Na začátku chytré skenování Avast zkontroluje, zda váš počítač neobsahuje následující typy problémů a poté pro ně navrhne řešení.

  • Viry: soubory obsahující Škodlivý kód, což může ovlivnit bezpečnost a výkon vašeho PC.
  • Zranitelný software: Programy, které vyžadují aktualizaci a mohou být použity útočníky k získání přístupu do vašeho systému.
  • Rozšíření prohlížeče se špatnou pověstí: Rozšíření prohlížeče, která se obvykle instalují bez vašeho vědomí a ovlivňují výkon systému.
  • Slabá hesla: Hesla, která se používají pro přístup k více než jednomu online účtu a lze je snadno napadnout nebo prolomit.
  • Síťové hrozby: zranitelnosti ve vaší síti, které by mohly umožnit útoky na vaši síťová zařízení a router.
  • Problémy s výkonem: objekty ( nepotřebné soubory a aplikace, problémy související s nastavením), které mohou narušovat provoz počítače.
  • Konfliktní antiviry: antivirové programy nainstalované na vašem PC s Avastem. Dostupnost několika antivirové programy zpomaluje váš počítač a snižuje účinnost antivirové ochrany.

Poznámka. Některé problémy zjištěné Smart Scan mohou vyžadovat samostatnou licenci k vyřešení. Detekci zbytečných typů problémů lze zakázat v .

Řešení zjištěných problémů

Zelená značka zaškrtnutí vedle oblasti skenování znamená, že v této oblasti nebyly nalezeny žádné problémy. Červený křížek znamená, že skenování identifikovalo jeden nebo více souvisejících problémů.

Chcete-li zobrazit konkrétní podrobnosti o zjištěných problémech, klikněte na Všechno vyřešit. Smart Scan zobrazuje podrobnosti o každém problému a nabízí možnost jej okamžitě opravit kliknutím na položku Rozhodni se nebo to udělejte později kliknutím Tento krok přeskočte.

Poznámka. Protokoly antivirové kontroly lze zobrazit v historii kontroly, ke které se dostanete výběrem Ochrana Antivirus.

Správa nastavení Smart Scan

Chcete-li změnit nastavení Smart Scan, vyberte Nastavení Obecné Smart Scan a určete, který z následujících typů problémů chcete chytře skenovat.

  • Viry
  • Zastaralý software
  • Doplňky prohlížeče
  • Síťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonem
  • Slabá hesla

Ve výchozím nastavení jsou povoleny všechny typy problémů. Chcete-li zastavit kontrolu konkrétního problému při spuštění Smart Scan, klikněte na posuvník Zahrnuta vedle typu problému, takže změní stav na Vypnutý.

Klikněte Nastavení vedle nápisu Skenování virů pro změnu nastavení skenování.

Dalším způsobem, jak se na tento problém podívat, je, že společnosti musí rychle reagovat, když má aplikace zranitelnost. To vyžaduje, aby IT oddělení bylo schopno definitivně sledovat nainstalované aplikace, komponenty a opravy pomocí automatizace a standardních nástrojů. Existuje snaha o standardizaci softwarových značek (19770-2), což jsou soubory XML nainstalované s aplikací, komponentou a/nebo opravou, které identifikují nainstalovaný software, a v případě komponenty nebo opravy, o jakou aplikaci se jedná. část. Značky obsahují informace o oprávnění vydavatele, informace o verzi, seznam souborů s názvem souboru, zabezpečený hash souboru a velikost, které lze použít k potvrzení, že nainstalovaná aplikace je v systému a že binární soubory nebyly upravena třetí stranou. Tyto značky jsou podepsané digitální podpis vydavatel.

Když je známa zranitelnost, IT oddělení mohou použít svůj software pro správu aktiv k okamžité identifikaci systémů se zranitelným softwarem a mohou podniknout kroky k aktualizaci systémů. Značky mohou být součástí opravy nebo aktualizace, kterou lze použít k ověření, zda byla oprava nainstalována. Tímto způsobem mohou IT oddělení využívat zdroje, jako je NIST National Vulnerability Database, jako prostředek ke správě svých nástrojů pro správu aktiv, takže jakmile společnost předloží zranitelnost společnosti NVD, IT může okamžitě porovnávat nové zranitelnosti se svými.

