Indításkor intelligens szkennelés Az Avast a következő típusú problémákat keresi a számítógépén, majd megoldásokat javasol rájuk.

  • Vírusok: fájlok, amelyek tartalmazzák rosszindulatú kód, ami hatással lehet számítógépe biztonságára és teljesítményére.
  • Sebezhető szoftverek: Frissítést igénylő programok, amelyek segítségével a támadók hozzáférhetnek a rendszerhez.
  • Böngészőbővítmények rossz hírnévvel: Általában az Ön tudta nélkül telepített böngészőbővítmények, amelyek befolyásolják a rendszer teljesítményét.
  • Gyenge jelszavak: Jelszavak, amelyeket több online fiók eléréséhez használnak, és amelyek könnyen feltörhetők vagy feltörhetők.
  • Hálózati fenyegetések: a hálózat sérülékenységei, amelyek támadásokat tehetnek lehetővé hálózati eszközökés egy router.
  • Teljesítménybeli problémák: tárgyak ( szükségtelen fájlokatés alkalmazások, beállításokkal kapcsolatos problémák), amelyek zavarhatják a számítógép működését.
  • Ütköző víruskeresők: az Avast segítségével számítógépére telepített víruskereső programok. Több darab elérhetősége víruskereső programok lelassítja a számítógépet és csökkenti a vírusvédelem hatékonyságát.

jegyzet. A Smart Scan által észlelt bizonyos problémák megoldásához külön licencre lehet szükség. A szükségtelen problématípusok észlelése a -ban letiltható.

Az észlelt problémák megoldása

A szkennelési terület melletti zöld pipa azt jelzi, hogy nem találtunk problémát az adott területen. A piros kereszt azt jelenti, hogy a vizsgálat egy vagy több kapcsolódó problémát azonosított.

Az észlelt problémák konkrét részleteinek megtekintéséhez kattintson a gombra Mindent megoldani. A Smart Scan az egyes problémák részleteit jeleníti meg, és lehetőséget kínál a probléma azonnali kijavítására az elemre kattintva Döntsd el, vagy kattintson rá később Ugorja át ezt a lépést.

jegyzet. A víruskereső vizsgálati naplók a vizsgálati előzményekben láthatók, amelyek a kiválasztással érhetők el Védelem víruskereső.

A Smart Scan beállítások kezelése

A Smart Scan beállításainak módosításához válassza a lehetőséget Beállítások Általános Smart Scanés adja meg, hogy az alábbi problématípusok közül melyikre szeretne intelligens keresést végezni.

  • Vírusok
  • Elavult szoftver
  • Böngésző kiegészítők
  • Hálózati fenyegetések
  • Kompatibilitási problémák
  • Teljesítménybeli problémák
  • Gyenge jelszavak

Alapértelmezés szerint minden problématípus engedélyezve van. Ha le szeretné állítani egy adott probléma keresését az Intelligens keresés futtatásakor, kattintson a csúszkára Beleértve a probléma típusa mellett, hogy az állapotot erre módosítsa Kikapcsolt.

Kattintson Beállítások felirat mellett Víruskeresés a szkennelési beállítások módosításához.

A probléma egy másik módja az, hogy a vállalatoknak gyorsan kell reagálniuk, ha egy alkalmazás sebezhető. Ez megköveteli, hogy az informatikai részleg egyértelműen nyomon tudja követni telepített alkalmazások, alkatrészek és javítások automatizálással és szabványos eszközökkel. Iparági erőfeszítések történtek a szoftvercímkék (19770-2) szabványosítására, amelyek olyan XML-fájlok, amelyek egy alkalmazással, összetevővel és/vagy javítással együtt vannak telepítve, és azonosítják a telepített szoftvert, és komponens vagy javítás esetén melyik alkalmazást azonosítják. része. A címkék tartalmaznak kiadói jogosultsági információkat, verzióinformációkat, fájlok listáját a fájlnévvel, a fájl biztonságos kivonatát és méretét, amelyek segítségével ellenőrizhető, hogy a telepített alkalmazás a rendszeren van-e, és hogy a bináris fájlokat nem harmadik fél által módosított. Ezek a címkék alá vannak írva digitális aláírás kiadó.

