Manažment zraniteľností je identifikácia, hodnotenie, klasifikácia a výber riešenia na elimináciu zraniteľností. Správa zraniteľností je založená na úložiskách informácií o zraniteľnostiach, z ktorých jedným je Advanced Monitoring Vulnerability Management System.

Naše riešenie kontroluje vzhľad informácií o zraniteľnostiach v operačné systémy(na báze Windows, Linux/Unix), kancelársky a aplikačný softvér, hardvérový softvér, nástroje na bezpečnosť informácií.

Zdroje dát

Databáza systému správy zraniteľností softvér"Prospektívne monitorovanie" sa automaticky dopĺňa z nasledujúcich zdrojov:

  • Data Bank of Information Security Threats (BDU BI) FSTEC Ruska.
  • Národná databáza zraniteľností (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Zoznam adries CentOS.

Na doplnenie našej databázy zraniteľností používame aj automatizovanú metódu. Vyvinuli sme webový prehľadávač a analyzátor neštruktúrovaných údajov, ktorý každý deň analyzuje viac ako sto rôznych zahraničných a ruských zdrojov pre množstvo Kľúčové slová- skupiny v sociálnych sieťach, blogy, mikroblogy, médiá venované informačné technológie a informačnej bezpečnosti. Ak tieto nástroje nájdu niečo, čo spĺňa kritériá vyhľadávania, analytik manuálne skontroluje informácie a vloží ich do databázy zraniteľností.

Kontrola softvérovej zraniteľnosti

Pomocou systému správy zraniteľností môžu vývojári kontrolovať prítomnosť a stav objavených zraniteľností v komponentoch softvéru tretích strán.

Napríklad v modeli spoločnosti Secure Software Developer Life Cycle (SSDLC). Hewlett Packard Podniková kontrola knižníc tretích strán je jedným z centrálnych miest.

Náš systém monitoruje prítomnosť zraniteľností v paralelných verziách / zostavách rovnakého softvérového produktu.

Funguje to takto:

1. Vývojár nám pošle zoznam knižníc a komponentov tretích strán, ktoré sú použité v produkte.

2. Denne kontrolujeme:

b. či existujú metódy na odstránenie predtým objavených zraniteľností.

3. V súlade so zadaným vzorom upozorníme vývojára, ak sa stav alebo hodnotenie zraniteľnosti zmenilo. To znamená, že rôzne vývojové tímy v rámci tej istej spoločnosti dostanú iba upozornenie a uvidia stav zraniteľností produktu, na ktorom pracujú.

Frekvencia výstrah systému správy zraniteľností je ľubovoľne konfigurovateľná, ale keď sa nájde zraniteľnosť so skóre CVSS vyšším ako 7,5, vývojári dostanú okamžité upozornenie.

Integrácia s ViPNet TIAS

Softvérový a hardvérový komplex ViPNet Threat Intelligence Analytics System automaticky deteguje počítačové útoky a identifikuje incidenty na základe udalostí pochádzajúcich z rôznych zdrojov. informačná bezpečnosť. Hlavným zdrojom udalostí pre ViPNet TIAS je ViPNet IDS, ktorý analyzuje prichádzajúcu a odchádzajúcu sieťovú prevádzku pomocou základov rozhodovacích pravidiel AM Rules vyvinutých Perspective Monitoring. Niektoré podpisy sú napísané na zistenie zneužitia zraniteľností.

Ak ViPNet TIAS deteguje incident v informačnej bezpečnosti, pri ktorom bola zneužitá zraniteľnosť, potom sa všetky informácie súvisiace so zraniteľnosťou, vrátane metód na elimináciu alebo kompenzáciu negatívneho dopadu, automaticky vložia do karty incidentu z SMS.

Systém riadenia incidentov tiež pomáha pri vyšetrovaní incidentov informačnej bezpečnosti tým, že poskytuje analytikom informácie o indikátoroch ohrozenia a potenciálnych uzloch informačnej infraštruktúry ovplyvnených incidentom.

Monitorovanie prítomnosti zraniteľností v informačných systémoch

Ďalším scenárom používania systému správy zraniteľností je skenovanie na požiadanie.

Zákazník si samostatne vygeneruje zoznam systémového a aplikačného softvéru a komponentov nainštalovaných na uzle (pracovná stanica, server, DBMS, SZI SZI, sieťové zariadenia) pomocou vstavaných nástrojov alebo nami vyvinutého skriptu, prenesie tento zoznam do SMS a prijme správa o zistených zraniteľnostiach a pravidelné upozornenia o ich stave.

