A sérülékenységkezelés a sérülékenységek kiküszöbölésére szolgáló megoldás azonosítása, értékelése, osztályozása és kiválasztása. A sérülékenységkezelés a sebezhetőségi információs tárolókon alapul, amelyek egyike az Advanced Monitoring Vulnerability Management System.

Megoldásunk szabályozza a biztonsági résekkel kapcsolatos információk megjelenését operációs rendszer(Windows, Linux/Unix alapú), irodai és alkalmazási szoftverek, hardver szoftverek, információbiztonsági eszközök.

Adatforrások

Sebezhetőség-kezelő rendszer adatbázisa szoftver A "Leendő figyelés" automatikusan feltöltődik a következő forrásokból:

  • Az oroszországi FSTEC információs biztonsági fenyegetéseinek adatbankja (BDU BI).
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS levelezőlista.

Automatizált módszert is használunk a sebezhetőségi adatbázisunk feltöltésére. Kifejlesztettünk egy webrobotot és strukturálatlan adatelemzőt, amely naponta több mint száz különböző külföldi és orosz forrást elemez számos kulcsszavakat- csoportok a közösségi hálózatokban, blogokban, mikroblogokban és médiában információs technológiaés információbiztonság. Ha ezek az eszközök találnak valamit, ami megfelel a keresési feltételeknek, az elemző manuálisan ellenőrzi az információkat, és beírja a sebezhetőségi adatbázisba.

Szoftver sebezhetőség ellenőrzése

A sérülékenység-kezelő rendszer segítségével a fejlesztők szabályozhatják szoftvereik harmadik féltől származó összetevőiben felfedezett sebezhetőségek jelenlétét és állapotát.

Például egy vállalat Secure Software Developer Life Cycle (SSDLC) modelljében Hewlett-Packard A harmadik féltől származó könyvtárak vállalati felügyelete az egyik központi hely.

Rendszerünk figyeli a biztonsági rések jelenlétét ugyanazon szoftvertermék párhuzamos verzióiban / buildjeiben.

Ez így működik:

1. A fejlesztő elküldi nekünk a termékben használt, harmadik féltől származó könyvtárak és összetevők listáját.

2. Naponta ellenőrizzük:

b. léteznek-e módszerek a korábban felfedezett sebezhetőségek megszüntetésére.

3. Értesítjük a fejlesztőt, ha a biztonsági rés állapota vagy pontozása megváltozott, a megadott példaképnek megfelelően. Ez azt jelenti, hogy ugyanazon vállalaton belüli különböző fejlesztőcsapatok csak értesítést kapnak, és csak az általuk dolgozott termék sebezhetőségének állapotát látják.

A sérülékenységkezelő rendszer riasztási gyakorisága tetszőlegesen konfigurálható, de ha 7,5-nél nagyobb CVSS-pontszámú sebezhetőséget találnak, a fejlesztők azonnali figyelmeztetést kapnak.

Integráció a ViPNet TIAS-szal

A ViPNet Threat Intelligence Analytics rendszer szoftver- és hardverkomplexuma automatikusan észleli a számítógépes támadásokat és azonosítja az incidenseket a különböző forrásokból származó események alapján. információ biztonság. A ViPNet TIAS eseményeinek fő forrása a ViPNet IDS, amely a Perspective Monitoring által kifejlesztett AM Rules döntési szabályok alapján elemzi a bejövő és kimenő hálózati forgalmat. Egyes aláírások azért vannak írva, hogy észleljék a sebezhetőségek kihasználását.

Ha a ViPNet TIAS olyan információbiztonsági incidenst észlel, amelyben egy biztonsági rést kihasználtak, akkor a sérülékenységgel kapcsolatos összes információ, beleértve a negatív hatás kiküszöbölésére vagy kompenzálására szolgáló módszereket is, automatikusan bekerül az incidenskártyára az SMS-ből.

