Güvenlik açığı yönetimi, güvenlik açıklarını ortadan kaldırmak için bir çözümün belirlenmesi, değerlendirilmesi, sınıflandırılması ve seçilmesidir. Güvenlik açığı yönetimi, biri Gelişmiş İzleme Güvenlik Açığı Yönetim Sistemi olan güvenlik açığı bilgi havuzlarına dayanmaktadır.

Çözümümüz, güvenlik açıklarıyla ilgili bilgilerin görünümünü kontrol eder. işletim sistemleri(Windows, Linux/Unix tabanlı), ofis ve uygulama yazılımları, donanım yazılımları, bilgi güvenliği araçları.

Veri kaynakları

Güvenlik Açığı Yönetim Sistemi Veritabanı yazılım"İleriye dönük izleme", aşağıdaki kaynaklardan otomatik olarak doldurulur:

  • Rusya FSTEC'in Bilgi Güvenliği Tehditleri Veri Bankası (BDU BI).
  • Ulusal Güvenlik Açığı Veritabanı (NVD) NIST.
  • Kırmızı Şapkalı Bugzilla.
  • Debian Güvenlik Hata İzleyici.
  • CentOS Posta Listesi.

Ayrıca, güvenlik açıkları veritabanımızı yenilemek için otomatik bir yöntem kullanıyoruz. Her gün yüzlerce farklı yabancı ve Rus kaynağı analiz eden bir web tarayıcısı ve yapılandırılmamış veri ayrıştırıcı geliştirdik. anahtar kelimeler- sosyal ağlardaki gruplar, bloglar, mikrobloglar, medyaya adanmış bilgi Teknolojisi ve bilgi güvenliği. Bu araçlar arama kriterlerini karşılayan bir şey bulursa, analist bilgileri manuel olarak kontrol eder ve zafiyet veritabanına girer.

Yazılım Güvenlik Açığı Kontrolü

Geliştiriciler, Güvenlik Açığı Yönetim Sistemini kullanarak, yazılımlarının üçüncü taraf bileşenlerinde keşfedilen güvenlik açıklarının varlığını ve durumunu kontrol edebilir.

Örneğin, bir şirketin Güvenli Yazılım Geliştirici Yaşam Döngüsü (SSDLC) modelinde Hewlett PackardÜçüncü taraf kütüphanelerin kurumsal kontrolü, merkezi yerlerden biridir.

Sistemimiz, aynı yazılım ürününün paralel sürümlerinde/yapılarında güvenlik açıklarının varlığını izler.

Şu şekilde çalışır:

1. Geliştirici, üründe kullanılan üçüncü taraf kitaplıklarının ve bileşenlerinin bir listesini bize gönderir.

2. Günlük olarak kontrol ediyoruz:

b. daha önce keşfedilen güvenlik açıklarını ortadan kaldırmak için yöntemler olup olmadığı.

3. Belirtilen rol modeline göre güvenlik açığının durumu veya puanlaması değiştiyse geliştiriciyi bilgilendiririz. Bu, aynı şirket içindeki farklı geliştirme ekiplerinin yalnızca bilgilendirileceği ve üzerinde çalıştıkları ürüne ilişkin güvenlik açıklarının durumunu görebileceği anlamına gelir.

Güvenlik Açığı Yönetim Sistemi uyarı sıklığı isteğe bağlı olarak yapılandırılabilir, ancak CVSS puanı 7.5'in üzerinde olan bir güvenlik açığı bulunduğunda geliştiriciler hemen bir uyarı alır.

ViPNet TIAS ile Entegrasyon

ViPNet Tehdit İstihbarat Analitiği Sistemi yazılım ve donanım kompleksi, bilgisayar saldırılarını otomatik olarak algılar ve çeşitli kaynaklardan gelen olaylara dayalı olayları tanımlar. bilgi Güvenliği. ViPNet TIAS için ana olay kaynağı, Perspective Monitoring tarafından geliştirilen karar kuralları AM Kuralları temellerini kullanarak gelen ve giden ağ trafiğini analiz eden ViPNet IDS'dir. Bazı imzalar, güvenlik açıklarından yararlanıldığını tespit etmek için yazılır.