Rozdiely medzi systémom a bežnými skenermi zraniteľností:

  • Nevyžaduje inštaláciu monitorovacích agentov na hostiteľoch.
  • Nezaťažuje sieť, keďže samotná architektúra riešenia neposkytuje agentov a skenovacie servery.
  • Nevytvára zaťaženie zariadenia, pretože je vytvorený zoznam komponentov systémové príkazy alebo ľahký open source skript.
  • Eliminuje možnosť úniku informácií. „Prospektívne monitorovanie“ nemôže spoľahlivo zistiť nič o fyzickom a logickom umiestnení alebo funkčnom účele uzla v informačnom systéme. Jedinou informáciou, ktorá opúšťa kontrolovaný perimeter zákazníka, je txt súbor so zoznamom softvérové ​​komponenty. Tento súbor skontroluje obsah a nahrá ho do SMS sám zákazník.
  • Aby systém fungoval, nepotrebujeme účty na kontrolovaných uzloch. Informácie zhromažďuje správca uzla vo svojom mene.
  • Bezpečná výmena informácie o ViPNet VPN, IPsec alebo https.

Napojenie na službu správy zraniteľností „Prospektívne monitorovanie“ pomáha zákazníkovi splniť požiadavku ANZ.1 „Identifikácia, analýza zraniteľností informačný systém a rýchle odstránenie novo identifikovaných zraniteľností “príkazy FSTEC Ruska č. 17 a 21. Naša spoločnosť je držiteľom licencie FSTEC Ruska na činnosti technická ochrana dôverné informácie.

cena

Minimálne náklady sú 25 000 rubľov ročne za 50 uzlov pripojených k systému s platnou zmluvou o pripojení k

Ďalším spôsobom, ako sa na tento problém pozrieť, je, že spoločnosti musia rýchlo reagovať, keď má aplikácia zraniteľné miesto. To si vyžaduje, aby IT oddelenie bolo schopné definitívne sledovať nainštalované aplikácie komponenty a opravy pomocou automatizačných nástrojov a štandardných nástrojov. Odvetvie sa snaží štandardizovať softvérové ​​značky (19770-2), čo sú súbory XML nainštalované s aplikáciou, komponentom a/alebo záplatou, ktoré identifikujú nainštalovaný softvér, a v prípade komponentu alebo záplaty, o akú aplikáciu sa jedná. časť. Značky obsahujú informácie o oprávnení vydavateľa, informácie o verzii, zoznam súborov s názvom súboru, zabezpečenú hodnotu hash súboru a veľkosť, ktorú možno použiť na potvrdenie, že nainštalovaná aplikácia je v systéme a že binárne súbory neboli zmenené tretia strana. Tieto štítky sú podpísané digitálny podpis vydavateľ.

Keď je známa zraniteľnosť, IT oddelenia môžu použiť svoj softvér na správu aktív na okamžitú identifikáciu systémov so zraniteľným softvérom a môžu podniknúť kroky na aktualizáciu systémov. Značky môžu byť súčasťou opravy alebo aktualizácie, ktorú možno použiť na overenie, či bola oprava nainštalovaná. Týmto spôsobom môžu IT oddelenia využívať zdroje, ako je NIST National Vulnerability Database, ako prostriedok na správu svojich nástrojov správy aktív, takže keď spoločnosť predloží zraniteľnosť spoločnosti NVD, IT môže okamžite porovnať nové zraniteľnosti so svojimi.

Existuje skupina spoločností, ktoré spolupracujú prostredníctvom neziskovej organizácie IEEE/ISTO s názvom TagVault.org (www.tagvault.org) s vládou USA na štandardnej implementácii ISO 19770-2, ktorá umožní túto úroveň automatizácie. V určitom bode budú tieto značky zodpovedajúce tejto implementácii s najväčšou pravdepodobnosťou povinné pre softvér predávaný vláde USA v priebehu niekoľkých nasledujúcich rokov.

Takže nakoniec je dobrým zvykom nezverejňovať, aké aplikácie a konkrétne verzie softvéru používate, ale to môže byť ťažké, ako už bolo uvedené. Chcete sa uistiť, že máte presný a aktuálny inventár softvéru, že sa pravidelne porovnáva so zoznamom známych zraniteľností, ako je NVID spoločnosti NVD, a že oddelenie IT môže okamžite podniknúť kroky na nápravu hrozby. Spolu s najnovším objavom Vniknutia, antivírusové skenovanie a iné metódy blokovania médií prinajmenšom veľmi sťažia kompromitáciu vášho prostredia, a ak sa tak stane, nebude dlho detekované .

