Správa zranitelnosti je identifikace, hodnocení, klasifikace a výběr řešení pro eliminaci zranitelností. Správa zranitelnosti je založena na úložištích informací o zranitelnosti, jedním z nich je Advanced Monitoring Vulnerability Management System.

Naše řešení řídí vzhled informací o zranitelnostech v operační systémy(na bázi Windows, Linux/Unix), kancelářský a aplikační software, hardwarový software, nástroje pro bezpečnost informací.

Zdroje dat

Databáze systému správy zranitelnosti software"Prospektivní sledování" se automaticky doplňuje z následujících zdrojů:

  • Data Bank of Information Security Threats (BDU BI) FSTEC Ruska.
  • Národní databáze zranitelností (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Seznam adresátů CentOS.

K doplnění naší databáze zranitelností používáme také automatizovanou metodu. Vyvinuli jsme webový prohledávač a analyzátor nestrukturovaných dat, který každý den analyzuje více než sto různých zahraničních a ruských zdrojů pro řadu klíčová slova- skupiny v sociálních sítích, blogy, mikroblogy, média věnovaná informační technologie a informační bezpečnost. Pokud tyto nástroje najdou něco, co splňuje kritéria vyhledávání, analytik informace ručně zkontroluje a vloží je do databáze zranitelnosti.

Kontrola zranitelnosti softwaru

Pomocí systému správy zranitelnosti mohou vývojáři kontrolovat přítomnost a stav objevených zranitelností v komponentách jejich softwaru třetích stran.

Například v modelu společnosti Secure Software Developer Life Cycle (SSDLC). Hewlett Packard Podniková kontrola knihoven třetích stran je jedním z centrálních míst.

Náš systém monitoruje přítomnost zranitelností v paralelních verzích/sestaveních stejného softwarového produktu.

Funguje to takto:

1. Vývojář nám ​​zašle seznam knihoven a komponent třetích stran, které jsou v produktu použity.

2. Denně kontrolujeme:

b. zda existují metody k odstranění dříve objevených zranitelností.

3. Oznámíme vývojáři, pokud se stav nebo hodnocení zranitelnosti změnilo v souladu se zadaným vzorem. To znamená, že různé vývojové týmy v rámci stejné společnosti budou pouze upozorněny a uvidí stav zranitelnosti produktu, na kterém pracují.

Frekvence výstrah systému správy zranitelnosti je libovolně konfigurovatelná, ale když je nalezena zranitelnost se skóre CVSS vyšším než 7,5, vývojáři obdrží okamžité upozornění.

Integrace s ViPNet TIAS

Softwarový a hardwarový komplex ViPNet Threat Intelligence Analytics System automaticky detekuje počítačové útoky a identifikuje incidenty na základě událostí přicházejících z různých zdrojů. informační bezpečnost. Hlavním zdrojem událostí pro ViPNet TIAS je ViPNet IDS, který analyzuje příchozí a odchozí síťový provoz pomocí základů rozhodovacích pravidel AM Rules vyvinutých Perspective Monitoring. Některé podpisy jsou zapsány za účelem odhalení zneužití zranitelnosti.

Pokud ViPNet TIAS detekuje incident zabezpečení informací, ve kterém byla zneužita zranitelnost, jsou všechny informace související se zranitelností, včetně metod pro eliminaci nebo kompenzaci negativního dopadu, automaticky vloženy do karty incidentu z SMS.

Systém řízení incidentů také pomáhá při vyšetřování incidentů informační bezpečnosti tím, že poskytuje analytikům informace o indikátorech ohrožení a potenciálních uzlech informační infrastruktury ovlivněných incidentem.

Sledování přítomnosti zranitelností v informačních systémech

Dalším scénářem pro použití systému správy zranitelnosti je skenování na vyžádání.

Zákazník si samostatně vygeneruje seznam systémového a aplikačního softwaru a komponent nainstalovaných na uzlu (pracovní stanice, server, DBMS, SZI SZI, síťová zařízení) pomocí vestavěných nástrojů nebo námi vyvinutého skriptu, přenese tento seznam do SMS a obdrží hlášení o zjištěných zranitelnostech a pravidelná upozornění na jejich stav.