ViPNet TIAS, bir güvenlik açığından yararlanılan bir bilgi güvenliği olayı tespit ederse, olumsuz etkiyi ortadan kaldırma veya telafi etme yöntemleri de dahil olmak üzere güvenlik açığıyla ilgili tüm bilgiler SMS'den olay kartına otomatik olarak girilir.

Olay yönetim sistemi ayrıca, analistlere olaydan etkilenen tehlike göstergeleri ve potansiyel bilgi altyapısı düğümleri hakkında bilgi sağlayarak bilgi güvenliği olaylarının araştırılmasına yardımcı olur.

Bilgi sistemlerinde açıkların varlığının izlenmesi

Bir güvenlik açığı yönetim sistemi kullanmak için başka bir senaryo, isteğe bağlı taramadır.

Müşteri, yerleşik araçları veya tarafımızca geliştirilen bir komut dosyasını kullanarak düğümde (iş istasyonu, sunucu, DBMS, SZI SZI, ağ ekipmanı) kurulu sistem ve uygulama yazılımı ve bileşenlerinin bir listesini bağımsız olarak oluşturur, bu listeyi SMS'e aktarır ve alır Tespit edilen güvenlik açıkları hakkında bir rapor ve bunların durumu hakkında periyodik bildirimler.

Sistem ve yaygın güvenlik açığı tarayıcıları arasındaki farklar:

  • Ana bilgisayarlara izleme aracılarının yüklenmesini gerektirmez.
  • Çözüm mimarisinin kendisi aracılar ve tarama sunucuları sağlamadığından ağ üzerinde bir yük oluşturmaz.
  • Bileşen listesi oluşturulduğundan ekipman üzerinde yük oluşturmaz sistem komutları veya hafif bir açık kaynak komut dosyası.
  • Bilgi sızıntısı olasılığını ortadan kaldırır. "İleriye dönük izleme", bir bilgi sistemindeki bir düğümün fiziksel ve mantıksal konumu veya işlevsel amacı hakkında güvenilir bir şekilde hiçbir şey öğrenemez. Müşterinin kontrol edilen çevresinden ayrılan tek bilgi, liste içeren bir txt dosyasıdır. yazılım bileşenleri. Bu dosyanın içeriği kontrol edilir ve müşterinin kendisi tarafından SMS'e yüklenir.
  • Sistemin çalışması için kontrollü düğümlerde hesaplara ihtiyacımız yok. Bilgiler, düğüm yöneticisi tarafından kendi adına toplanır.
  • Güvenli değişim ViPNet VPN, IPsec veya https ile ilgili bilgiler.

Güvenlik açığı yönetimi hizmetine "İleriye dönük İzleme" bağlanması, müşterinin ANZ.1 "Tanımlama, güvenlik açıklarının analizi" gereksinimini yerine getirmesine yardımcı olur bilgi sistemi ve yeni tespit edilen güvenlik açıklarının derhal ortadan kaldırılması ”, 17 ve 21 No'lu Rusya FSTEC emirlerinin. teknik koruma kesin bilgi.

Fiyat

Geçerli bir bağlantı sözleşmesi ile sisteme bağlı 50 düğüm için minimum maliyet yılda 25.000 ruble'dir.

Bu soruna bakmanın başka bir yolu da, bir uygulamada bir güvenlik açığı olduğunda şirketlerin hızlı bir şekilde yanıt vermesi gerektiğidir. Bu, BT departmanının kesin olarak takip edebilmesini gerektirir yüklü uygulamalar, otomasyon araçlarını ve standart araçları kullanan bileşenler ve yamalar. Yüklenen yazılımı tanımlayan bir uygulama, bileşen ve/veya yama ile birlikte yüklenen XML dosyaları olan yazılım etiketleri (19770-2) ve bir bileşen veya yama söz konusu olduğunda, bunların hangi uygulama olduğu konusunda bir endüstri standardizasyon çalışması vardır. parçası. Etiketler, yayıncı yetki bilgilerine, sürüm bilgilerine, dosya adına sahip dosyaların bir listesine, güvenli bir dosya karmasına ve yüklü uygulamanın sistemde olduğunu ve ikili dosyaların bir üçüncü şahıs. Bu etiketler imzalı elektronik imza Yayımcı.