V niektorých prípadoch je výskyt zraniteľností spôsobený používaním vývojových nástrojov rôzneho pôvodu, ktoré zvyšujú riziko defektov sabotážneho typu v programovom kóde.

Zraniteľnosť sa objavuje v dôsledku pridávania komponentov tretích strán alebo voľne distribuovaného kódu (open source) do softvéru. Kód iných ľudí sa často používa „tak, ako je“ bez dôkladnej analýzy a testovania bezpečnosti.

Netreba vylúčiť, že v tíme sú zasvätení programátori, ktorí zámerne zavádzajú do vytváraného produktu ďalšie nezdokumentované funkcie alebo prvky.

Klasifikácia softvérových zraniteľností

Zraniteľnosť vznikajú v dôsledku chýb, ktoré sa vyskytli počas fázy návrhu alebo písania programový kód.

V závislosti od štádia výskytu sa tento typ hrozby delí na zraniteľnosti týkajúce sa návrhu, implementácie a konfigurácie.

  1. Chyby v návrhu sú najťažšie odhaliť a opraviť. Ide o nepresnosti algoritmov, záložiek, nezrovnalosti v rozhraní medzi rôzne moduly alebo v protokoloch interakcie s hardvérom, zavádzanie suboptimálnych technológií. Ich odstraňovanie je časovo veľmi náročný proces, a to aj preto, že sa môžu objaviť aj v nejednoznačných prípadoch – napríklad pri prekročení objemu prevádzky alebo pri pripojení veľkého množstva prídavných zariadení, čo komplikuje zabezpečenie požadovanej úrovne. bezpečnosti a vedie k objaveniu spôsobov, ako obísť firewall.
  2. Chyby pri implementácii sa objavujú vo fáze písania programu alebo zavádzania bezpečnostných algoritmov do neho. Ide o nesprávnu organizáciu výpočtového procesu, syntaktické a logické chyby. Existuje však riziko, že chyba povedie k pretečeniu vyrovnávacej pamäte alebo iným druhom problémov. Ich objavenie trvá dlho a eliminácia zahŕňa opravu určitých častí strojového kódu.
  3. Chyby konfigurácie hardvéru a softvéru sú veľmi časté. Ich spoločnými príčinami je nedostatočný kvalitný rozvoj a chýbajúce testy pre správnu prácu. pridané vlastnosti. Do tejto kategórie patria aj jednoduché heslá a predvolené účty zostali nezmenené.

Podľa štatistík sa zraniteľnosti najčastejšie nachádzajú v obľúbených a rozšírených produktoch – desktopové a mobilné operačné systémy, prehliadače.

Riziká používania zraniteľných programov

Programy, v ktorých nájdu najväčší počet zraniteľnosti sú nainštalované takmer na všetkých počítačoch. Zo strany kyberzločincov je priamy záujem takéto nedostatky nájsť a písať za nich.

Keďže od objavenia zraniteľnosti po zverejnenie opravy (záplaty) uplynie pomerne dlhý čas, existuje množstvo príležitostí na infekciu počítačové systémy cez bezpečnostné diery v kóde. Používateľovi v tomto prípade stačí jedenkrát otvoriť napríklad škodlivý PDF súbor s exploitom, po ktorom útočníci získajú prístup k dátam.

Infekcia v druhom prípade nastáva podľa nasledujúceho algoritmu:

  • Používateľ dostane e-mail phishingový e-mail od dôveryhodného odosielateľa.
  • Súbor s exploitom je priložený k listu.
  • Ak sa používateľ pokúsi otvoriť súbor, počítač je infikovaný vírusom, trójskym koňom (šifrovač) alebo iným škodlivým softvérom.
  • Kyberzločinci získajú neoprávnený prístup do systému.
  • Cenné dáta sa kradnú.

Výskum uskutočnený rôznymi spoločnosťami (Kaspersky Lab, Positive Technologies) ukazuje, že takmer každá aplikácia, vrátane antivírusov, má zraniteľné miesta. Preto pravdepodobnosť nastavenia softvér, ktorá obsahuje chyby rôzneho stupňa kritickosti, je veľmi vysoká.

