Департамент Внутренней Безопасности США (Department of Homeland Security – DHS) совместно с SANS Institute и MITRE разработала стандарты оценки безопасности корпоративного программного обеспечения, сообщает ITnews. DHS – организация, созданная после памятного 11 сентября 2002 г. в целях координации работы остальных спецслужб страны, совместно с SANS Institute (компания, занимающаяся вопросами интернет-безопасности) и некоммерческой организацией MITRE (занятой, среди прочего, управлением центрами исследования и развития Минобороны США, Федерального управления гражданской авиации США, и собственно DHS), предложила компаниям критерии оценки безопасности корпоративного программного обеспечения. Собственно, рекомендации DHS адресованы скорее разработчикам корпоративного ПО: предполагается, что они помогут им избежать ошибок программирования, которые могут привести к проблемам в безопасности корпоративной сети
Список рекомендаций содержит 25 самых опасных ошибок программирования, обнаруженных исследованием. «Компании и некоммерческие организации, которые нуждаются в приобретении, либо создании собственных веб-сервисов и корпоративного программного обеспечения, до сих пор не имели четких критериев, по которым можно было бы определить, насколько их ресурсы защищены от вредоносных атак», – заявил директор по исследованиям SANS Алан Паллер (Alan Paller).
Отрицательный рейтинг наиболее распространенных ошибок программирования открывается неверной нейтрализацией особых элементов SQL-команд. По сравнению с прошлогодним исследованием консорциума, этот вид ошибок поднялся со второй ступени на первую, став наиболее распространенным. Вторая, наиболее распространенная ошибка – неверная блокировка обращенных к ОС команд, отданных через веб-интерфейс. Третья наиболее распространенная ошибка – отсутствие контроля переполнения буфера обмена.
По мнению сторонних экспертов, предлагаемый список действительно способен предотвратить большинство проблем, которые так часто возникали в последнее время и у частных компаний, и у государственных органов. «Это предупреждение – хороший способ обратить внимание на самые уязвимые точки корпоративных IT-систем», – считает аналитик Gartner Джон Пескаторе (John Pescatore). «Общие стандарты проверки на уязвимость сетей создают единую систему защиты в одной экосистеме», – считает он.
Илья Никонов