Intelligens szkennelés. Sebezhetőség-kezelés Sebezhető szoftverek

A probléma egy másik módja az, hogy a vállalatoknak gyorsan kell reagálniuk, ha egy alkalmazás sebezhető. Ez megköveteli, hogy az informatikai részleg egyértelműen nyomon tudja követni telepített alkalmazások, alkatrészek és javítások automatizálással és szabványos eszközökkel. Ipari erőfeszítések vannak a szoftvercímkék (19770-2) szabványosítására, amelyek olyan XML-fájlok, amelyek egy alkalmazással, összetevővel és/vagy javítással együtt vannak telepítve, amelyek azonosítják a telepített fájlt. szoftver, illetve komponens vagy javítás esetén milyen alkalmazás részei. A címkék tartalmaznak kiadói jogosultsági információkat, verzióinformációkat, fájlok listáját fájlnévvel, biztonságos fájlkivonattal és mérettel, amelyek segítségével ellenőrizhető, hogy a telepített alkalmazás a rendszeren van-e, és bináris fájlok harmadik fél nem módosította. Ezeket a címkéket a kiadó digitálisan aláírja.

Ha egy sérülékenység ismert, az informatikai részlegek eszközkezelő szoftverük segítségével azonnal azonosíthatják a sérülékeny szoftverrel rendelkező rendszereket, és lépéseket tehetnek a rendszerek frissítésére. A címkék egy javítás vagy frissítés részei lehetnek, amelyek segítségével ellenőrizhető, hogy a javítás telepítve van-e. Ily módon az IT-részlegek olyan erőforrásokat használhatnak, mint a NIST National Vulnerability Database eszközkezelési eszközeik, így amint egy vállalat elküldi a biztonsági rést az NVD-nek, az IT azonnal össze tudja hasonlítani az új biztonsági réseket a sajátjával.

Van egy vállalatcsoport, amely a TagVault.org (www.tagvault.org) nevű IEEE/ISTO non-profit szervezeten keresztül dolgozik az Egyesült Államok kormányával az ISO 19770-2 szabvány megvalósításán, amely lehetővé teszi az ilyen szintű automatizálást. Valamikor ezek a megvalósításnak megfelelő címkék valószínűleg kötelezőek lesznek az Egyesült Államok kormányának eladott szoftvereknél a következő néhány évben.

Így a nap végén jó gyakorlat, ha nem tesz közzé arról, hogy milyen alkalmazásokat és szoftververziókat használ, de ez nehéz lehet, amint azt korábban említettük. Gondoskodni szeretne arról, hogy pontos, naprakész szoftverleltárral rendelkezzen, azt rendszeresen összehasonlítsák az ismert biztonsági rések listájával, például az NVD-től, és hogy az IT azonnali lépéseket tudjon tenni a fenyegetés elhárítására a legújabb észleléssel A behatolások, víruskereső és egyéb környezeti zárolási módszerek legalább nagyon megnehezítik a környezet veszélyeztetését, és ha/ha mégis, akkor hosszú ideig nem észlelik.

Jelenleg kifejlesztett nagy számban olyan eszközök, amelyek automatizálják a program sebezhetőségeinek keresését. Ez a cikk ezek közül néhányat tárgyal.

Bevezetés

A statikus kódelemzés egy szoftverelemzés, amelyet a programok forráskódján hajtanak végre, és anélkül valósítják meg, hogy ténylegesen végrehajtanák a vizsgált programot.

A szoftverek gyakran tartalmaznak különféle sebezhetőségeket a programkód hibái miatt. A programfejlesztés során elkövetett hibák bizonyos helyzetekben a program meghibásodásához vezetnek, és ennek következtében a program normál működése zavart okoz: ez gyakran változásokat, adatkárosodást, a program vagy akár a rendszer leállását eredményezi. A legtöbb sérülékenység a kívülről kapott adatok helytelen feldolgozásával, vagy nem kellően szigorú ellenőrzésével kapcsolatos.

Különféle eszközöket használnak a sérülékenységek azonosítására, például statikus elemzőket forráskód programokat, amelyek áttekintése ebben a cikkben található.

A biztonsági rések osztályozása

Ha megsértik azt a követelményt, hogy a program minden lehetséges bemeneti adaton megfelelően működjön, akkor lehetségessé válik az úgynevezett biztonsági rések megjelenése. A biztonsági rések azt jelenthetik, hogy egy program segítségével egy egész rendszer biztonsági korlátait le lehet küzdeni.