Aby sa minimalizoval počet medzier v softvéri, je potrebné použiť SDL (Security Development Lifecycle, secure životný cyklus rozvoj). Technológia SDL sa používa na zníženie počtu chýb v aplikáciách vo všetkých fázach ich tvorby a podpory. Špecialisti na informačnú bezpečnosť a programátori teda pri navrhovaní softvéru modelujú kybernetické hrozby, aby našli zraniteľné miesta. Počas programovania proces zahŕňa automatickými prostriedkami, okamžite hlási prípadné nedostatky. Vývojári sa snažia výrazne obmedziť funkcie dostupné pre neoverených používateľov, čo pomáha zmenšiť plochu útoku.

Aby ste minimalizovali dopad zraniteľností a škôd spôsobených nimi, musíte dodržiavať niektoré pravidlá:

  • Rýchlo nainštalujte vývojárom vydané opravy (záplaty) pre aplikácie alebo (najlepšie) povoľte automatický režim aktualizácie.
  • Ak je to možné, neinštalujte pochybné programy, ktorých kvalita a technická podpora vyvolávať otázky.
  • Používajte špeciálne skenery zraniteľnosti alebo špecializované funkcie antivírusových produktov, ktoré vám umožnia vyhľadať chyby zabezpečenia a v prípade potreby aktualizovať softvér.

V súčasnosti bolo vyvinutých veľké množstvo nástrojov na automatizáciu vyhľadávania softvérových zraniteľností. Tento článok bude diskutovať o niektorých z nich.

Úvod

Statická analýza kódu je softvérová analýza, ktorá sa vykonáva na zdrojovom kóde programov a je implementovaná bez skutočného spustenia skúmaného programu.

Softvér často obsahuje rôzne zraniteľnosti spôsobené chybami v kóde programu. Chyby pri vývoji programov v niektorých situáciách vedú k zlyhaniu programu, a preto je narušená normálna prevádzka programu: v tomto prípade sa údaje často menia a poškodzujú, program alebo dokonca systém sa zastaví. . Väčšina zraniteľností súvisí s nesprávnym spracovaním údajov prijatých zvonku alebo ich nedostatočne prísnym overovaním.

Na identifikáciu slabých miest sa používajú rôzne nástroje, napríklad statické analyzátory zdrojový kód programy recenzované v tomto článku.

Klasifikácia bezpečnostných zraniteľností

Pri porušení požiadavky na správnu činnosť programu na všetkých možných vstupných dátach je možný vznik takzvaných bezpečnostných zraniteľností (bezpečnostná zraniteľnosť). Zraniteľnosť zabezpečenia môže spôsobiť, že jeden program sa použije na prekonanie bezpečnostných obmedzení celého systému ako celku.

Klasifikácia bezpečnostných chýb v závislosti od softvérových chýb:

  • Pretečenie vyrovnávacej pamäte. Táto zraniteľnosť sa vyskytuje v dôsledku nedostatočnej kontroly nad mimohraničným poľom v pamäti počas vykonávania programu. Keď dátový paket, ktorý je príliš veľký, pretečie obmedzenú vyrovnávaciu pamäť, obsah cudzích pamäťových buniek sa prepíše a program sa zrúti a zrúti. Podľa umiestnenia vyrovnávacej pamäte v pamäti procesu sa rozlišujú pretečenia vyrovnávacej pamäte na zásobníku (pretečenie vyrovnávacej pamäte zásobníka), halde (pretečenie vyrovnávacej pamäte haldy) a oblasti statických údajov (pretečenie vyrovnávacej pamäte bss).
  • Vulnerability „tainted input“ (zraniteľnosť tainted input). Poškodené vstupné zraniteľnosti sa môžu vyskytnúť, keď je vstup používateľa odovzdaný bez dostatočnej kontroly tlmočníkovi nejakého externého jazyka (zvyčajne unixového shellu alebo jazyka SQL). V tomto prípade môže užívateľ zadať vstupné údaje tak, že spustený interpret vykoná úplne iný príkaz, než aký zamýšľali autori zraniteľného programu.
  • Chyby formátovacie reťazce(chyba zabezpečenia formátovacieho reťazca). Tento typ Zraniteľnosť zabezpečenia je podtriedou zraniteľnosti „poškodený vstup“. Vzniká nedostatočnou kontrolou parametrov pri použití formátových I/O funkcií printf, fprintf, scanf atď. štandardnej knižnice C. Tieto funkcie berú ako jeden z parametrov znakový reťazec A, ktoré určuje vstupný alebo výstupný formát pre nasledujúce argumenty funkcie. Ak si používateľ môže nastaviť typ formátovania sám, potom táto chyba zabezpečenia môže byť výsledkom neúspešnej aplikácie funkcií formátovania reťazcov.
  • Zraniteľnosť v dôsledku chýb synchronizácie (súčasné podmienky). Problémy spojené s multitaskingom vedú k situáciám nazývaným „rasové podmienky“: program, ktorý nie je navrhnutý na spustenie v prostredí multitaskingu, sa môže domnievať, že napríklad súbory, ktoré používa pri spustení, nemôže zmeniť iný program. Výsledkom je, že útočník, ktorý včas nahradí obsah týchto pracovných súborov, môže prinútiť program vykonať určité akcie.

