Sebezhetőség kezelése. Sebezhető szoftverek meghatározása a kliens számítógépeken Az információs rendszerek sérülékenységeinek megfigyelése

Indításkor intelligens szkennelés Az Avast a következő típusú problémákat keresi a számítógépén, majd megoldásokat javasol rájuk.

  • Vírusok: Rosszindulatú kódot tartalmazó fájlok, amelyek befolyásolhatják a számítógép biztonságát és teljesítményét.
  • Sebezhető szoftverek: Frissítést igénylő programok, amelyek segítségével a támadók hozzáférhetnek a rendszeréhez.
  • Böngészőbővítmények rossz hírnévvel: Általában az Ön tudta nélkül telepített böngészőbővítmények, amelyek befolyásolják a rendszer teljesítményét.
  • Gyenge jelszavak: Jelszavak, amelyeket egynél több online fiók eléréséhez használnak, és amelyek könnyen feltörhetők vagy feltörhetők.
  • Hálózati fenyegetések: a hálózat sérülékenységei, amelyek támadásokat tehetnek lehetővé hálózati eszközökés egy router.
  • Teljesítményproblémák: tárgyak ( szükségtelen fájlokatés alkalmazások, beállításokkal kapcsolatos problémák), amelyek zavarhatják a számítógép működését.
  • Ütköző víruskeresők: az Avast segítségével számítógépére telepített víruskereső programok. Több darab elérhetősége víruskereső programok lelassítja a számítógépet és csökkenti a vírusvédelem hatékonyságát.

Jegyzet. A Smart Scan által észlelt bizonyos problémák megoldásához külön licencre lehet szükség. A szükségtelen problématípusok észlelése a -ban letiltható.

Az észlelt problémák megoldása

A szkennelési terület melletti zöld pipa azt jelzi, hogy nem találtunk problémát az adott területen. A piros kereszt azt jelenti, hogy a vizsgálat egy vagy több kapcsolódó problémát azonosított.

Az észlelt problémák konkrét részleteinek megtekintéséhez kattintson a gombra Mindent megoldani. Smart Scan megmutatja az egyes problémák részleteit, és lehetőséget kínál a probléma azonnali javítására az elemre kattintva Dönt, vagy kattintson rá később Hagyja ki ezt a lépést.

Jegyzet. A víruskereső naplók a vizsgálati előzményekben láthatók, amelyek a kiválasztással érhetők el Védelem víruskereső.

A Smart Scan beállítások kezelése

A Smart Scan beállításainak módosításához válassza a lehetőséget Beállítások Általános Smart Scanés adja meg, hogy az alábbi problématípusok közül melyikre szeretne intelligens keresést végezni.

  • Vírusok
  • Elavult szoftver
  • Böngésző kiegészítők
  • Hálózati fenyegetések
  • Kompatibilitási problémák
  • Teljesítményproblémák
  • Gyenge jelszavak

Alapértelmezés szerint minden problématípus engedélyezve van. Ha le szeretné állítani egy adott probléma keresését az Intelligens keresés futtatásakor, kattintson a csúszkára Beleértve a probléma típusa mellett, hogy az állapotot erre módosítsa Le.

Kattintson Beállítások elemre felirat mellett Víruskeresés a szkennelési beállítások módosításához.

Jelenleg számos eszközt fejlesztettek ki a programok sebezhetőségeinek keresésének automatizálására. Ez a cikk ezek közül néhányat tárgyal.

Bevezetés

A statikus kódelemzés az elemzés szoftver, amely a programok forráskódján készül, és a vizsgált program tényleges végrehajtása nélkül kerül megvalósításra.

A szoftverek gyakran tartalmaznak különféle sebezhetőségeket a programkód hibái miatt. A programfejlesztés során elkövetett hibák bizonyos helyzetekben a program meghibásodásához vezetnek, és ennek következtében a program normál működése zavart okoz: ez gyakran változásokat, adatkárosodást, a program vagy akár a rendszer leállását eredményezi. A legtöbb sérülékenység a kívülről kapott adatok helytelen feldolgozásával, vagy nem kellően szigorú ellenőrzésével kapcsolatos.