A biztonsági rések osztályozása szoftverhibáktól függően:

  • Puffer túlcsordulás. Ez a sérülékenység abból adódik, hogy a program végrehajtása során nem lehet ellenőrizni a memóriában lévő határokon kívüli tömböket. Ha egy túl nagy adatcsomag túlcsordul a korlátozott méretű pufferen, a külső memóriahelyek tartalma felülíródik, ami a program összeomlását és kilépését okozza. A puffernek a folyamatmemóriában elfoglalt helye alapján megkülönböztetünk puffertúlcsordulást a veremben (verem puffer túlcsordulás), kupacban (heap puffer túlcsordulás) és statikus adatterületen (bss puffer túlcsordulás).
  • Tömörített beviteli sebezhetőség. Elrontott beviteli biztonsági rések akkor fordulhatnak elő, ha a felhasználói bevitel megfelelő ellenőrzés nélkül kerül át valamilyen külső nyelv (általában Unix shell vagy SQL) értelmezőjébe. Ebben az esetben a felhasználó megadhatja a bemeneti adatokat úgy, hogy az elindított interpreter teljesen más parancsot hajtson végre, mint amit a sérülékeny program készítői szándékoztak.
  • Formázási karakterlánc sebezhetősége. Ez a típus A biztonsági rések a "szennyezett bemenet" sebezhetőség egy alosztályát képezik. Ez a paraméterek elégtelen szabályozása miatt fordul elő a C szabványkönyvtár printf, fprintf, scanf stb. formátumú I/O függvényeinek használatakor. Ezek a függvények az egyik paraméterükként egy karakterláncot vesznek fel, amely meghatározza a következő függvényargumentumok bemeneti vagy kimeneti formátumát. Ha a felhasználó megadhatja a formázás típusát, akkor ez a sérülékenység a karakterlánc formázási funkciók sikertelen használatából eredhet.
  • Szinkronizálási hibák (versenykörülmények) következtében fellépő sebezhetőségek. A többfeladatos munkavégzéssel kapcsolatos problémák „versenyfeltételeknek” nevezett helyzetekhez vezetnek: egy olyan program, amelyet nem multitasking környezetben való futtatásra terveztek, azt hiheti, hogy például az általa használt fájlokat egy másik program nem tudja megváltoztatni. Ennek eredményeként egy támadó, aki időben lecseréli ezeknek a munkafájloknak a tartalmát, bizonyos műveletek végrehajtására kényszerítheti a programot.

Természetesen a felsoroltakon kívül vannak más osztályú biztonsági rések is.

Meglévő analizátorok áttekintése

A következő eszközöket használják a programok biztonsági résének észlelésére:

  • Dinamikus hibakeresők. Eszközök, amelyek lehetővé teszik a program hibakeresését annak végrehajtása során.
  • Statikus elemzők (statikus hibakeresők). Olyan eszközök, amelyek egy program statikus elemzése során felhalmozott információkat használnak fel.

A statikus analizátorok a program azon helyeire mutatnak rá, ahol hiba található. Ezek a gyanús kódrészletek vagy hibát tartalmazhatnak, vagy teljesen ártalmatlanok.

Ez a cikk áttekintést nyújt több létező statikus analizátorról. Nézzük meg mindegyiket közelebbről.

A sérülékenységkezelés a sebezhetőségek kezelésére szolgáló megoldás azonosítása, értékelése, osztályozása és kiválasztása. A sérülékenységkezelés alapja a sebezhetőségekkel kapcsolatos információk tárháza, amelyek egyike a „Forward Monitoring” sebezhetőségkezelő rendszer.

Megoldásunk szabályozza a biztonsági résekre vonatkozó információk megjelenését operációs rendszerek(Windows, Linux/Unix alapú), irodai és alkalmazási szoftverek, berendezések szoftverei, információbiztonsági eszközök.

Adatforrások

A Perspective Monitoring Software Vulnerability Management System adatbázisa automatikusan frissül a következő forrásokból:

  • Az információbiztonsági veszélyek adatbankja (BDU BI) az oroszországi FSTEC.
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS levelezőlista.