Rozdíly mezi systémem a běžnými skenery zranitelnosti:

  • Nevyžaduje instalaci monitorovacích agentů na hostitele.
  • Nezatěžuje síť, protože samotná architektura řešení neposkytuje agenty a skenovací servery.
  • Nezatěžuje zařízení, protože je vytvořen seznam součástí systémové příkazy nebo lehký open source skript.
  • Eliminuje možnost úniku informací. "Prospektivní sledování" nemůže spolehlivě zjistit nic o fyzickém a logickém umístění nebo funkčním účelu uzlu v informačním systému. Jedinou informací, která opouští kontrolovaný perimetr zákazníka, je txt soubor se seznamem softwarové komponenty. Tento soubor je zkontrolován na obsah a nahrán do SMS samotným zákazníkem.
  • Aby systém fungoval, nepotřebujeme účty na kontrolovaných uzlech. Informace shromažďuje správce uzlu svým jménem.
  • Bezpečná výměna informace o ViPNet VPN, IPsec nebo https.

Napojení na službu správy zranitelností „Prospective Monitoring“ pomáhá zákazníkovi splnit požadavek ANZ.1 „Identifikace, analýza zranitelností informační systém a rychlé odstranění nově identifikovaných zranitelností “příkazy FSTEC Ruska č. 17 a 21. Naše společnost je držitelem licence FSTEC Ruska pro činnosti technickou ochranu důvěrná informace.

Cena

Minimální náklady jsou 25 000 rublů ročně za 50 uzlů připojených k systému s platnou smlouvou o připojení k

Dalším způsobem, jak se na tento problém podívat, je, že společnosti musí rychle reagovat, když má aplikace zranitelnost. To vyžaduje, aby IT oddělení bylo schopno definitivně sledovat nainstalované aplikace, komponenty a opravy pomocí automatizačních nástrojů a standardních nástrojů. Existuje snaha o standardizaci softwarových značek (19770-2), což jsou soubory XML nainstalované s aplikací, komponentou a/nebo opravou, které identifikují nainstalovaný software, a v případě komponenty nebo opravy, o jakou aplikaci se jedná. část. Značky obsahují informace o oprávnění vydavatele, informace o verzi, seznam souborů s názvem souboru, zabezpečený hash souboru a velikost, kterou lze použít k potvrzení, že nainstalovaná aplikace je v systému a že binární soubory nebyly změněny třetí strana. Tyto štítky jsou podepsané digitální podpis vydavatel.

Když je známa zranitelnost, IT oddělení mohou použít svůj software pro správu aktiv k okamžité identifikaci systémů se zranitelným softwarem a mohou podniknout kroky k aktualizaci systémů. Značky mohou být součástí opravy nebo aktualizace, kterou lze použít k ověření, zda byla oprava nainstalována. Tímto způsobem mohou IT oddělení využívat zdroje, jako je NIST National Vulnerability Database, jako prostředek pro správu svých nástrojů pro správu aktiv, takže jakmile společnost předloží zranitelnost společnosti NVD, IT může okamžitě porovnávat nové zranitelnosti se svými.

Existuje skupina společností, které spolupracují prostřednictvím neziskové organizace IEEE/ISTO s názvem TagVault.org (www.tagvault.org) s vládou USA na standardní implementaci ISO 19770-2, která umožní tuto úroveň automatizace. V určitém okamžiku budou tyto značky odpovídající této implementaci pravděpodobně povinné pro software prodaný vládě USA v průběhu několika příštích let.

Nakonec je tedy dobrým zvykem nezveřejňovat, jaké aplikace a konkrétní verze softwaru používáte, ale to může být obtížné, jak již bylo řečeno. Chcete se ujistit, že máte přesný a aktuální inventář softwaru, že je pravidelně porovnáván se seznamem známých zranitelností, jako je NVID společnosti NVD, a že oddělení IT může okamžitě podniknout kroky k nápravě hrozby. s nejnovějším objevem Narušení, antivirové skenování a další metody středního uzamčení přinejmenším velmi znesnadní kompromitaci vašeho prostředí, a pokud se tak stane, nebude po dlouhou dobu detekováno.