Ha egy sérülékenység ismert, az informatikai részlegek eszközkezelő szoftverük segítségével azonnal azonosíthatják a sérülékeny szoftverrel rendelkező rendszereket, és lépéseket tehetnek a rendszerek frissítésére. A címkék egy javítás vagy frissítés részei lehetnek, amelyek segítségével ellenőrizhető, hogy a javítás telepítve van-e. Ily módon az informatikai osztályok olyan erőforrásokat használhatnak, mint a NIST National Vulnerability Database vagyonkezelési eszközeik kezelésének eszköze, így amint egy vállalat elküldi a biztonsági rést az NVD-nek, az IT azonnal össze tudja hasonlítani az új sebezhetőségeket a sajátjával.

A TagVault.org (www.tagvault.org) nevű IEEE/ISTO non-profit szervezeten keresztül a vállalatok egy csoportja dolgozik együtt az Egyesült Államok kormányával az ISO 19770-2 szabvány megvalósításán, amely lehetővé teszi az automatizálás ilyen szintjét. Valamikor valószínűleg szükség lesz ezekre a megvalósításnak megfelelő címkékre szoftver, amelyet a következő néhány évben valamikor eladtak az Egyesült Államok kormányának.

Így a nap végén jó gyakorlat, ha nem tesz közzé arról, hogy milyen alkalmazásokat és szoftververziókat használ, de ez nehéz lehet, amint azt korábban említettük. Gondoskodni szeretne arról, hogy pontos, naprakész szoftverleltárral rendelkezzen, azt rendszeresen összehasonlítsák az ismert sebezhetőségek listájával, például az NVD-től származó NVID-vel, és hogy az IT azonnali lépéseket tudjon tenni a fenyegetés elhárítására. a legújabb észleléssel A behatolások, víruskereső és egyéb környezeti zárolási módszerek legalább nagyon megnehezítik a környezet veszélyeztetését, és ha/ha mégis, akkor hosszú ideig nem észlelik.

Jelenleg számos eszközt fejlesztettek ki a programok sebezhetőségeinek keresésének automatizálására. Ez a cikk ezek közül néhányat tárgyal.

Bevezetés

A statikus kódelemzés egy szoftverelemzés, amelyet a programok forráskódján hajtanak végre, és anélkül valósítják meg, hogy ténylegesen végrehajtanák a vizsgált programot.

A szoftverek gyakran tartalmaznak különféle sebezhetőségeket a programkód hibái miatt. A programok fejlesztése során elkövetett hibák bizonyos helyzetekben a program meghibásodásához vezetnek, és ennek következtében a program normál működése zavart okoz: ez gyakran változásokat, adatok károsodását, a program vagy akár a rendszer leállását eredményezi. A legtöbb sérülékenység a kívülről kapott adatok helytelen feldolgozásával, vagy nem kellően szigorú ellenőrzésével kapcsolatos.

Különféle eszközöket használnak a sérülékenységek azonosítására, például statikus elemzőket forráskód programokat, amelyek áttekintése ebben a cikkben található.

A biztonsági rések osztályozása

Ha megsértik azt a követelményt, hogy a program minden lehetséges bemeneti adaton megfelelően működjön, akkor lehetségessé válik az úgynevezett biztonsági rések megjelenése. A biztonsági rések azt jelenthetik, hogy egy program segítségével egy egész rendszer biztonsági korlátait le lehet küzdeni.