Samozrejme, okrem tých, ktoré sú uvedené, existujú aj ďalšie triedy bezpečnostných zraniteľností.

Prehľad existujúcich analyzátorov

Nasledujúce nástroje sa používajú na detekciu bezpečnostných zraniteľností v programoch:

  • Dynamické debuggery. Nástroje, ktoré vám umožňujú ladiť program, keď je spustený.
  • Statické analyzátory (statické debuggery). Nástroje, ktoré využívajú informácie nazhromaždené počas statickej analýzy programu.

Statické analyzátory indikujú miesta v programe, kde sa môže vyskytnúť chyba. Tieto podozrivé útržky kódu môžu obsahovať chybu alebo byť úplne neškodné.

Tento článok poskytuje prehľad niekoľkých existujúcich statických analyzátorov. Pozrime sa bližšie na každý z nich.

Pri spustení inteligentné skenovanie Avast skontroluje váš počítač, či neobsahuje nasledujúce typy problémov a potom ponúkne návrhy na ich odstránenie.

  • Vírusy: súbory obsahujúce škodlivý kód, čo môže ovplyvniť bezpečnosť a výkon vášho počítača.
  • Zraniteľný softvér: Programy, ktoré je potrebné aktualizovať a ktoré môžu útočníci použiť na získanie prístupu do vášho systému.
  • Rozšírenia prehliadača so zlou povesťou: Rozšírenia prehliadača, ktoré sa zvyčajne inštalujú bez vášho vedomia a ovplyvňujú výkon systému.
  • Slabé heslá: heslá, ktoré sa používajú na prístup k viac ako jednému účtu na internete a môžu byť ľahko napadnuté alebo napadnuté.
  • Sieťové hrozby: Chyby vo vašej sieti, ktoré by mohli umožniť útoky na vašu sieť sieťové zariadenia a smerovač.
  • Problémy s výkonom: predmety ( nevyžiadané súbory a aplikácie, problémy súvisiace s nastaveniami), ktoré môžu brániť fungovaniu počítača.
  • Konfliktné antivírusy: antivírusový softvér nainštalovaný na PC s Avastom. Viacnásobné antivírusové programy spomaľuje PC a znižuje účinnosť antivírusovej ochrany.

Poznámka. Niektoré problémy zistené funkciou Smart Scan môžu vyžadovať samostatnú licenciu na vyriešenie. Detekciu nepotrebných typov problémov je možné vypnúť v .

Nájdené riešenie problémov

Zelené začiarknutie vedľa oblasti skenovania znamená, že sa nenašli žiadne súvisiace problémy. Červený krížik znamená, že skenovanie identifikovalo jeden alebo viacero súvisiacich problémov.

Ak chcete zobraziť konkrétne podrobnosti o zistených problémoch, kliknite všetko vyriešiť. Smart Scan zobrazuje podrobnosti o každom probléme a ponúka možnosť okamžite ho opraviť kliknutím na položku Rozhodnite sa alebo to urobte neskôr kliknutím Tento krok preskočte.

Poznámka. Protokoly antivírusovej kontroly si môžete pozrieť v histórii kontroly , ku ktorej sa dostanete výberom Antivírusová ochrana.

Správa nastavení inteligentného skenovania

Ak chcete zmeniť nastavenia inteligentného skenovania, vyberte Nastavenia Všeobecné Smart Scan a zadajte, pre ktorý z uvedených typov problémov chcete spustiť Smart Scan.

  • Vírusy
  • Zastaraný softvér
  • Doplnky prehliadača
  • Sieťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonom
  • Slabé heslá

V predvolenom nastavení sú povolené všetky typy problémov. Ak chcete zastaviť kontrolu konkrétneho problému pri vykonávaní inteligentného skenovania, kliknite na posúvač Zahrnuté vedľa typu problému, aby sa zmenil stav na Vypnutý.

Kliknite nastavenie vedľa nápisu Vyhľadávanie vírusov zmeniť nastavenia skenovania.