В Blackboard есть надежная защита, которая не просто предотвращает проблемы с безопасностью, но и полностью устраняет их. Blackboard проводит постоянные внутренние проверки защиты на уровне кода (статический анализ) и приложения (динамический анализ), чтобы обеспечить соответствие как ожиданиям клиентов, так и ожиданиям Blackboard. К тому же, Blackboard заказывает тестирование на взлом у сторонних поставщиков услуг по обеспечению безопасности. Так мы уверены, что на наши приложения посмотрят свежим взглядом. Мы сразу же принимаемся за устранение всех выявленных проблем.

Важно понимать, что Blackboard постоянно развивает свои программы защиты. Мы все время работаем над улучшением, чтобы поднять планку надежности и безопасности продуктов Blackboard еще выше.


Мы позаботились о безопасности

Безопасность приложений клиентов — один из основных приоритетов Blackboard. При разработке продуктов Blackboard придерживается целого ряда руководств по безопасному программированию, основанных на опыте таких организаций, как сообщество OWASP (Open Web Application Security Project — открытый проект обеспечения безопасности веб-приложений), включая конкретные профилактические меры для 10 главных уязвимостей по версии OWASP. Blackboard применяет эти методы обеспечения безопасности на всех этапах разработки программного обеспечения (SDLC).

Blackboard использует несколько методов защиты приложений, включая нисходящую оценку безопасности с помощью моделирования угроз и анализа, а также восходящего выявления угроз на уровне кода через статический и динамический анализ, а также ручное тестирование на взлом.

Blackboard опирается на передовые наработки многих организаций, чтобы повысить защиту продуктов и программ. Несколько организаций перечислены ниже:

  • Национальный институт стандартов и технологии (NIST)
  • Европейское агентство по сетевой и информационной безопасности (ENISA)
  • Институт SANS
  • Проект по обеспечению безопасности открытых веб-приложений (OWASP)
  • Альянс за безопасность в облачной среде (CSA)

Моделирование угроз

При разработке новых функций команда безопасности оценивает требования и архитектуру системы, чтобы снизить риски с помощью моделирования угроз. Моделирование угроз — это структурированный процесс, при котором определяются возможные угрозы. Зная их, можно выработать и применить эффективные профилактические меры.


Безопасное программирование и 10 главных уязвимостей по версии OWASP

Продукты Blackboard разрабатываются в соответствии с набором руководств по разработке, полученных от OWASP, в том числе применяя конкретные контрмеры против десяти самых критичных угроз безопасности веб-приложений по версии OWASP за 2013 год.

A1. Инъекции (SQL/DOM/LDAP-инъекции)Наши стандарты написания кода предполагают использование переменных связывания и отказ от использования буквенных констант, преобразованных в SQL-операторы. LDAP используется только для проверки подлинности.
A2. Ошибки проверки подлинности и управления сеансомПродукты Blackboard работают только по протоколу TLS, поэтому все файлы cookie зашифрованы.
A3. Межсайтовое выполнение сценариев (XSS)Чтобы предотвратить межсайтовое выполнение сценариев, используются совместные библиотеки, такие как ESAPI, и стандарты разработки. Из всех текстовых данных, введенных конечными пользователями, удаляются персональные данные. Остальные входящие данные (значения дат или выборы) создаются на типизированных объектах домена, а не преобразовываются напрямую из данных, введенных пользователем.
A4. Незащищенные прямые ссылки на объектыДля ссылки на все объекты приложения используется идентификатор, обычно указывающий на первичный ключ. Однако все объекты размечаются в контексте, в нем же происходят все проверки безопасности. Например, запрос может вести к идентификатору сообщения, которое является записью на доске обсуждений курса. Согласно стандартам Blackboard, закрепленные за ролью пользователя права подтверждаются через проверку подлинности.
В случае ее неудачи решение проблемы не вызывает сложностей, поскольку все защищенные данные системы размечены в рамках контекста безопасность (курса или домена).
A5. Неправильная конфигурация системы безопасностиЕсли требуется консультация системного администратора, Blackboard следует политике изначальной защиты, а также добавляет заметки к выпуску и документацию. Blackboard поощряет клиентов следовать руководству по передовым практикам конфигурации систем безопасности, если оно доступно и применимо к конкретному продукту Blackboard.

Контроль безопасности
Все события, влияющие на безопасность, записываются в отдельный журнал безопасности.

Устранение ошибок и утечки данных
Для всех страниц используется стандартное устранение ошибок (через стандартный шаблон страницы и библиотеку тегов), в результате чего выводимые данные стандартны для всех ошибок, особенно для неопределенных. Стандартные выводимые данные видны только пользователям с правами доступа администратора. Они могут включать в себя трассировку стека (мелкая утечка данных), но к ним не относятся данные, которые обрабатывались во время ошибки запроса. Развернутая трассировка данных недоступна для пользователей без привилегий (например, учащихся).

A6. Уязвимость конфиденциальных данныхСогласно стандартам Blackboard, пароли хешируются с солью SHA-160.

Продукты Blackboard поддерживают протокол TLS. Однако если продукт развернут на собственном сервере, то правильная настройка TLS становится обязанностью администратора развертывания.