A biztonsági rések osztályozása szoftverhibáktól függően:

  • Puffer túlcsordulás. Ez a sérülékenység abból adódik, hogy a program végrehajtása során nem lehet ellenőrizni a memóriában lévő határokon kívüli tömböket. Ha egy túl nagy adatcsomag túlcsordul a korlátozott méretű pufferen, a külső memóriahelyek tartalma felülíródik, ami a program összeomlását és kilépését okozza. A puffer folyamatmemóriában elfoglalt helye alapján megkülönböztetünk puffertúlcsordulást a veremen (verem puffer túlcsordulás), kupacot (halom puffer túlcsordulás) és statikus adatterületet (bss puffer túlcsordulás).
  • Tömörített beviteli sebezhetőség. Elrontott beviteli biztonsági rések akkor fordulhatnak elő, ha a felhasználói bevitel megfelelő ellenőrzés nélkül kerül át valamilyen külső nyelv (általában Unix shell vagy SQL) értelmezőjébe. Ebben az esetben a felhasználó megadhatja a bemeneti adatokat úgy, hogy az elindított interpreter teljesen más parancsot hajtson végre, mint amit a sérülékeny program készítői szándékoztak.
  • Hibák formátumú karakterláncok(formátumkarakterlánc-sebezhetőség). Ez a típus A biztonsági rések a "szennyezett bemenet" sebezhetőség egy alosztályát képezik. Ez a paraméterek elégtelen szabályozása miatt fordul elő a C szabványkönyvtár printf, fprintf, scanf stb. formátumú I/O függvényeinek használatakor. Ezek a függvények az egyik paraméterük karakterlánc, amely a következő függvényargumentumok bemeneti vagy kimeneti formátumát adja meg. Ha a felhasználó megadhatja a formázás típusát, akkor ez a sérülékenység a karakterlánc formázási funkciók sikertelen használatából eredhet.
  • Szinkronizálási hibák (versenykörülmények) következtében fellépő sebezhetőségek. A többfeladatos munkavégzéssel kapcsolatos problémák „versenyfeltételeknek” nevezett helyzetekhez vezetnek: egy olyan program, amelyet nem többfeladatos környezetben való futtatásra terveztek, azt hiheti, hogy például az általa használt fájlokat egy másik program nem tudja megváltoztatni. Ennek eredményeként egy támadó, aki időben lecseréli ezeknek a munkafájloknak a tartalmát, bizonyos műveletek végrehajtására kényszerítheti a programot.

Természetesen a felsoroltakon kívül vannak más osztályú biztonsági rések is.

Meglévő analizátorok áttekintése

A következő eszközöket használják a programok biztonsági résének észlelésére:

  • Dinamikus hibakeresők. Eszközök, amelyek lehetővé teszik a program hibakeresését annak végrehajtása során.
  • Statikus elemzők (statikus hibakeresők). Olyan eszközök, amelyek egy program statikus elemzése során felhalmozott információkat használnak fel.

A statikus analizátorok a program azon helyeire mutatnak rá, ahol hiba található. Ezek a gyanús kódrészletek vagy hibát tartalmazhatnak, vagy teljesen ártalmatlanok.

Ez a cikk áttekintést nyújt több létező statikus analizátorról. Nézzük meg mindegyiket közelebbről.

A sebezhetőség-kezelés a sebezhetőségek kezelésére szolgáló megoldás azonosítása, értékelése, osztályozása és kiválasztása. A sérülékenységkezelés alapja a sebezhetőségekkel kapcsolatos információk tárháza, amelyek egyike a „Forward Monitoring” sebezhetőségkezelő rendszer.

Megoldásunk szabályozza a biztonsági résekre vonatkozó információk megjelenését operációs rendszer(Windows, Linux/Unix alapú), irodai és alkalmazási szoftverek, berendezések szoftverei, információbiztonsági eszközök.

Adatforrások

A Perspective Monitoring Software Vulnerability Management System adatbázisa automatikusan frissül a következő forrásokból:

  • Az információbiztonsági veszélyek adatbankja (BDU BI) az oroszországi FSTEC.
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS levelezőlista.