A sebezhetőségi adatbázisunk frissítéséhez automatizált módszert is használunk. Kifejlesztettünk egy webrobotot és strukturálatlan adatelemzőt, amely minden nap több mint száz különböző külföldi és orosz forrást elemez számos kulcsszavakat- csoportok a közösségi hálózatokban, blogokban, mikroblogokban és médiában információs technológia valamint az információbiztonság biztosítása. Ha ezek az eszközök találnak valamit, ami megfelel a keresési feltételeknek, az elemző manuálisan ellenőrzi az információkat, és beírja a sebezhetőségi adatbázisba.

Szoftver sebezhetőség figyelése

A sérülékenységkezelő rendszer segítségével a fejlesztők figyelemmel kísérhetik szoftvereik harmadik féltől származó összetevőiben észlelt sérülékenységek jelenlétét és állapotát.

Például a Hewlett Packard Enterprise Secure Software Developer Life Cycle (SSDLC) modelljében a harmadik féltől származó könyvtárak vezérlése központi szerepet játszik.

Rendszerünk figyeli a sebezhetőségek jelenlétét ugyanazon szoftvertermék párhuzamos verzióiban/felépítéseiben.

Ez így működik:

1. A fejlesztő átadja nekünk a termékben használt, harmadik féltől származó könyvtárak és összetevők listáját.

2. Naponta ellenőrizzük:

b. megjelentek-e módszerek a korábban felfedezett sebezhetőségek kiküszöbölésére.

3. Értesítjük a fejlesztőt, ha a biztonsági rés állapota vagy pontozása megváltozott, a megadott példaképnek megfelelően. Ez azt jelenti, hogy ugyanazon vállalaton belüli különböző fejlesztőcsapatok csak azon termék esetében kapnak figyelmeztetést, és látják a biztonsági rés állapotát, amelyen dolgoznak.

A sérülékenységkezelő rendszer riasztási gyakorisága konfigurálható, de ha 7,5-nél nagyobb CVSS-pontszámú sebezhetőséget észlel, a fejlesztők azonnali figyelmeztetést kapnak.

Integráció a ViPNet TIAS-szal

A ViPNet Threat Intelligence Analytics rendszer szoftver- és hardverrendszere automatikusan észleli a számítógépes támadásokat és azonosítja az incidenseket a különböző forrásokból kapott események alapján információbiztonság. A ViPNet TIAS eseményeinek fő forrása a ViPNet IDS, amely a Perspective Monitoring által kifejlesztett AM Rules döntési szabálybázis segítségével elemzi a bejövő és kimenő hálózati forgalmat. Egyes aláírások a sebezhetőségek kihasználásának észlelésére vannak írva.

Ha a ViPNet TIAS olyan információbiztonsági incidenst észlel, amelyben egy biztonsági rést kihasználtak, akkor a sérülékenységgel kapcsolatos összes információ, beleértve a negatív hatás kiküszöbölésére vagy kompenzálására szolgáló módszereket is, automatikusan bekerül az incidenskártyára a felügyeleti rendszerből.

Az incidenskezelő rendszer az információbiztonsági incidensek kivizsgálását is segíti, információval látja el az elemzőket a kompromittálódás mutatóiról és az incidens által érintett potenciális információs infrastruktúra csomópontokról.

Az információs rendszerek sérülékenységeinek megfigyelése

A sebezhetőségkezelő rendszer használatának másik forgatókönyve az igény szerinti vizsgálat.

Az ügyfél önállóan, beépített eszközök vagy általunk fejlesztett script segítségével készít egy listát arról, hogy mi van a csomópontra telepítve (munkaállomás, szerver, DBMS, információbiztonsági szoftvercsomag, hálózati berendezések) rendszer- és alkalmazásszoftvereket és -összetevőket, továbbítja ezt a listát a vezérlőrendszernek, és jelentést kap az észlelt sebezhetőségekről, valamint időszakos értesítéseket azok állapotáról.

A rendszer és a gyakori sebezhetőség-ellenőrzők közötti különbségek:

  • Nem szükséges megfigyelő ügynökök telepítése a csomópontokra.
  • Nem hoz létre terhelést a hálózaton, mivel maga a megoldás architektúrája nem biztosít vizsgálati ügynököket és kiszolgálókat.
  • Nem terheli a berendezést, mivel létrejön az összetevők listája rendszerparancsok vagy egy könnyű, nyílt forráskódú szkript.
  • Kiküszöböli az információszivárgás lehetőségét. A „leendő monitorozás” nem tud megbízhatóan semmit megtudni egy csomópont fizikai és logikai elhelyezkedéséről vagy funkcionális céljáról az információs rendszerben. Az egyetlen információ, amely elhagyja az ügyfél ellenőrzött kerületét, egy txt fájl a szoftverösszetevők listájával. Ennek a fájlnak a tartalmát az ügyfél maga ellenőrzi, és feltölti a vezérlőrendszerbe.
  • A rendszer működéséhez nincs szükségünk fiókokra a vezérelt csomópontokon. Az információkat a webhely adminisztrátora gyűjti a saját nevében.
  • Biztonságos információcsere ViPNet VPN-en, IPsec-en vagy https-en keresztül.