Az incidenskezelő rendszer az információbiztonsági incidensek kivizsgálását is segíti azáltal, hogy az elemzők tájékoztatást ad a kompromittálódás mutatóiról és az incidens által érintett potenciális információs infrastruktúra csomópontokról.

Az információs rendszerek sérülékenységeinek megfigyelése

A sebezhetőségkezelő rendszer használatának másik forgatókönyve az igény szerinti vizsgálat.

Az ügyfél a csomópontra (munkaállomás, szerver, DBMS, SZI SZI, hálózati berendezések) telepített rendszer- és alkalmazásszoftverekről, komponensekről önállóan generál listát beépített eszközök vagy általunk fejlesztett script segítségével, ezt a listát átküldi az SMS-be és megkapja. jelentés az észlelt sebezhetőségekről és időszakos értesítések az állapotukról.

A rendszer és a gyakori sebezhetőség-ellenőrzők közötti különbségek:

  • Nem szükséges megfigyelő ügynökök telepítése a gazdagépekre.
  • Nem terheli meg a hálózatot, mivel maga a megoldás architektúrája nem biztosít ügynököket és ellenőrző kiszolgálókat.
  • Nem terheli a berendezést, mivel létrejön az összetevők listája rendszerparancsok vagy egy könnyű, nyílt forráskódú szkript.
  • Kiküszöböli az információszivárgás lehetőségét. A „leendő monitorozás” nem tud megbízhatóan megtudni semmit egy információs rendszerben lévő csomópont fizikai és logikai helyéről vagy funkcionális céljáról. Az egyetlen információ, amely elhagyja az ügyfél ellenőrzött kerületét, egy listát tartalmazó txt fájl szoftver komponensek. Ennek a fájlnak a tartalmát az ügyfél maga ellenőrzi, és feltölti az SMS-be.
  • A rendszer működéséhez nincs szükségünk fiókokra a vezérelt csomópontokon. Az információkat a csomópont adminisztrátora gyűjti a saját nevében.
  • Biztonságos csere információk a ViPNet VPN-ről, az IPsec-ről vagy a https-ről.

A "Prospective Monitoring" sebezhetőségkezelő szolgáltatáshoz való csatlakozás segít az ügyfélnek teljesíteni az ANZ.1 "Sebezhetőségek azonosítása, elemzése" követelményeit. tájékoztatási rendszerés az újonnan azonosított sebezhetőségek azonnali kiküszöbölése” az oroszországi FSTEC 17. és 21. számú utasítása. Cégünk az oroszországi FSTEC engedélyese a műszaki védelem bizalmas információ.

Ár

A minimális költség évi 25 000 rubel 50, a rendszerhez csatlakoztatott csomópont esetén érvényes csatlakozási szerződéssel.

A probléma egy másik módja az, hogy a vállalatoknak gyorsan kell reagálniuk, ha egy alkalmazás sebezhető. Ehhez az szükséges, hogy az informatikai részleg képes legyen véglegesen nyomon követni telepített alkalmazások, alkatrészek és javítások automatizálási eszközök és szabványos eszközök segítségével. Iparági erőfeszítések történtek a szoftvercímkék (19770-2) szabványosítására, amelyek olyan XML-fájlok, amelyek egy alkalmazással, összetevővel és/vagy javítással együtt vannak telepítve, és azonosítják a telepített szoftvert, és komponens vagy javítás esetén melyik alkalmazást azonosítják. része. A címkék kiadói jogosultságinformációkkal, verzióinformációkkal, fájlnévvel ellátott fájlok listájával, biztonságos fájlkivonattal és mérettel rendelkeznek, amelyek segítségével ellenőrizhető, hogy a telepített alkalmazás a rendszeren van, és a binárisokat nem módosította harmadik fél. Ezek a címkék alá vannak írva digitális aláírás kiadó.