A sebezhetőségi adatbázisunk frissítéséhez automatizált módszert is használunk. Kifejlesztettünk egy webrobotot és strukturálatlan adatelemzőt, amely minden nap több mint száz különböző külföldi és orosz forrást elemez számos kulcsszavakat- csoportok a közösségi hálózatokban, blogokban, mikroblogokban és médiában információs technológia valamint az információbiztonság biztosítása. Ha ezek az eszközök találnak valamit, ami megfelel a keresési feltételeknek, az elemző manuálisan ellenőrzi az információkat, és beírja a sebezhetőségi adatbázisba.

Szoftver sebezhetőség figyelése

A sérülékenységkezelő rendszer segítségével a fejlesztők nyomon követhetik szoftvereik harmadik féltől származó összetevőiben észlelt sérülékenységek jelenlétét és állapotát.

Például a vállalat Secure Software Developer Life Cycle (SSDLC) modelljében Hewlett-Packard A harmadik féltől származó könyvtárak vállalati ellenőrzése központi helyet foglal el.

Rendszerünk figyeli a sebezhetőségek jelenlétét ugyanazon szoftvertermék párhuzamos verzióiban/felépítéseiben.

Ez így működik:

1. A fejlesztő átadja nekünk a termékben használt, harmadik féltől származó könyvtárak és összetevők listáját.

2. Naponta ellenőrizzük:

b. megjelentek-e módszerek a korábban felfedezett sebezhetőségek kiküszöbölésére.

3. Értesítjük a fejlesztőt, ha a biztonsági rés állapota vagy pontozása megváltozott, a megadott példaképnek megfelelően. Ez azt jelenti, hogy ugyanazon vállalaton belüli különböző fejlesztőcsapatok csak azon termék esetében kapnak figyelmeztetést, és látják a biztonsági rés állapotát, amelyen dolgoznak.

A sérülékenységkezelő rendszer riasztási gyakorisága konfigurálható, de ha 7,5-nél nagyobb CVSS-pontszámú sebezhetőséget észlel, a fejlesztők azonnali figyelmeztetést kapnak.

Integráció a ViPNet TIAS-szal

A ViPNet Threat Intelligence Analytics rendszer szoftver- és hardverrendszere automatikusan észleli a számítógépes támadásokat és azonosítja az incidenseket a különböző forrásokból kapott események alapján információ biztonság. A ViPNet TIAS eseményeinek fő forrása a ViPNet IDS, amely a Perspective Monitoring által kifejlesztett AM Rules döntési szabálybázis segítségével elemzi a bejövő és kimenő hálózati forgalmat. Egyes aláírások a sebezhetőségek kihasználásának észlelésére vannak írva.

Ha a ViPNet TIAS olyan információbiztonsági incidenst észlel, amelyben egy biztonsági rést kihasználtak, akkor a sérülékenységgel kapcsolatos összes információ, beleértve a negatív hatás kiküszöbölésére vagy kompenzálására szolgáló módszereket is, automatikusan bekerül az incidenskártyára a felügyeleti rendszerből.

Az incidenskezelő rendszer az információbiztonsági incidensek kivizsgálását is segíti, információval látja el az elemzőket a kompromittálódás mutatóiról és az incidens által érintett potenciális információs infrastruktúra csomópontokról.

Az információs rendszerek sérülékenységeinek megfigyelése

A sebezhetőségkezelő rendszer használatának másik forgatókönyve az igény szerinti vizsgálat.

Az ügyfél önállóan, beépített eszközök vagy általunk kifejlesztett szkript segítségével generál egy listát a csomópontra telepített rendszer- és alkalmazásszoftverekről, komponensekről (munkaállomás, szerver, DBMS, szoftvercsomag, hálózati berendezés), ezt a listát továbbítja a vezérlőnek. rendszert, és jelentést kap az észlelt sebezhetőségekről, valamint időszakos értesítéseket azok állapotáról.