V některých případech je výskyt zranitelností způsoben používáním vývojových nástrojů různého původu, které zvyšují riziko defektů sabotážního typu v kódu programu.

Chyby zabezpečení se objevují kvůli přidání komponent třetích stran nebo volně distribuovaného kódu (open source) do softwaru. Kód jiných lidí se často používá „tak jak je“ bez důkladné analýzy a testování zabezpečení.

Nelze vyloučit, že v týmu jsou zasvěcení programátoři, kteří do vytvářeného produktu záměrně zavádějí další nezdokumentované funkce nebo prvky.

Klasifikace zranitelností softwaru

Zranitelnosti vznikají v důsledku chyb, ke kterým došlo během fáze návrhu nebo psaní programový kód.

V závislosti na fázi výskytu se tento typ hrozby dělí na zranitelnosti návrhu, implementace a konfigurace.

  1. Chyby v návrhu se nejobtížněji odhalují a opravují. Jedná se o nepřesnosti algoritmů, záložek, nekonzistence v rozhraní mezi různé moduly nebo v protokolech interakce s hardwarem, zavedení suboptimálních technologií. Jejich odstranění je časově velmi náročný proces i proto, že se mohou objevit v nesrozumitelných případech – například při překročení objemu provozu nebo při připojení velkého množství přídavných zařízení, což komplikuje zajištění požadované úrovně bezpečnosti a vede ke vzniku způsobů, jak obejít firewall.
  2. Chyby zabezpečení se objevují ve fázi psaní programu nebo zavádění bezpečnostních algoritmů do něj. Jde o nesprávnou organizaci výpočetního procesu, syntaktické a logické vady. Existuje však riziko, že chyba povede k přetečení vyrovnávací paměti nebo jiným druhům problémů. Jejich detekce zabere spoustu času a eliminace zahrnuje opravu určitých částí strojového kódu.
  3. Chyby konfigurace hardwaru a softwaru jsou velmi časté. Jejich společnou příčinou je nedostatečný kvalitní vývoj a chybějící testy pro správnou funkci. další funkce. Do této kategorie patří také jednoduchá hesla a výchozí účty zůstaly nezměněny.

Podle statistik se zranitelnosti nejčastěji vyskytují v oblíbených a rozšířených produktech – desktopové a mobilní operační systémy, prohlížeče.

Rizika používání zranitelných programů

Programy, ve kterých najdou největší počet zranitelnosti jsou nainstalovány téměř na všech počítačích. Ze strany kyberzločinců je přímý zájem takové nedostatky najít a napsat za ně.

Vzhledem k tomu, že od okamžiku objevení zranitelnosti do zveřejnění opravy (záplaty) uplyne poměrně dlouhá doba, existuje mnoho příležitostí k infekci počítačové systémy přes bezpečnostní díry v kódu. Uživateli v tomto případě stačí jednou otevřít například škodlivý PDF soubor s exploitem, poté útočníci získají přístup k datům.

K infekci v druhém případě dochází podle následujícího algoritmu:

  • Uživatel obdrží e-mailem phishingový e-mail od důvěryhodného odesílatele.
  • Dopis obsahuje soubor s exploitem.
  • Pokud se uživatel pokusí soubor otevřít, pak je počítač napaden virem, trojským koněm (šifrátorem) nebo jiným malwarem.
  • Kyberzločinci získají neoprávněný přístup do systému.
  • Cenná data se kradou.

Výzkum provedený různými společnostmi (Kaspersky Lab, Positive Technologies) ukazuje, že téměř každá aplikace, včetně antivirů, obsahuje zranitelnosti. Proto pravděpodobnost nastavení software, obsahující nedostatky různého stupně kritičnosti, je velmi vysoká.