Existuje skupina společností, které prostřednictvím neziskové organizace IEEE/ISTO s názvem TagVault.org (www.tagvault.org) spolupracují s vládou USA na standardní implementaci ISO 19770-2, která umožní tuto úroveň automatizace. V určitém okamžiku budou tyto značky odpovídající této implementaci pravděpodobně vyžadovány software, prodán vládě USA v průběhu několika příštích let.

Na konci dne je tedy dobrým zvykem nezveřejňovat informace o tom, jaké aplikace a konkrétní verze softwaru používáte, ale to může být obtížné, jak bylo uvedeno dříve. Chcete se ujistit, že máte přesný a aktuální inventář softwaru, že je pravidelně porovnáván se seznamem známých zranitelností, jako je NVID od NVD, a že IT může okamžitě podniknout kroky k nápravě hrozby. s nejnovější detekcí Narušení, antivirové skenování a další metody zamykání prostředí přinejmenším velmi znesnadní ohrožení vašeho prostředí, a pokud se tak stane, nebude po dlouhou dobu detekováno.

V současné době bylo vyvinuto velké množství nástrojů pro automatizaci vyhledávání zranitelností programu. Tento článek se bude zabývat některými z nich.

Úvod

Statická analýza kódu je softwarová analýza, která se provádí na zdrojovém kódu programů a je implementována bez skutečného spuštění studovaného programu.

Software často obsahuje různé zranitelnosti kvůli chybám v kódu programu. Chyby při vývoji programů vedou v některých situacích k selhání programu a následně k narušení normální činnosti programu: to často vede ke změnám a poškození dat, zastavení programu nebo dokonce systému. Většina zranitelností je spojena s nesprávným zpracováním dat přijatých zvenčí nebo jejich nedostatečně přísným ověřováním.

K identifikaci zranitelností se používají různé nástroje, například statické analyzátory zdrojový kód programů, jejichž přehled je uveden v tomto článku.

Klasifikace bezpečnostních zranitelností

Když je porušen požadavek, aby program správně fungoval se všemi možnými vstupními daty, je možný výskyt takzvaných bezpečnostních zranitelností. Chyby zabezpečení mohou znamenat, že jeden program lze použít k překonání bezpečnostních omezení celého systému.

Klasifikace bezpečnostních zranitelností v závislosti na softwarových chybách:

  • Přetečení zásobníku. K této chybě zabezpečení dochází v důsledku nedostatečné kontroly nad polem mimo hranice paměti během provádění programu. Když paket dat, který je příliš velký, přeteče vyrovnávací paměť s omezenou velikostí, dojde k přepsání obsahu nadbytečných paměťových míst, což způsobí zhroucení a ukončení programu. Podle umístění vyrovnávací paměti v paměti procesu se rozlišují přetečení vyrovnávací paměti na zásobníku (přetečení zásobníku zásobníku), haldě (přetečení zásobníku haldy) a oblasti statických dat (přetečení zásobníku bss).
  • Poskvrněná zranitelnost vstupu. Chyby zabezpečení zkaženého vstupu se mohou objevit, když je uživatelský vstup předán interpretu nějakého externího jazyka (obvykle unixový shell nebo SQL) bez dostatečné kontroly. V tomto případě může uživatel zadat vstupní data tak, že spuštěný interpret provede zcela jiný příkaz, než zamýšleli autoři zranitelného programu.
  • Chyby formátovací řetězce(zranitelnost formátovacího řetězce). Tenhle typ Chyby zabezpečení jsou podtřídou zranitelnosti „zkaženého vstupu“. Dochází k němu z důvodu nedostatečné kontroly parametrů při použití formátových I/O funkcí printf, fprintf, scanf atd. standardní knihovny C. Tyto funkce berou jako jeden ze svých parametrů znakový řetězec, který určuje vstupní nebo výstupní formát následujících argumentů funkce. Pokud může uživatel určit typ formátování, může tato chyba zabezpečení vyplývat z neúspěšného použití funkcí formátování řetězců.
  • Chyby zabezpečení v důsledku chyb synchronizace (současné podmínky). Problémy spojené s multitaskingem vedou k situacím nazývaným „race conditions“: program, který není navržen pro běh v prostředí multitaskingu, se může domnívat, že například soubory, které používá, nemohou být změněny jiným programem. V důsledku toho může útočník, který včas nahradí obsah těchto pracovních souborů, přinutit program provést určité akce.

