть выполнены с использованием, например, программ Paros, WebScarab.
7. Попытки неавторизованного доступа, проведение атак типа «Directory Traversal». Цель данного теста — получить неавторизованный доступ на работу с ОО.

Следует отметить, что применение той или иной техники при проведении анализа уязвимостей в первую очередь зависит от типа продукта информационных технологий, представленного на сертификацию.