Pro minimalizaci počtu mezer v softwaru je nutné používat SDL (Security Development Lifecycle, secure životní cyklus rozvoj). Technologie SDL se používá ke snížení počtu chyb v aplikacích ve všech fázích jejich tvorby a podpory. Při navrhování softwaru tak specialisté na informační bezpečnost a programátoři modelují kybernetické hrozby, aby našli zranitelnosti. Během programování proces zahrnuje automatickými prostředky, okamžitě hlásí případné nedostatky. Vývojáři se snaží výrazně omezit funkce dostupné pro neověřené uživatele, což pomáhá snížit plochu útoku.

Chcete-li minimalizovat dopad zranitelností a poškození z nich, musíte dodržovat některá pravidla:

  • Rychle nainstalujte vývojáři vydané opravy (záplaty) pro aplikace nebo (nejlépe) povolte automatický režim aktualizace.
  • Pokud je to možné, neinstalujte pochybné programy, jejichž kvalita a technická podpora klást otázky.
  • Používejte speciální skenery zranitelnosti nebo specializované funkce antivirových produktů, které vám umožní vyhledat bezpečnostní chyby a v případě potřeby aktualizovat software.

V současné době bylo vyvinuto velké množství nástrojů pro automatizaci vyhledávání zranitelností softwaru. Tento článek se bude zabývat některými z nich.

Úvod

Statická analýza kódu je softwarová analýza, která se provádí na zdrojovém kódu programů a je implementována bez skutečného spuštění studovaného programu.

Software často obsahuje různé zranitelnosti kvůli chybám v kódu programu. Chyby při vývoji programů vedou v některých situacích ke zhroucení programu, a proto je narušen normální provoz programu: v tomto případě se často změní a poškodí data, program nebo dokonce systém se zastaví. . Většina zranitelností souvisí s nesprávným zpracováním dat přijatých zvenčí nebo jejich nedostatečně přísným ověřováním.

K identifikaci zranitelností se používají různé nástroje, například statické analyzátory zdrojový kód programy recenzované v tomto článku.

Klasifikace bezpečnostních zranitelností

Při porušení požadavku na správné fungování programu na všech možných vstupních datech je možný vznik tzv. bezpečnostních zranitelností (security vulnerability). Chyby zabezpečení mohou způsobit, že jeden program bude použit k překonání bezpečnostních omezení celého systému jako celku.

Klasifikace bezpečnostních zranitelností v závislosti na softwarových chybách:

  • Přetečení zásobníku. K této chybě zabezpečení dochází v důsledku nedostatečné kontroly nad polem mimo hranice v paměti během provádění programu. Když datový paket, který je příliš velký, přeteče omezenou vyrovnávací paměť, obsah nadbytečných paměťových buněk se přepíše a program se zhroutí a zhroutí. Podle umístění vyrovnávací paměti v paměti procesu se rozlišují přetečení vyrovnávací paměti na zásobníku (přetečení zásobníku zásobníku), haldě (přetečení zásobníku haldy) a oblasti statických dat (přetečení zásobníku bss).
  • Zranitelnosti „tainted input“ (zranitelnost tainted input). Poškozená zranitelnost vstupu může nastat, když je uživatelský vstup předán bez dostatečné kontroly interpretu nějakého externího jazyka (obvykle unixový shell nebo jazyk SQL). V tomto případě může uživatel zadat vstupní data tak, že spuštěný interpret provede zcela jiný příkaz, než jaký zamýšleli autoři zranitelného programu.
  • Chyby formátovací řetězce(zranitelnost formátovacího řetězce). Tenhle typ Chyba zabezpečení je podtřídou zranitelnosti „poškozený vstup“. Vzniká nedostatečnou kontrolou parametrů při použití formátových I/O funkcí printf, fprintf, scanf atd. standardní knihovny C. Tyto funkce berou jako jeden z parametrů znakový řetězec A, které určuje vstupní nebo výstupní formát pro následující argumenty funkce. Pokud si uživatel může nastavit typ formátování sám, pak by tato chyba zabezpečení mohla být důsledkem selhání funkcí formátování řetězce.
  • Chyby zabezpečení v důsledku chyb synchronizace (současné podmínky). Problémy spojené s multitaskingem vedou k situacím nazývaným „race conditions“: program, který není navržen pro běh v prostředí multitaskingu, se může domnívat, že například soubory, které při běhu používá, nemohou být změněny jiným programem. V důsledku toho může útočník, který nahradí obsah těchto pracovních souborů včas, přinutit program provést určité akce.