Kromě uvedených samozřejmě existují další třídy bezpečnostních zranitelností.

Přehled stávajících analyzátorů

K detekci bezpečnostních slabin v programech se používají následující nástroje:

  • Dynamické debuggery. Nástroje, které umožňují ladit program během jeho provádění.
  • Statické analyzátory (statické debuggery). Nástroje, které využívají informace nashromážděné během statické analýzy programu.

Statické analyzátory ukazují na ta místa v programu, kde může být chyba. Tyto podezřelé části kódu mohou buď obsahovat chybu, nebo být zcela neškodné.

Tento článek poskytuje přehled několika existujících statických analyzátorů. Pojďme se na každou z nich podívat blíže.

Správa zranitelnosti je identifikace, hodnocení, klasifikace a výběr řešení pro řešení zranitelností. Základem správy zranitelnosti jsou úložiště informací o zranitelnosti, jednou z nich je systém správy zranitelnosti „Forward Monitoring“.

Naše řešení řídí vzhled informací o zranitelnostech v operační systémy(na bázi Windows, Linux/Unix), kancelářský a aplikační software, software vybavení, nástroje pro bezpečnost informací.

Zdroje dat

Databáze systému Perspective Monitoring Software Vulnerability Management System se automaticky aktualizuje z následujících zdrojů:

  • Data Bank of Information Security Threats (BDU BI) FSTEC Ruska.
  • Národní databáze zranitelností (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Seznam adresátů CentOS.

K aktualizaci naší databáze zranitelností také používáme automatizovanou metodu. Vyvinuli jsme webový prohledávač a analyzátor nestrukturovaných dat, který každý den analyzuje více než sto různých zahraničních a ruských zdrojů v řadě klíčová slova- skupiny v sociálních sítích, blogy, mikroblogy, média věnovaná informační technologie a zajištění bezpečnosti informací. Pokud tyto nástroje najdou něco, co odpovídá kritériím vyhledávání, analytik informace ručně zkontroluje a vloží je do databáze zranitelnosti.

Monitorování zranitelnosti softwaru

Pomocí systému správy zranitelností mohou vývojáři sledovat přítomnost a stav zjištěných zranitelností v komponentách jejich softwaru třetích stran.

Například v modelu společnosti Secure Software Developer Life Cycle (SSDLC). Hewlett Packard Podnikové řízení knihoven třetích stran zaujímá centrální místo.

Náš systém monitoruje přítomnost zranitelností v paralelních verzích/sestaveních stejného softwarového produktu.

Funguje to takto:

1. Vývojář nám ​​poskytuje seznam knihoven a komponent třetích stran, které jsou v produktu použity.

2. Denně kontrolujeme:

b. zda se objevily metody k odstranění dříve objevených zranitelností.

3. Oznámíme vývojáři, pokud se stav nebo hodnocení zranitelnosti změnilo v souladu se zadaným vzorem. To znamená, že různé vývojové týmy v rámci stejné společnosti obdrží upozornění a uvidí stav zranitelnosti pouze pro produkt, na kterém pracují.

Četnost výstrah systému správy zranitelností je konfigurovatelná, ale pokud je zjištěna zranitelnost se skóre CVSS vyšším než 7,5, vývojáři obdrží okamžité upozornění.