Ha egy sérülékenység ismert, az informatikai részlegek eszközkezelő szoftverük segítségével azonnal azonosíthatják a sérülékeny szoftverrel rendelkező rendszereket, és lépéseket tehetnek a rendszerek frissítésére. A címkék egy javítás vagy frissítés részei lehetnek, amelyek segítségével ellenőrizhető, hogy a javítás telepítve van-e. Ily módon az informatikai részlegek olyan erőforrásokat használhatnak fel, mint a NIST National Vulnerability Database vagyonkezelési eszközeik kezelésének eszköze, így amint egy vállalat egy sebezhetőséget benyújt az NVD-hez, az IT azonnal össze tudja hasonlítani az új sebezhetőségeket az övékkel.

Van egy vállalatcsoport, amely a TagVault.org (www.tagvault.org) nevű non-profit IEEE/ISTO-n keresztül dolgozik az Egyesült Államok kormányával az ISO 19770-2 szabvány megvalósításán, amely lehetővé teszi az automatizálás ezen szintjét. Valamikor ezek a megvalósításnak megfelelő címkék valószínűleg kötelezőek lesznek az Egyesült Államok kormányának eladott szoftvereknél a következő néhány évben.

Végső soron tehát jó gyakorlat, ha nem tesz közzé, hogy milyen alkalmazásokat és konkrét szoftververziókat használ, de ez nehéz lehet, amint azt korábban jeleztük. Gondoskodni szeretne arról, hogy pontos, naprakész szoftverleltárral rendelkezzen, azt rendszeresen összehasonlítsák az ismert sebezhetőségek listájával, mint például az NVD NVID-je, és hogy az informatikai részleg azonnali lépéseket tudjon tenni a fenyegetés elhárítására. a legújabb felfedezéssel A behatolások, a víruskereső és más közepes zárolási módszerek legalább nagyon megnehezítik a környezet kompromittálását, és ha/ha megtörténik, akkor azt hosszú ideig nem észlelik.

Egyes esetekben a sérülékenységek előfordulása a különböző eredetű fejlesztőeszközök használatának köszönhető, ami növeli a programkód szabotázs jellegű hibáinak kockázatát.

A sebezhetőségek a harmadik féltől származó összetevők vagy szabadon terjesztett kód (nyílt forráskódú) szoftverhez való hozzáadása miatt jelennek meg. Mások kódját gyakran „ahogyan” használják alapos elemzés és biztonsági tesztelés nélkül.

Nem zárható ki, hogy a csapatban vannak bennfentes programozók, akik szándékosan további, nem dokumentált funkciókat vagy elemeket visznek be a készülő termékbe.

A szoftver sebezhetőségeinek osztályozása

A sérülékenységek a tervezési vagy írási szakaszban fellépő hibák eredményeként merülnek fel programkód.

A megjelenés szakaszától függően ez a típusú fenyegetés tervezési, megvalósítási és konfigurációs sebezhetőségre oszlik.

  1. A tervezési hibákat a legnehezebb észlelni és kijavítani. Ezek az algoritmusok pontatlanságai, a könyvjelzők, az interfész inkonzisztenciája különböző modulok vagy a hardverrel való interakció protokolljaiban a szuboptimális technológiák bevezetése. Kiküszöbölésük nagyon időigényes folyamat, még azért is, mert nem nyilvánvaló esetekben - például a forgalom túllépésekor, vagy nagy mennyiségű kiegészítő berendezés csatlakoztatásakor - megjelenhetnek, ami megnehezíti a szükséges szint biztosítását. biztonság, és a tűzfal megkerülésének módjainak megjelenéséhez vezet.
  2. Az implementációs sérülékenységek egy program írásának vagy biztonsági algoritmusok bevezetésének szakaszában jelennek meg. Ezek a számítási folyamat helytelen megszervezése, szintaktikai és logikai hibák. Fennáll azonban annak a veszélye, hogy a hiba puffer túlcsorduláshoz vagy más jellegű problémákhoz vezet. Észlelésük sok időt vesz igénybe, és a kiküszöbölés a gépi kód egyes szakaszainak javításával jár.
  3. A hardver- és szoftverkonfigurációs hibák nagyon gyakoriak. Gyakori okuk a nem megfelelő minőségfejlesztés és a megfelelő munkavégzéshez szükséges tesztek hiánya. további jellemzők. Szintén ebbe a kategóriába tartoznak egyszerű jelszavakés az alapértelmezett fiókok változatlanok maradnak.