Különféle eszközöket használnak a sérülékenységek azonosítására, például statikus elemzőket forráskód programokat, amelyek áttekintése ebben a cikkben található.

A biztonsági rések osztályozása

Ha megsértik azt a követelményt, hogy a program minden lehetséges bemeneti adaton megfelelően működjön, akkor lehetségessé válik az úgynevezett biztonsági rések megjelenése. A biztonsági rések azt jelenthetik, hogy egy program segítségével egy egész rendszer biztonsági korlátait le lehet küzdeni.

A biztonsági rések osztályozása szoftverhibáktól függően:

  • Puffer túlcsordulás. Ez a sérülékenység abból adódik, hogy a program végrehajtása során nem lehet ellenőrizni a memóriában lévő határokon kívüli tömböket. Ha egy túl nagy adatcsomag túlcsordul a korlátozott méretű pufferen, a külső memóriahelyek tartalma felülíródik, ami a program összeomlását és kilépését okozza. A puffernek a folyamatmemóriában elfoglalt helye alapján megkülönböztetünk puffertúlcsordulást a veremben (verem puffer túlcsordulás), kupacban (heap puffer túlcsordulás) és statikus adatterületen (bss puffer túlcsordulás).
  • Tömörített beviteli sebezhetőség. Elrontott beviteli biztonsági rések akkor fordulhatnak elő, ha a felhasználói bevitel megfelelő ellenőrzés nélkül kerül át valamilyen külső nyelv (általában Unix shell vagy SQL) értelmezőjébe. Ebben az esetben a felhasználó megadhatja a bemeneti adatokat úgy, hogy az elindított interpreter teljesen más parancsot hajtson végre, mint amit a sérülékeny program készítői szándékoztak.
  • Formázási karakterlánc sebezhetősége. Ez a típus A biztonsági rések a "szennyezett bemenet" sebezhetőség egy alosztályát képezik. Ez a paraméterek elégtelen szabályozása miatt fordul elő a C szabványkönyvtár printf, fprintf, scanf stb. formátumú I/O függvényeinek használatakor. Ezek a függvények az egyik paraméterükként egy karakterláncot vesznek fel, amely meghatározza a következő függvényargumentumok bemeneti vagy kimeneti formátumát. Ha a felhasználó megadhatja a formázás típusát, akkor ez a sérülékenység a karakterlánc formázási funkciók sikertelen használatából eredhet.
  • Szinkronizálási hibák (versenykörülmények) következtében fellépő sebezhetőségek. A többfeladatos munkavégzéssel kapcsolatos problémák „versenyfeltételeknek” nevezett helyzetekhez vezetnek: egy olyan program, amelyet nem multitasking környezetben való futtatásra terveztek, azt hiheti, hogy például az általa használt fájlokat egy másik program nem tudja megváltoztatni. Ennek eredményeként egy támadó, aki időben lecseréli ezeknek a munkafájloknak a tartalmát, bizonyos műveletek végrehajtására kényszerítheti a programot.

Természetesen a felsoroltakon kívül vannak más osztályú biztonsági rések is.

Meglévő analizátorok áttekintése

A következő eszközöket használják a programok biztonsági résének észlelésére:

  • Dinamikus hibakeresők. Eszközök, amelyek lehetővé teszik a program hibakeresését annak végrehajtása során.
  • Statikus elemzők (statikus hibakeresők). Olyan eszközök, amelyek egy program statikus elemzése során felhalmozott információkat használnak fel.

A statikus analizátorok a program azon helyeire mutatnak rá, ahol hiba található. Ezek a gyanús kódrészletek vagy hibát tartalmazhatnak, vagy teljesen ártalmatlanok.