A rendszer és a gyakori sebezhetőség-ellenőrzők közötti különbségek:

  • Nem szükséges megfigyelő ügynökök telepítése a csomópontokra.
  • Nem okoz terhelést a hálózaton, mivel maga a megoldás architektúrája nem biztosít vizsgálati ügynököket és kiszolgálókat.
  • Nem terheli a berendezést, mivel létrejön az összetevők listája rendszerparancsok vagy egy könnyű, nyílt forráskódú szkript.
  • Kiküszöböli az információszivárgás lehetőségét. A „leendő monitorozás” nem tud megbízhatóan semmit megtudni egy csomópont fizikai és logikai elhelyezkedéséről vagy funkcionális céljáról az információs rendszerben. Az egyetlen információ, amely elhagyja az ügyfél ellenőrzött kerületét, egy listát tartalmazó txt fájl szoftver komponensek. Ennek a fájlnak a tartalmát az ügyfél maga ellenőrzi, és feltölti a vezérlőrendszerbe.
  • A rendszer működéséhez nincs szükségünk fiókokra a vezérelt csomópontokon. Az információkat a webhely adminisztrátora gyűjti a saját nevében.
  • Biztonságos csere információk a ViPNet VPN-ről, az IPsec-ről vagy a https-ről.

A Perspective Monitoring sebezhetőségkezelő szolgáltatáshoz való csatlakozás segít az ügyfélnek teljesíteni az ANZ.1 „Sebezhetőségek azonosítása és elemzése” követelményét. tájékoztatási rendszerés az újonnan azonosított sebezhetőségek azonnali kiküszöbölése" az orosz FSTEC 17. és 21. számú megrendelésében. Cégünk az orosz FSTEC engedélyese a műszaki védelem bizalmas információ.

Ár

Minimális költség - évi 25 000 rubel a rendszerhez csatlakoztatott 50 csomópont esetén, ha van érvényes szerződés a csatlakozásra

Egyes esetekben a különböző eredetű fejlesztőeszközök használata miatt adódnak sérülékenységek, amelyek növelik a szabotázs jellegű hibák megjelenésének kockázatát a programkódban.

A sebezhetőségek a harmadik féltől származó összetevők vagy szabadon terjesztett kód (nyílt forráskódú) szoftverhez való hozzáadása miatt jelennek meg. Valaki más kódját gyakran „ahogyan” használják alapos elemzés és biztonsági tesztelés nélkül.

Nem szabad kizárni a bennfentes programozók jelenlétét a csapatban, akik szándékosan további, nem dokumentált funkciókat vagy elemeket visznek be a készülő termékbe.

A program sebezhetőségeinek osztályozása

A sérülékenységek a tervezési vagy írási fázis során tapasztalt hibákból adódnak. programkód.

Az előfordulás stádiumától függően az ilyen típusú fenyegetés tervezési, megvalósítási és konfigurációs sebezhetőségekre oszlik.

  1. A tervezés során elkövetett hibákat a legnehezebb észlelni és kiküszöbölni. Ezek az algoritmusok pontatlanságai, a könyvjelzők, az interfész inkonzisztenciája különböző modulok vagy a hardverrel való interakció protokolljaiban a szuboptimális technológiák bevezetése. Ezek megszüntetése nagyon munkaigényes folyamat, többek között azért is, mert nem nyilvánvaló esetekben - például a tervezett forgalom túllépésekor, vagy nagy mennyiségű kiegészítő berendezés csatlakoztatásakor -, ami megnehezíti a szükséges eszközök biztosítását. biztonsági szintet, és a tűzfal megkerülésének módjainak megjelenéséhez vezet.
  2. Az implementációs sérülékenységek egy program írásának vagy biztonsági algoritmusok bevezetésének szakaszában jelennek meg. Ez a számítási folyamat helytelen megszervezése, szintaktikai és logikai hibák. Fennáll annak a veszélye, hogy a hiba puffer túlcsorduláshoz vagy egyéb problémákhoz vezet. Felismerésük sok időt vesz igénybe, kiküszöbölésük pedig a gépi kód egyes részeinek kijavításával jár.
  3. A hardver- és szoftverkonfigurációs hibák meglehetősen gyakoriak. Gyakori okuk a nem kellően magas színvonalú fejlesztés és a megfelelő működéshez szükséges tesztek hiánya. további funkciókat. Ez a kategória is tartalmazhat egyszerű jelszavakés változatlanul hagyta Fiókok alapértelmezett.