A statisztikák szerint a sebezhetőséget leggyakrabban a népszerű és elterjedt termékekben - asztali és mobil operációs rendszerekben, böngészőkben - találják.

A sebezhető programok használatának kockázatai

Programok, amelyekben megtalálják legnagyobb számban a biztonsági rések szinte minden számítógépen telepítve vannak. A kiberbûnözõk részérõl közvetlen érdekük fűződik az ilyen hibák felkutatásához, és írásban nekik.

Mivel a sebezhetőség felfedezésének pillanatától a javítás (javítás) közzétételéig meglehetősen hosszú idő telik el, számos lehetőség van a fertőzésre. számítógépes rendszerek a kód biztonsági résein keresztül. Ebben az esetben a felhasználónak csak egyszer kell megnyitnia például egy rosszindulatú PDF fájlt exploittal, ami után a támadók hozzáférnek az adatokhoz.

Ez utóbbi esetben a fertőzés a következő algoritmus szerint történik:

  • A felhasználó megkapja email adathalász e-mail egy megbízható feladótól.
  • Az exploitot tartalmazó fájl csatolva van a levélhez.
  • Ha a felhasználó megpróbál megnyitni egy fájlt, akkor a számítógépet vírus, trójai (titkosító) vagy más rosszindulatú program fertőzte meg.
  • A kiberbűnözők jogosulatlanul hozzáférnek a rendszerhez.
  • Értékes adatokat lopnak el.

Különböző cégek (Kaspersky Lab, Positive Technologies) által végzett kutatások azt mutatják, hogy szinte minden alkalmazásban vannak sebezhetőségek, beleértve az antivírusokat is. Ezért a beállítás valószínűsége szoftver, amely különböző fokú kritikusságú hibákat tartalmaz, nagyon magas.

A szoftverben lévő hiányosságok számának minimalizálása érdekében SDL (Security Development Lifecycle, biztonságos) használata szükséges életciklus fejlődés). Az SDL technológiát az alkalmazásokban előforduló hibák számának csökkentésére használják a létrehozásuk és támogatásuk minden szakaszában. Így a szoftverek tervezése során az információbiztonsági szakemberek és programozók modellezik a kiberfenyegetéseket, hogy megtalálják a sebezhetőséget. A programozás során a folyamat magában foglalja automatikus eszközökkel, azonnal jelenti az esetleges hibákat. A fejlesztők célja, hogy jelentősen korlátozzák az ellenőrizetlen felhasználók számára elérhető funkciókat, ami segít csökkenteni a támadási felületet.

A sebezhetőségek és az azokból származó károk hatásának minimalizálása érdekében be kell tartania néhány szabályt:

  • Gyorsan telepítse a fejlesztők által kiadott javításokat (javításokat) az alkalmazásokhoz, vagy (lehetőleg) engedélyezze automatikus mód frissítéseket.
  • Lehetőleg ne telepítsünk olyan kétes programokat, amelyek minősége ill technikai támogatás kérdéseket vet fel.
  • Használjon speciális sebezhetőség-ellenőrzőket vagy víruskereső termékek speciális funkcióit, amelyek lehetővé teszik a biztonsági hibák keresését és a szoftverfrissítést, ha szükséges.

Jelenleg számos olyan eszközt fejlesztettek ki, amelyek automatizálják a szoftversérülékenységek keresését. Ez a cikk ezek közül néhányat tárgyal.