Integrace s ViPNet TIAS

Softwarový a hardwarový systém ViPNet Threat Intelligence Analytics System automaticky detekuje počítačové útoky a identifikuje incidenty na základě událostí přijatých z různých zdrojů. informační bezpečnost. Hlavním zdrojem událostí pro ViPNet TIAS je ViPNet IDS, který analyzuje příchozí a odchozí síťový provoz pomocí základu rozhodovacích pravidel AM Rules vyvinutého Perspective Monitoring. Některé podpisy jsou zapsány za účelem odhalení zneužití zranitelností.

Pokud ViPNet TIAS detekuje incident zabezpečení informací, ve kterém byla zneužita zranitelnost, pak jsou všechny informace související s touto zranitelností, včetně metod pro eliminaci nebo kompenzaci negativního dopadu, automaticky vloženy do karty incidentu ze systému řízení.

Systém řízení incidentů také pomáhá při vyšetřování incidentů informační bezpečnosti, poskytuje analytikům informace o indikátorech ohrožení a potenciálních uzlech informační infrastruktury ovlivněných incidentem.

Sledování přítomnosti zranitelností v informačních systémech

Dalším scénářem použití systému správy zranitelnosti je skenování na vyžádání.

Zákazník samostatně vygeneruje pomocí vestavěných nástrojů nebo námi vyvinutého skriptu seznam systémového a aplikačního softwaru a komponent nainstalovaných na uzlu (pracovní stanice, server, DBMS, softwarový balík, síťové vybavení), předá tento seznam řízení systému a obdrží zprávu o zjištěných zranitelnostech a pravidelná upozornění o jejich stavu.

Rozdíly mezi systémem a běžnými skenery zranitelnosti:

  • Nevyžaduje instalaci monitorovacích agentů na uzly.
  • Nevytváří zátěž na síti, protože architektura řešení sama o sobě neposkytuje skenovací agenty a servery.
  • Nezatěžuje zařízení, protože je vytvořen seznam součástí systémové příkazy nebo lehký open source skript.
  • Eliminuje možnost úniku informací. „Prospektivní sledování“ nemůže spolehlivě zjistit nic o fyzickém a logickém umístění nebo funkčním účelu uzlu v informačním systému. Jedinou informací, která opustí kontrolovaný perimetr zákazníka, je soubor txt se seznamem softwarové komponenty. Tento soubor je zkontrolován z hlediska obsahu a nahrán do řídicího systému samotným zákazníkem.
  • Aby systém fungoval, nepotřebujeme účty na kontrolovaných uzlech. Informace shromažďuje správce webu svým vlastním jménem.
  • Bezpečná výměna informace o ViPNet VPN, IPsec nebo https.

Připojení ke službě Perspective Monitoring management zranitelnosti pomáhá zákazníkovi splnit požadavek ANZ.1 „Identifikace a analýza zranitelností informační systém a rychlé odstranění nově identifikovaných zranitelností“ zakázek FSTEC Ruska č. 17 a 21. Naše společnost je držitelem licence FSTEC Ruska pro činnosti na technickou ochranu důvěrná informace.

Cena

Minimální náklady - 25 000 rublů ročně za 50 uzlů připojených k systému, pokud existuje platná smlouva o připojení k

V některých případech vznikají zranitelnosti v důsledku použití vývojových nástrojů různého původu, které zvyšují riziko výskytu defektů typu sabotáže v kódu programu.

Chyby zabezpečení se objevují kvůli přidání komponent třetích stran nebo volně distribuovaného kódu (open source) do softwaru. Kód někoho jiného se často používá „tak jak je“ bez důkladné analýzy a testování zabezpečení.

Nelze vyloučit přítomnost zasvěcených programátorů v týmu, kteří záměrně zavádějí do vytvářeného produktu další nezdokumentované funkce nebo prvky.

Klasifikace zranitelností programu

Chyby zabezpečení vznikají z chyb, ke kterým došlo během fáze návrhu nebo psaní. programový kód.

V závislosti na fázi výskytu se tento typ hrozby dělí na zranitelnosti návrhu, implementace a konfigurace.