Bir güvenlik açığı bilindiğinde, BT departmanları, güvenlik açığı bulunan yazılımlara sahip sistemleri anında belirlemek için varlık yönetimi yazılımlarını kullanabilir ve sistemleri güncellemek için adımlar atabilir. Etiketler, bir yamanın yüklendiğini doğrulamak için kullanılabilecek bir yamanın veya güncellemenin parçası olabilir. Bu şekilde BT departmanları, varlık yönetimi araçlarını yönetmenin bir aracı olarak NIST Ulusal Güvenlik Açığı Veritabanı gibi kaynakları kullanabilir, böylece bir şirket tarafından NVD'ye bir güvenlik açığı sunulduğunda, BT şimdiye kadar yeni güvenlik açıklarını kendi güvenlik açıklarıyla hemen karşılaştırabilir.

Bu otomasyon düzeyini mümkün kılacak standart bir ISO 19770-2 uygulaması üzerinde ABD hükümetiyle birlikte TagVault.org (www.tagvault.org) adlı kar amacı gütmeyen bir IEEE/ISTO aracılığıyla çalışan bir grup şirket var. Bir noktada, bu uygulamaya karşılık gelen bu etiketler, önümüzdeki birkaç yıl içinde ABD hükümetine satılan yazılımlar için büyük olasılıkla zorunlu olacaktır.

Sonuç olarak, kullandığınız uygulamaları ve belirli yazılım sürümlerini yayınlamamak iyi bir uygulamadır, ancak daha önce belirtildiği gibi bu zor olabilir. Doğru, güncel bir yazılım envanterine sahip olduğunuzdan, bunun NVD'nin NVID'si gibi bilinen bir güvenlik açıkları listesiyle düzenli olarak karşılaştırıldığından ve BT departmanının tehdidi gidermek için hemen harekete geçebildiğinden emin olmak istiyorsunuz. en son keşiflerle birlikte İzinsiz girişler, virüsten koruma taraması ve diğer ortam engelleme yöntemleri en azından ortamınızı tehlikeye atmayı çok zorlaştıracak ve eğer olursa / ne zaman olursa, uzun bir süre algılanmayacaktır. .

Bazı durumlarda, güvenlik açıklarının ortaya çıkması, program kodunda sabotaj türü kusur riskini artıran çeşitli kökenlerden geliştirme araçlarının kullanılmasından kaynaklanır.

Yazılıma üçüncü taraf bileşenlerin eklenmesi veya serbestçe dağıtılan kod (açık kaynak) nedeniyle güvenlik açıkları ortaya çıkıyor. Diğer kişilerin kodu, kapsamlı bir analiz ve güvenlik testi yapılmadan genellikle "olduğu gibi" kullanılır.

Oluşturulan ürüne kasıtlı olarak ek belgelenmemiş işlevler veya öğeler ekleyen ekip içinde içeriden programcıların olduğu göz ardı edilmemelidir.

Yazılım güvenlik açıklarının sınıflandırılması

Tasarım veya yazma aşamasında meydana gelen hatalar sonucunda zafiyetler ortaya çıkar. program kodu.

Görünüm aşamasına bağlı olarak, bu tür tehdit tasarım, uygulama ve yapılandırma güvenlik açıklarına ayrılır.

  1. Tasarım hataları, tespit edilmesi ve düzeltilmesi en zor olanlardır. Bunlar, arasındaki arayüzdeki algoritmaların, yer imlerinin, tutarsızlıkların yanlışlıklarıdır. farklı modüller veya donanımla etkileşim protokollerinde, optimal olmayan teknolojilerin tanıtılması. Bunların ortadan kaldırılması çok zaman alıcı bir süreçtir, çünkü aynı zamanda aşikar olmayan durumlarda ortaya çıkabilirler - örneğin, trafik miktarı aşıldığında veya çok miktarda ek ekipman bağlandığında, bu da gerekli seviyenin sağlanmasını zorlaştırır. güvenlik duvarını atlamanın yollarının ortaya çıkmasına neden olur.
  2. Uygulama güvenlik açıkları, bir program yazma veya programa güvenlik algoritmaları ekleme aşamasında ortaya çıkar. Bunlar, hesaplama sürecinin yanlış organizasyonu, sözdizimsel ve mantıksal kusurlardır. Ancak, kusurun arabellek taşmalarına veya başka tür sorunlara yol açma riski vardır. Keşfedilmeleri uzun zaman alır ve ortadan kaldırılması, makine kodunun belirli bölümlerinin düzeltilmesini içerir.
  3. Donanım ve yazılım yapılandırma hataları çok yaygındır. Yaygın nedenleri, yetersiz kalite geliştirme ve doğru çalışma için test eksikliğidir. Ek özellikler. Ayrıca bu kategoriye dahil olanlar basit şifreler ve varsayılan hesaplar değişmeden kaldı.