A statisztikák szerint különösen gyakran a népszerű és elterjedt termékekben – asztali és mobil operációs rendszerekben, böngészőkben – fedeznek fel sebezhetőséget.

A sebezhető programok használatának kockázatai

Programok, amelyek megtalálják legnagyobb szám a biztonsági rések szinte minden számítógépen telepítve vannak. A kiberbûnözõk részérõl közvetlen érdekük fűződik az ilyen hibák felkutatásához, és írásban nekik.

Mivel a sebezhetőség felfedezésétől a javítás (javítás) közzétételéig elég sok idő telik el, számos lehetőség van a fertőzésre. számítógépes rendszerek a programkód biztonsági résein keresztül. Ebben az esetben a felhasználónak csak egyszer kell megnyitnia például egy rosszindulatú PDF fájlt exploittal, ami után a támadók hozzáférnek az adatokhoz.

Az utóbbi esetben a fertőzés a következő algoritmus szerint történik:

  • A felhasználó megkapja email egy adathalász e-mail hiteles feladótól.
  • A levélhez egy exploitot tartalmazó fájl csatolva van.
  • Ha a felhasználó megpróbál megnyitni egy fájlt, a számítógépet megfertőzi vírus, trójai (titkosító) vagy más rosszindulatú program.
  • A kiberbűnözők jogosulatlanul hozzáférnek a rendszerhez.
  • Értékes adatokat lopnak el.

Különböző cégek (Kaspersky Lab, Positive Technologies) által végzett kutatások azt mutatják, hogy szinte minden alkalmazásban előfordulnak sebezhetőségek, beleértve az antivírusokat is. Ezért a megállapítás valószínűsége szoftver, amely különböző fokú kritikusságú hibákat tartalmaz, nagyon magas.

A szoftverhiányok számának minimalizálása érdekében SDL (Security Development Lifecycle, biztonságos) használata szükséges életciklus fejlesztés). Az SDL technológiát az alkalmazásokban előforduló hibák számának csökkentésére használják a létrehozásuk és támogatásuk minden szakaszában. Így a szoftverek tervezése során az információbiztonsági szakemberek és programozók modellezik a kiberfenyegetéseket, hogy megtalálják a sebezhetőséget. A programozás során a folyamat magában foglalja automatikus eszközökkel, azonnal jelenti az esetleges hibákat. A fejlesztők arra törekszenek, hogy jelentősen korlátozzák a nem megbízható felhasználók számára elérhető funkciókat, ami segít csökkenteni a támadási felületet.

A sebezhetőségek hatásának és az általuk okozott károk minimalizálása érdekében be kell tartania néhány szabályt:

  • Azonnal telepítse a fejlesztők által kiadott javításokat (javításokat) az alkalmazásokhoz, vagy (lehetőleg) engedélyezze automatikus mód frissítéseket.
  • Lehetőleg ne telepítsünk olyan kétes programokat, amelyek minősége ill technikai támogatás kérdéseket vet fel.
  • Használjon speciális sebezhetőség-ellenőrzőket vagy víruskereső termékek speciális funkcióit, amelyek lehetővé teszik a biztonsági hibák keresését és szükség esetén a szoftver frissítését.