Bevezetés

A statikus kódelemzés egy szoftverelemzés, amelyet a programok forráskódján hajtanak végre, és anélkül valósítják meg, hogy ténylegesen végrehajtanák a vizsgált programot.

A szoftver gyakran tartalmaz különféle sebezhetőségeket a programkód hibái miatt. A programok fejlesztése során elkövetett hibák bizonyos helyzetekben a program összeomlásához vezetnek, és emiatt a program normál működése megszakad: ilyenkor gyakran megváltoznak, megsérülnek az adatok, a program vagy akár a rendszer is leáll. . A sérülékenységek többsége a kívülről kapott adatok hibás feldolgozásával, vagy azok nem kellően szigorú ellenőrzésével kapcsolatos.

Különféle eszközöket használnak a sérülékenységek azonosítására, például statikus elemzőket forráskód ebben a cikkben ismertetett programok.

A biztonsági rések osztályozása

Ha a program minden lehetséges bemeneti adaton megfelelő működésére vonatkozó követelmény megsérül, akkor lehetségessé válik az úgynevezett biztonsági sérülékenységek (security vulnerability) megjelenése. A biztonsági rések miatt előfordulhat, hogy egy program segítségével a teljes rendszer biztonsági korlátait leküzdjük.

A biztonsági rések osztályozása szoftverhibáktól függően:

  • Puffer túlcsordulás. Ez a sérülékenység a memóriában lévő határokon kívüli tömb feletti ellenőrzés hiánya miatt következik be a program végrehajtása során. Ha egy túl nagy adatcsomag túlcsordul a korlátozott pufferen, a külső memóriacellák tartalma felülíródik, és a program összeomlik és összeomlik. A puffernek a folyamatmemóriában elfoglalt helye alapján megkülönböztetünk puffertúlcsordulást a veremben (verem puffer túlcsordulás), kupacot (heap puffer túlcsordulás) és statikus adatterületet (bss puffer túlcsordulás).
  • Sebezhetőségek "szennyezett bemenet" (szennyezett bemeneti sebezhetőség). Sérült beviteli biztonsági rések akkor fordulhatnak elő, ha a felhasználói bevitel megfelelő ellenőrzés nélkül kerül át valamilyen külső nyelv (általában Unix shell vagy SQL nyelv) értelmezőjének. Ebben az esetben a felhasználó megadhatja a bemeneti adatokat úgy, hogy az elindított interpreter teljesen más parancsot hajtson végre, mint amit a sérülékeny program szerzői szándékoznak.
  • Hibák formátumú karakterláncok(formátumkarakterlánc-sebezhetőség). Ez a típus A biztonsági rés a "sérült bemenet" sebezhetőség alosztálya. Ez abból adódik, hogy a C szabványkönyvtár printf, fprintf, scanf stb. formátumú I/O függvényeit használja az elégtelen paramétervezérlés. Ezek a függvények az egyik paraméter karakterlánc A, amely a következő függvényargumentumok bemeneti vagy kimeneti formátumát adja meg. Ha a felhasználó saját maga állíthatja be a formázás típusát, akkor ez a sérülékenység a karakterlánc formázási funkciók sikertelen alkalmazásából eredhet.
  • Szinkronizálási hibák (versenykörülmények) következtében fellépő sebezhetőségek. A többfeladatos munkavégzéssel kapcsolatos problémák „versenyfeltételeknek” nevezett helyzetekhez vezetnek: egy program, amelyet nem többfeladatos környezetben való futtatásra terveztek, azt hiheti, hogy például a futás közben használt fájlokat egy másik program nem tudja megváltoztatni. Ennek eredményeként egy támadó, aki időben lecseréli ezeknek a munkafájloknak a tartalmát, bizonyos műveletek végrehajtására kényszerítheti a programot.

Természetesen a felsoroltakon kívül vannak más osztályú biztonsági rések is.