Ez a cikk áttekintést nyújt több létező statikus analizátorról. Nézzük meg mindegyiket közelebbről.

Egyes esetekben a sérülékenységek megjelenése a különböző eredetű fejlesztőeszközök használatából adódik, ami növeli a szabotázs jellegű hibák megjelenésének kockázatát a programkódban.

A sebezhetőségek a harmadik féltől származó összetevők vagy szabadon terjesztett kód (nyílt forráskódú) szoftverhez való hozzáadása miatt jelennek meg. Valaki más kódját gyakran „ahogyan” használják alapos elemzés és biztonsági tesztelés nélkül.

Nem szabad kizárni a bennfentes programozók jelenlétét a csapatban, akik szándékosan további, nem dokumentált funkciókat vagy elemeket visznek be a készülő termékbe.

A program sebezhetőségeinek osztályozása

A sérülékenységek a tervezési vagy kódolási szakaszban fellépő hibák eredményeként jelentkeznek.

Az előfordulás stádiumától függően az ilyen típusú fenyegetés tervezési, megvalósítási és konfigurációs sebezhetőségekre oszlik.

  1. A tervezés során elkövetett hibákat a legnehezebb észlelni és kiküszöbölni. Ezek az algoritmusok pontatlanságai, a könyvjelzők, a különböző modulok közötti interfész vagy a hardverrel való interakció protokolljainak inkonzisztenciája, valamint a szuboptimális technológiák bevezetése. Ezek megszüntetése nagyon munkaigényes folyamat, többek között azért, mert nem nyilvánvaló esetekben - például a tervezett forgalom túllépésekor vagy csatlakozáskor - megjelenhetnek. nagy mennyiségben kiegészítő berendezések, ami megnehezíti a szükséges biztonsági szint biztosítását, és a tűzfal megkerülésének módjainak megjelenéséhez vezet.
  2. Az implementációs sérülékenységek egy program írásának vagy biztonsági algoritmusok bevezetésének szakaszában jelennek meg. Ez a számítási folyamat helytelen megszervezése, szintaktikai és logikai hibák. Fennáll annak a veszélye, hogy a hiba puffer túlcsorduláshoz vagy egyéb problémákhoz vezet. Felismerésük sok időt vesz igénybe, kiküszöbölésük pedig a gépi kód egyes részeinek kijavításával jár.
  3. A hardver- és szoftverkonfigurációs hibák meglehetősen gyakoriak. Gyakori okuk a nem kellően magas színvonalú fejlesztés és a megfelelő működéshez szükséges tesztek hiánya. további funkciókat. Ez a kategória is tartalmazhat egyszerű jelszavakés az alapértelmezett fiókok változatlanok maradnak.

A statisztikák szerint a sebezhetőségek különösen gyakran megtalálhatók a népszerű és gyakori termékekben - asztali számítógépeken és mobilokon. operációs rendszerek, böngészők.

A sebezhető programok használatának kockázatai

Programok, amelyek megtalálják legnagyobb szám biztonsági rések szinte minden számítógépen telepítve vannak. A kiberbûnözõk részérõl közvetlen érdekük fűződik az ilyen hibák felkutatásához, és írásban nekik.

Mivel a sebezhetőség felfedezésének pillanatától a javítás (javítás) közzétételéig meglehetősen sok idő telik el, számos lehetőség van a fertőzésre. számítógépes rendszerek a programkód biztonsági résein keresztül. Ebben az esetben a felhasználónak csak egyszer kell megnyitnia például egy rosszindulatú PDF fájlt exploittal, ami után a támadók hozzáférnek az adatokhoz.

Az utóbbi esetben a fertőzés a következő algoritmus szerint történik:

  • A felhasználó megkapja email egy adathalász e-mail hiteles feladótól.
  • A levélhez egy exploitot tartalmazó fájl csatolva van.
  • Ha a felhasználó megpróbál megnyitni egy fájlt, a számítógépet megfertőzi vírus, trójai (titkosító) vagy más rosszindulatú program.
  • A kiberbűnözők jogosulatlanul hozzáférnek a rendszerhez.
  • Értékes adatokat lopnak el.