Samozřejmě, že kromě těch, které jsou uvedeny, existují další třídy bezpečnostních zranitelností.

Přehled existujících analyzátorů

K detekci bezpečnostních slabin v programech se používají následující nástroje:

  • Dynamické debuggery. Nástroje, které umožňují ladit program, když je spuštěn.
  • Statické analyzátory (statické debuggery). Nástroje, které využívají informace nashromážděné během statické analýzy programu.

Statické analyzátory označují ta místa v programu, kde by mohla být nalezena chyba. Tyto podezřelé úryvky kódu mohou buď obsahovat chybu, nebo být zcela neškodné.

Tento článek poskytuje přehled několika existujících statických analyzátorů. Pojďme se na každou z nich podívat blíže.

Při spuštění inteligentní skenování Avast zkontroluje, zda váš počítač neobsahuje následující typy problémů a poté nabídne návrhy, jak je opravit.

  • Viry: soubory obsahující Škodlivý kód, což může ovlivnit bezpečnost a výkon vašeho PC.
  • Zranitelný software: Programy, které je třeba aktualizovat a které mohou útočníci použít k získání přístupu do vašeho systému.
  • Rozšíření prohlížeče se špatnou pověstí: Rozšíření prohlížeče, která se obvykle instalují bez vašeho vědomí a ovlivňují výkon systému.
  • Slabá hesla: hesla, která se používají pro přístup k více než jednomu účet na internetu a mohou být snadno hacknuty nebo kompromitovány.
  • Síťové hrozby: Chyby zabezpečení ve vaší síti, které by mohly umožnit útoky na vaši síť síťová zařízení a router.
  • Problémy s výkonem: objekty ( nevyžádané soubory a aplikace, problémy související s nastavením), které mohou bránit vašemu počítači v práci.
  • Konfliktní antiviry: antivirový software nainstalovaný na PC s Avastem. Násobek antivirové programy zpomaluje PC a snižuje účinnost antivirové ochrany.

Poznámka. Některé problémy zjištěné Smart Scan mohou vyžadovat samostatnou licenci k vyřešení. Detekci zbytečných typů problémů lze zakázat v .

Nalezené řešení problémů

Zelené zaškrtnutí vedle oblasti skenování znamená, že nebyly nalezeny žádné související problémy. Červený křížek znamená, že skenování identifikovalo jeden nebo více souvisejících problémů.

Chcete-li zobrazit konkrétní podrobnosti o nalezených problémech, klikněte vše vyřešit. Smart Scan zobrazuje podrobnosti o každém problému a nabízí možnost jej okamžitě opravit kliknutím na položku Rozhodni se nebo to udělejte později kliknutím Tento krok přeskočte.

Poznámka. Protokoly antivirové kontroly lze zobrazit v historii kontroly , ke které se dostanete výběrem Ochrana Antivirus.

Správa nastavení Smart Scan

Chcete-li změnit nastavení Smart Scan, vyberte Nastavení Obecné Smart Scan a určete, pro který z uvedených typů problémů chcete spustit Smart Scan.

  • Viry
  • Zastaralý software
  • Doplňky prohlížeče
  • Síťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonem
  • Slabá hesla

Ve výchozím nastavení jsou povoleny všechny typy problémů. Chcete-li zastavit kontrolu konkrétního problému při provádění inteligentního skenování, klikněte na posuvník Zahrnuta vedle typu problému, aby se změnil stav na Vypnutý.

Klikněte Nastavení vedle nápisu Vyhledávání virů pro změnu nastavení skenování.