A meglévő analizátorok áttekintése

A következő eszközöket használják a programok biztonsági résének észlelésére:

  • Dinamikus hibakeresők. Eszközök, amelyek lehetővé teszik a program hibakeresését futás közben.
  • Statikus elemzők (statikus hibakeresők). Eszközök, amelyek a program statikus elemzése során felhalmozott információkat használják fel.

A statikus analizátorok jelzik a program azon helyeit, ahol hiba található. Ezek a gyanús kódrészletek tartalmazhatnak hibát, vagy teljesen ártalmatlanok.

Ez a cikk áttekintést nyújt több létező statikus analizátorról. Nézzük meg mindegyiket közelebbről.

Indításkor intelligens szkennelés Az Avast ellenőrzi a számítógépén a következő típusú problémákat, majd javaslatokat tesz a javításukra.

  • Vírusok: fájlok, amelyek tartalmazzák rosszindulatú kód, ami hatással lehet számítógépe biztonságára és teljesítményére.
  • Sebezhető szoftverek: Frissítésre szoruló programok, amelyekkel a támadók hozzáférhetnek a rendszerhez.
  • Böngészőbővítmények rossz hírnévvel: Általában az Ön tudta nélkül telepített böngészőbővítmények, amelyek befolyásolják a rendszer teljesítményét.
  • Gyenge jelszavak: jelszavak, amelyek egynél több eléréséhez használhatók fiókot az interneten, és könnyen feltörhető vagy feltörhető.
  • Hálózati veszélyek: A hálózat biztonsági rései, amelyek támadásokat tehetnek lehetővé hálózati eszközökés router.
  • Teljesítménybeli problémák: tárgyak ( felesleges fájlokés alkalmazások, beállításokkal kapcsolatos problémák), amelyek megakadályozhatják a számítógép működését.
  • Ütköző víruskeresők: víruskereső szoftver telepítve a számítógépre az Avast segítségével. Többszörös víruskereső programok lelassítja a számítógépet és csökkenti a vírusvédelem hatékonyságát.

jegyzet. A Smart Scan által észlelt bizonyos problémák megoldásához külön licencre lehet szükség. A szükségtelen problématípusok észlelése a -ban letiltható.

Megtalált problémák megoldása

A szkennelési terület melletti zöld pipa azt jelzi, hogy nem találtunk vele kapcsolatos problémát. A piros kereszt azt jelenti, hogy a vizsgálat egy vagy több kapcsolódó problémát azonosított.

A talált problémák konkrét részleteinek megtekintéséhez kattintson a gombra mindent megoldani. A Smart Scan az egyes problémák részleteit jeleníti meg, és lehetőséget kínál a probléma azonnali kijavítására, ha rákattint egy elemre Döntsd el, vagy kattintson rá később Ugorja át ezt a lépést.

jegyzet. A víruskereső vizsgálati naplók a vizsgálati előzményekben láthatók, amelyek a kiválasztásával érhetők el Védelem víruskereső.

Intelligens szkennelési beállítások kezelése

A Smart Scan beállításainak módosításához válassza a lehetőséget Beállítások Általános Smart Scanés adja meg, hogy a felsorolt ​​problématípusok közül melyikre szeretne intelligens keresést futtatni.

  • Vírusok
  • Elavult szoftver
  • Böngésző kiegészítők
  • Hálózati veszélyek
  • Kompatibilitási problémák
  • Teljesítménybeli problémák
  • Gyenge jelszavak

Alapértelmezés szerint minden típusú probléma engedélyezve van. Ha le szeretné állítani egy adott probléma keresését az intelligens vizsgálat végrehajtásakor, kattintson a csúszkára Beleértve a probléma típusa mellett, hogy az állapota a következőre változzon Kikapcsolt.

Kattintson Beállítások felirat mellett Víruskeresés a szkennelési beállítások módosításához.