  1. Nejobtížněji se odhalují a eliminují chyby vzniklé během návrhu. Jsou to nepřesnosti v algoritmech, záložkách, nekonzistence v rozhraní mezi různé moduly nebo v protokolech pro interakci s hardwarem zavádění suboptimálních technologií. Jejich odstranění je velmi pracný proces, mimo jiné proto, že se mohou objevit v ne zcela zřejmých případech – například při překročení zamýšleného objemu dopravy nebo při připojení velkého množství přídavných zařízení, což komplikuje zajištění potřebné úroveň zabezpečení a vede ke vzniku způsobů, jak firewall obejít.
  2. Implementační zranitelnosti se objevují ve fázi psaní programu nebo implementace bezpečnostních algoritmů do něj. Jedná se o nesprávnou organizaci výpočetního procesu, syntaktické a logické vady. Existuje riziko, že chyba povede k přetečení vyrovnávací paměti nebo jiným problémům. Jejich detekce zabere spoustu času a jejich odstranění zahrnuje opravu určitých částí strojového kódu.
  3. Chyby konfigurace hardwaru a softwaru jsou poměrně časté. Jejich společným důvodem je nedostatečně kvalitní vývoj a chybějící testy pro správnou funkci. doplňkové funkce. Tato kategorie může také zahrnovat jednoduchá hesla a ponecháno beze změny Účty výchozí.

Podle statistik jsou zranitelnosti obzvláště často objeveny v oblíbených a rozšířených produktech - desktopové a mobilní operační systémy, prohlížeče.

Rizika používání zranitelných programů

Programy, které najdou největší počet zranitelnosti jsou nainstalovány téměř na všech počítačích. Ze strany kyberzločinců je přímý zájem takové nedostatky najít a napsat za ně.

Vzhledem k tomu, že od okamžiku objevení zranitelnosti do zveřejnění opravy (záplaty) uplyne poměrně hodně času, existuje mnoho příležitostí k infekci počítačové systémy přes mezery v zabezpečení programového kódu. Uživateli v tomto případě stačí jednou otevřít například škodlivý PDF soubor s exploitem, poté útočníci získají přístup k datům.

V druhém případě dochází k infekci podle následujícího algoritmu:

  • Uživatel obdrží e-mailem phishingový e-mail od důvěryhodného odesílatele.
  • K dopisu je připojen soubor s exploitem.
  • Pokud se uživatel pokusí otevřít soubor, počítač se nakazí virem, trojským koněm (šifrátorem) nebo jiným škodlivým programem.
  • Kyberzločinci získají neoprávněný přístup do systému.
  • Cenná data se kradou.

Výzkum provedený různými společnostmi (Kaspersky Lab, Positive Technologies) ukazuje, že téměř každá aplikace, včetně antivirů, obsahuje zranitelnosti. Proto pravděpodobnost založení software, obsahující nedostatky různého stupně kritičnosti, je velmi vysoká.

Pro minimalizaci počtu mezer v softwaru je nutné používat SDL (Security Development Lifecycle, secure životní cyklus rozvoj). Technologie SDL se používá ke snížení počtu chyb v aplikacích ve všech fázích jejich tvorby a podpory. Při navrhování softwaru tak specialisté na informační bezpečnost a programátoři modelují kybernetické hrozby, aby našli zranitelnosti. Během programování proces zahrnuje automatickými prostředky, okamžitě hlásí případné nedostatky. Vývojáři se snaží výrazně omezit funkcionalitu dostupnou nedůvěryhodným uživatelům, což pomáhá snížit plochu útoku.

Chcete-li minimalizovat dopad zranitelných míst a škody jimi způsobené, musíte dodržovat některá pravidla:

  • Okamžitě nainstalujte vývojáře vydané opravy (záplaty) pro aplikace nebo (nejlépe) povolte automatický režim aktualizace.
  • Pokud je to možné, neinstalujte pochybné programy, jejichž kvalita a technická podpora klást otázky.
  • Používejte speciální skenery zranitelnosti nebo specializované funkce antivirových produktů, které umožňují vyhledávat bezpečnostní chyby a v případě potřeby aktualizovat software.