Különböző cégek (Kaspersky Lab, Positive Technologies) által végzett kutatások azt mutatják, hogy szinte minden alkalmazásban vannak sebezhetőségek, beleértve az antivírusokat is. Ezért a megállapítás valószínűsége szoftver termék, amely különböző fokú kritikusságú hibákat tartalmaz, nagyon magas.

A szoftverhiányok számának minimalizálása érdekében SDL (Security Development Lifecycle, biztonságos) használata szükséges életciklus fejlesztés). Az SDL technológiát az alkalmazásokban előforduló hibák számának csökkentésére használják a létrehozásuk és támogatásuk minden szakaszában. Így a szoftverek tervezése során az információbiztonsági szakemberek és programozók modellezik a kiberfenyegetéseket, hogy megtalálják a sebezhetőséget. A programozás során automatikus eszközöket is beépítenek a folyamatba, hogy azonnal jelezzék az esetleges hibákat. A fejlesztők arra törekednek, hogy jelentősen korlátozzák a nem megbízható felhasználók számára elérhető funkciókat, ami segít csökkenteni a támadási felületet.

A sebezhetőségek hatásának és az általuk okozott károk minimalizálása érdekében be kell tartania néhány szabályt:

  • Azonnal telepítse a fejlesztők által kiadott javításokat (javításokat) az alkalmazásokhoz, vagy (lehetőleg) engedélyezze automatikus üzemmód frissítéseket.
  • Lehetőleg ne telepítsünk olyan kétes programokat, amelyek minősége ill technikai támogatás kérdéseket vet fel.
  • Használjon speciális sebezhetőség-ellenőrzőket vagy víruskereső termékek speciális funkcióit, amelyek lehetővé teszik a biztonsági hibák keresését és szükség esetén a szoftver frissítését.

A sérülékenységkezelés a sebezhetőségek kezelésére szolgáló megoldás azonosítása, értékelése, osztályozása és kiválasztása. A sérülékenységkezelés alapja a sebezhetőségekkel kapcsolatos információk tárháza, amelyek egyike a „Forward Monitoring” sebezhetőségkezelő rendszer.

Megoldásunk figyeli az operációs rendszerek (Windows, Linux/Unix alapú), irodai és alkalmazási szoftverek, hardverszoftverek és információbiztonsági eszközök sebezhetőségeiről szóló információk megjelenését.

Adatforrások

A Perspective Monitoring Software Vulnerability Management System adatbázisa automatikusan frissül a következő forrásokból:

  • Az információbiztonsági veszélyek adatbankja (BDU BI) az oroszországi FSTEC.
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS levelezőlista.

A sebezhetőségi adatbázisunk frissítéséhez automatizált módszert is használunk. Kifejlesztettünk egy webrobotot és strukturálatlan adatelemzőt, amely minden nap több mint száz különböző külföldi és orosz forrást elemez számos kulcsszavakat- csoportok a közösségi hálózatokban, blogokban, mikroblogokban és médiában információs technológia valamint az információbiztonság biztosítása. Ha ezek az eszközök találnak valamit, ami megfelel a keresési feltételeknek, az elemző manuálisan ellenőrzi az információkat, és beírja a sebezhetőségi adatbázisba.

Szoftver sebezhetőség figyelése

A sérülékenységkezelő rendszer segítségével a fejlesztők figyelemmel kísérhetik szoftvereik harmadik féltől származó összetevőiben észlelt sérülékenységek jelenlétét és állapotát.

Például a Hewlett Packard Enterprise Secure Software Developer Life Cycle (SSDLC) modelljében a harmadik féltől származó könyvtárak vezérlése központi szerepet játszik.