A7. Управление доступом на уровне отсутствующей функцииЭта проблема решается на двух уровнях: обязательная проверка подлинности в функциональном коде и проверка требований к авторизации на разных экранах во время проверки качества.
A8. Межсайтовая подделка запроса (CSRF)Наша инфраструктура безопасности следует рекомендациям OWASP для временных значений на запрос и для семантики только POST-запросов. AJAX-запросы требуют временные значения на сессию.
A9. Использование компонентов с выявленными уязвимостямиЭта проблема нейтрализуется благодаря регулярному сканированию уязвимостей как в нашей инфраструктуре, так и в программном обеспечении сторонних разработчиков, чтобы выявить уязвимости и разработать план их устранения с помощью доступных исправлений.
A10. Неутвержденные переадресации и пересылкиСтандарт безопасного программирования Blackboard требует подтверждения локального адреса для переадресаций и пересылок. Эту уязвимость постоянно проверяют.

Предыдущие категории уязвимости в списке десяти самых критичных угроз безопасности по версии OWASP

Выполнение вредоносных файловФайлы, которые загружены непривилегированными пользователями и никогда не используются в качестве исполняемых. Однако привилегированные пользователи (например, системные администраторы), могут выгружать исполняемые пакеты, называемые модулями, которые расширяют функциональность системы. Предполагается, что системные администраторы понимают риски и следуют обоснованным рекомендациям поставщиков и практикам по управлению изменениями при установке любых модулей сторонних производителей.

Любые заявления относительно планов, перспектив или ожиданий Blackboard отражают текущую позицию компании. Фактические результаты могут значительно отличатся от них в силу различных важных факторов. Компания ожидает, что последующие действия и обстоятельства вызовут изменения этой позиции. Однако хотя заявления и могут быть обновлены в будущем, компания не несет никаких обязательств по их изменению.


Обязательства по управлению уязвимостями и политика раскрытия информации

Программа для управления уязвимостями в Blackboard регулируется этим Обязательством по управлению уязвимостями и политикой раскрытия информации, указанными ниже. Ни один поставщик программного обеспечения не является идеальным вариантом — если в выпущенном продукте будет обнаружена уязвимость безопасности, команда безопасности Blackboard будет готова действовать.

Для входа в систему вам нужно связаться со службой технической поддержки своего учреждения. Blackboard не имеет доступа к сведениям об учетной записи, веб-сайтам или содержимому вашего учреждения. Если вы не знаете, как связаться со службой поддержки, попробуйте поискать в Интернете «название вашего учреждения + служба поддержки» или же поищите нужную информацию на странице входа.

Blackboard прикладывает усилия, чтобы оперативно и точно устранять уязвимости системы безопасности. Такие решения могут привести к выпуску рекомендаций по безопасности и/или любого необходимого обновления продуктов для наших клиентов. Чтобы защитить наших клиентов и их данные, нам необходимо, чтобы пользователи отправляли анонимные отчеты о каждом происшествии — так мы сможем исследовать их и принять соответствующие меры. Сведения об уязвимостях будут публиковаться, только когда будет разработано, комплексно протестировано и выпущено обновление продукта для пользователей с лицензиями.

Продукты Blackboard сложны. Они работают на различных конфигурациях оборудования и программного обеспечения и подключены ко многим приложениям сторонних разработчиков. Все модификации программного обеспечения (крупные или мелкие) требуют тщательного анализа, а также разработки и реализации в нескольких линейках и версиях продуктов. Мы также должны локализовать, протестировать программное обеспечение и сделать его доступным в соответствии с его областью, уровнем сложности и степенью серьезности. Учитывая критическую важность наших продуктов для наших клиентов, мы должны убедиться, что они правильно работают не только в тестовых условиях, которые мы создаем сами, но и в условиях, в которых находится пользователь. Поэтому мы не выпускаем обновления продуктов по графику, но, тем не менее, стараемся выпускать их так быстро, насколько это возможно.

Вредоносные программы часто используют уязвимости программного обеспечения посредством обратной разработки опубликованных рекомендаций по безопасности и обновлений продуктов. Важно, чтобы клиенты быстро обновляли программное обеспечение и использовали нашу систему оценок уровня опасности для лучшего планирования обновлений. Поэтому публичное обсуждение уязвимости уместно только после того, как у пользователей появится возможность получить обновления продуктов.

Тестирование уязвимостей системы безопасности

Чтобы свести к минимуму риск для данных и служб, необходимо провести тестирование всех уязвимостей для нерабочих экземпляров наших продуктов.


Как сообщить об уязвимости

Чтобы анонимно поделиться сведениями о потенциальной уязвимости, заполните форму отправки сведений об уязвимости.

Предоставьте сведения о потенциальной уязвимости, чтобы группа безопасности Blackboard могла быстро проверить и воспроизвести проблему. Если вы не укажете информацию выше, нам может быть затруднительно или даже невозможно устранить потенциальную уязвимость. Отчеты, в которых присутствует множество возможных уязвимостей, но отсутствуют подробности, не будут рассматриваться, пока вы не предоставите дополнительную информацию. В сведениях необходимо указать следующее:

  • Тип уязвимости.
  • Была ли информация опубликована или предоставлена другим лицам.
  • Продукты и версии, подверженные уязвимости.
  • Затронутые конфигурации.
  • Пошаговые инструкции или тестовый код для воспроизведения проблемы.

Обязательства Blackboard по обеспечению безопасности

В отношении всех отчетов, отправленных в соответствии с этой Политикой, Blackboard будет пытаться выполнить следующие действия:

  • Подтвердить получение отчета.
  • Своевременно исследовать, а также подтверждать возможное наличие уязвимости.
  • Предоставлять план и временные рамки для устранения уязвимости, если это необходимо.
  • Уведомлять отправителя отчета в случае устранения уязвимости.

Подтверждение вклада

Blackboard не имеет программы вознаграждений за нахождение уязвимостей. Поэтому Blackboard не будет предоставлять признание или компенсацию за сообщение об уязвимостях безопасности.