A Perspective Monitoring sebezhetőségkezelő szolgáltatáshoz való csatlakozás segít az ügyfélnek teljesíteni az ANZ.1 „Sebezhetőségek azonosítása és elemzése” követelményét. információs rendszerés az újonnan azonosított sebezhetőségek azonnali kiküszöbölése" az orosz FSTEC 17. és 21. számú megrendelése. Cégünk az orosz FSTEC engedélyese a bizalmas információk műszaki védelmével kapcsolatos tevékenységekre.

Ár

Minimális költség - évi 25 000 rubel a rendszerhez csatlakoztatott 50 csomópont esetén, ha van érvényes csatlakozási szerződés

Indításkor intelligens szkennelés Az Avast a következő típusú problémákat keresi a számítógépén, majd megoldásokat javasol rájuk.

  • Vírusok: Rosszindulatú kódot tartalmazó fájlok, amelyek befolyásolhatják a számítógép biztonságát és teljesítményét.
  • Sebezhető szoftverek: Frissítést igénylő programok, amelyek segítségével a támadók hozzáférhetnek a rendszeréhez.
  • Böngészőbővítmények rossz hírnévvel: Általában az Ön tudta nélkül telepített böngészőbővítmények, amelyek befolyásolják a rendszer teljesítményét.
  • Gyenge jelszavak: Jelszavak, amelyek egynél több elérésére szolgálnak fiókot online, és könnyen feltörhető vagy feltörhető.
  • Hálózati fenyegetések: a hálózat sérülékenységei, amelyek támadásokat tehetnek lehetővé hálózati eszközökés egy router.
  • Teljesítményproblémák: tárgyak ( szükségtelen fájlokatés alkalmazások, beállításokkal kapcsolatos problémák), amelyek zavarhatják a számítógép működését.
  • Ütköző víruskeresők: az Avast segítségével számítógépére telepített víruskereső programok. Több darab elérhetősége víruskereső programok lelassítja a számítógépet és csökkenti a vírusvédelem hatékonyságát.

Jegyzet. A Smart Scan által észlelt bizonyos problémák megoldásához külön licencre lehet szükség. A szükségtelen problématípusok észlelése a -ban letiltható.

Az észlelt problémák megoldása

A szkennelési terület melletti zöld pipa azt jelzi, hogy nem találtunk problémát az adott területen. A piros kereszt azt jelenti, hogy a vizsgálat egy vagy több kapcsolódó problémát azonosított.

Az észlelt problémák konkrét részleteinek megtekintéséhez kattintson a gombra Mindent megoldani. A Smart Scan az egyes problémák részleteit jeleníti meg, és lehetőséget kínál a probléma azonnali javítására az elemre kattintva Dönt, vagy kattintson rá később Hagyja ki ezt a lépést.

Jegyzet. A víruskereső naplók a vizsgálati előzményekben láthatók, amelyek a kiválasztással érhetők el Védelem víruskereső.

A Smart Scan beállítások kezelése

A Smart Scan beállításainak módosításához válassza a lehetőséget Beállítások Általános Smart Scanés adja meg, hogy az alábbi problématípusok közül melyikre szeretne intelligens keresést végezni.

  • Vírusok
  • Elavult szoftver
  • Böngésző kiegészítők
  • Hálózati fenyegetések
  • Kompatibilitási problémák
  • Teljesítményproblémák
  • Gyenge jelszavak

Alapértelmezés szerint minden problématípus engedélyezve van. Ha le szeretné állítani egy adott probléma keresését az Intelligens keresés futtatásakor, kattintson a csúszkára Beleértve a probléma típusa mellett, hogy az állapotot erre módosítsa Le.

Kattintson Beállítások elemre felirat mellett Víruskeresés a szkennelési beállítások módosításához.

KAPCSOLÓDÓ CIKKEK