Rendszerünk figyeli a sebezhetőségek jelenlétét ugyanazon szoftvertermék párhuzamos verzióiban/felépítéseiben.

Ez így működik:

1. A fejlesztő átadja nekünk a termékben használt, harmadik féltől származó könyvtárak és összetevők listáját.

2. Naponta ellenőrizzük:

b. megjelentek-e módszerek a korábban felfedezett sebezhetőségek kiküszöbölésére.

3. Értesítjük a fejlesztőt, ha a biztonsági rés állapota vagy pontozása megváltozott, a megadott példaképnek megfelelően. Ez azt jelenti, hogy ugyanazon vállalaton belüli különböző fejlesztőcsapatok csak azon termék esetében kapnak figyelmeztetést, és látják a biztonsági rés állapotát, amelyen dolgoznak.

A sérülékenységkezelő rendszer riasztási gyakorisága konfigurálható, de ha 7,5-nél nagyobb CVSS-pontszámú sebezhetőséget észlel, a fejlesztők azonnali figyelmeztetést kapnak.

Integráció a ViPNet TIAS-szal

A ViPNet Threat Intelligence Analytics rendszer szoftver- és hardverrendszere automatikusan észleli a számítógépes támadásokat és azonosítja az incidenseket a különböző forrásokból kapott események alapján információbiztonság. A ViPNet TIAS eseményeinek fő forrása a ViPNet IDS, amely a Perspective Monitoring által kifejlesztett AM Rules döntési szabálybázis segítségével elemzi a bejövő és kimenő hálózati forgalmat. Egyes aláírások a sebezhetőségek kihasználásának észlelésére vannak írva.

Ha a ViPNet TIAS olyan információbiztonsági incidenst észlel, amelyben egy biztonsági rést kihasználtak, akkor a sérülékenységgel kapcsolatos összes információ, beleértve a negatív hatás kiküszöbölésére vagy kompenzálására szolgáló módszereket is, automatikusan bekerül az incidenskártyára a felügyeleti rendszerből.

Az incidenskezelő rendszer az információbiztonsági incidensek kivizsgálását is segíti, információval látja el az elemzőket a kompromittálódás mutatóiról és az incidens által érintett potenciális információs infrastruktúra csomópontokról.

Az információs rendszerek sérülékenységeinek megfigyelése

A sebezhetőségkezelő rendszer használatának másik forgatókönyve az igény szerinti vizsgálat.

Az ügyfél önállóan, beépített eszközök vagy általunk fejlesztett script segítségével készít egy listát arról, hogy mi van a csomópontra telepítve (munkaállomás, szerver, DBMS, információbiztonsági szoftvercsomag, hálózati berendezések) rendszer- és alkalmazásszoftvereket és -összetevőket, továbbítja ezt a listát a vezérlőrendszernek, és jelentést kap az észlelt sebezhetőségekről, valamint időszakos értesítéseket azok állapotáról.

A rendszer és a gyakori sebezhetőség-ellenőrzők közötti különbségek:

  • Nem szükséges megfigyelő ügynökök telepítése a csomópontokra.
  • Nem hoz létre terhelést a hálózaton, mivel maga a megoldás architektúrája nem biztosít vizsgálati ügynököket és kiszolgálókat.
  • Nem terheli a berendezést, mivel létrejön az összetevők listája rendszerparancsok vagy egy könnyű, nyílt forráskódú szkript.
  • Kiküszöböli az információszivárgás lehetőségét. A „leendő monitorozás” nem tud megbízhatóan semmit megtudni egy csomópont fizikai és logikai elhelyezkedéséről vagy funkcionális céljáról az információs rendszerben. Az egyetlen információ, amely elhagyja az ügyfél ellenőrzött kerületét, egy txt fájl a szoftverösszetevők listájával. Ennek a fájlnak a tartalmát az ügyfél maga ellenőrzi, és feltölti a vezérlőrendszerbe.
  • A rendszer működéséhez nincs szükségünk számlákat vezérelt csomópontokon. Az információkat a webhely adminisztrátora gyűjti a saját nevében.
  • Biztonságos információcsere ViPNet VPN-en, IPsec-en vagy https-en keresztül.

A „Prospective Monitoring” sebezhetőség-kezelési szolgáltatáshoz való csatlakozás segít az ügyfélnek teljesíteni az oroszországi FSTEC 17. és 21. számú megrendelésének ANZ.1 „Információs rendszer sebezhetőségeinek azonosítása, elemzése és az újonnan azonosított sebezhetőségek gyors megszüntetése” követelményét. az orosz FSTEC engedélye a bizalmas információk műszaki védelmével kapcsolatos tevékenységekre.

Ár

Minimális költség - évi 25 000 rubel a rendszerhez csatlakoztatott 50 csomópont esetén, ha van érvényes csatlakozási szerződés

A probléma egy másik módja az, hogy a vállalatoknak gyorsan kell reagálniuk, ha egy alkalmazás sebezhető. Ez megköveteli, hogy az informatikai részleg egyértelműen nyomon tudja követni telepített alkalmazások, alkatrészek és javítások automatizálással és szabványos eszközökkel. Iparági erőfeszítések vannak a szoftvercímkék (19770-2) szabványosítására. Ezek olyan XML-fájlok, amelyek egy alkalmazással, komponenssel és/vagy javítással együtt vannak telepítve, és azonosítják a telepített szoftvert, és komponens vagy javítás esetén melyik alkalmazást azonosítják. része. A címkék tartalmaznak kiadói jogosultsági információkat, verzióinformációkat, fájlok listáját fájlnévvel, biztonságos fájlkivonattal és mérettel, amelyek segítségével ellenőrizhető, hogy a telepített alkalmazás a rendszeren van-e, és bináris fájlok harmadik fél nem módosította. Ezeket a címkéket a kiadó digitálisan aláírja.

Ha egy sérülékenység ismert, az informatikai részlegek eszközkezelő szoftverük segítségével azonnal azonosíthatják a sérülékeny szoftverrel rendelkező rendszereket, és lépéseket tehetnek a rendszerek frissítésére. A címkék egy javítás vagy frissítés részei lehetnek, amelyek segítségével ellenőrizhető, hogy a javítás telepítve van-e. Ily módon az IT-részlegek olyan erőforrásokat használhatnak, mint a NIST National Vulnerability Database eszközkezelési eszközeik, így amint egy vállalat elküldi a biztonsági rést az NVD-nek, az IT azonnal össze tudja hasonlítani az új biztonsági réseket a sajátjával.

Van egy vállalatcsoport, amely a TagVault.org (www.tagvault.org) nevű IEEE/ISTO non-profit szervezeten keresztül dolgozik az Egyesült Államok kormányával az ISO 19770-2 szabvány megvalósításán, amely lehetővé teszi az ilyen szintű automatizálást. Valamikor ezek a megvalósításnak megfelelő címkék valószínűleg kötelezőek lesznek az Egyesült Államok kormányának eladott szoftvereknél a következő néhány évben.

Így a nap végén jó gyakorlat, ha nem tesz közzé arról, hogy milyen alkalmazásokat és szoftververziókat használ, de ez nehéz lehet, amint azt korábban említettük. Gondoskodni szeretne arról, hogy pontos, naprakész szoftverleltárral rendelkezzen, azt rendszeresen összehasonlítsák az ismert biztonsági rések listájával, például az NVD-től, és hogy az IT azonnali lépéseket tudjon tenni a fenyegetés elhárítására a legújabb észleléssel A behatolások, víruskereső és egyéb környezeti zárolási módszerek legalább nagyon megnehezítik a környezet veszélyeztetését, és ha/ha mégis, akkor hosszú ideig nem észlelik.

KAPCSOLÓDÓ CIKKEK