İstatistiklere göre, güvenlik açıkları en çok popüler ve yaygın ürünlerde bulunur - masaüstü ve mobil işletim sistemleri, tarayıcılar.

Savunmasız programları kullanmanın riskleri

Buldukları programlar en büyük sayı güvenlik açıkları hemen hemen tüm bilgisayarlara yüklenir. Siber suçlular açısından, bu tür kusurları bulup onlar için yazmaya doğrudan ilgi vardır.

Bir güvenlik açığının keşfedildiği andan bir düzeltmenin (yama) yayınlanmasına kadar oldukça uzun bir süre geçtiğinden, virüs bulaştırmak için çok sayıda fırsat vardır. bilgisayar sistemleri koddaki güvenlik açıklarından. Bu durumda, kullanıcının, örneğin, kötüye kullanım içeren kötü amaçlı bir PDF dosyasını yalnızca bir kez açması gerekir, ardından saldırganlar verilere erişim kazanır.

İkinci durumda enfeksiyon, aşağıdaki algoritmaya göre gerçekleşir:

  • kullanıcı alır e-posta güvenilir bir göndericiden gelen bir kimlik avı e-postası.
  • İstismarın bulunduğu dosya mektuba eklenir.
  • Kullanıcı bir dosyayı açmaya çalışırsa, bilgisayara bir virüs, truva atı (şifreleyici) veya başka bir kötü amaçlı yazılım bulaşır.
  • Siber suçlular sisteme yetkisiz erişim elde eder.
  • Değerli veriler çalınıyor.

Çeşitli şirketler (Kaspersky Lab, Positive Technologies) tarafından yürütülen araştırmalar, antivirüsler de dahil olmak üzere hemen hemen her uygulamada güvenlik açıkları olduğunu gösteriyor. Bu nedenle, ayar olasılığı yazılım, değişen derecelerde kritiklik kusurları içeren çok yüksektir.

Yazılımdaki boşlukların sayısını en aza indirmek için SDL (Güvenlik Geliştirme Yaşam Döngüsü, güvenli yaşam döngüsü gelişim). SDL teknolojisi, oluşturulmalarının ve desteklenmelerinin tüm aşamalarında uygulamalardaki hata sayısını azaltmak için kullanılır. Bu nedenle, yazılım tasarlarken, bilgi güvenliği uzmanları ve programcılar, güvenlik açıklarını bulmak için siber tehditleri modellemektedir. Programlama sırasında, süreç şunları içerir: otomatik araçlar, olası kusurları anında bildiriyor. Geliştiriciler, saldırı yüzeyini azaltmaya yardımcı olan, doğrulanmamış kullanıcılar için mevcut olan özellikleri önemli ölçüde sınırlamayı amaçlar.

Güvenlik açıklarının etkisini ve bunlardan kaynaklanan hasarı en aza indirmek için bazı kurallara uymanız gerekir:

  • Uygulamalar için geliştirici tarafından yayınlanan düzeltmeleri (yamalar) hızla yükleyin veya (tercihen) etkinleştirin otomatik mod güncellemeler.
  • Mümkünse kalitesi ve kalitesi şüpheli programlar yüklemeyin. teknik Destek soruları arttır.
  • Güvenlik hatalarını aramanıza ve gerekirse yazılımı güncellemenize olanak tanıyan özel güvenlik açığı tarayıcılarını veya virüsten koruma ürünlerinin özel işlevlerini kullanın.

Şu anda, yazılım güvenlik açıklarını aramayı otomatikleştirmek için çok sayıda araç geliştirilmiştir. Bu makale bunlardan bazılarını tartışacaktır.

giriiş

Statik kod analizi, programların kaynak kodu üzerinde gerçekleştirilen ve çalışılan programı fiilen çalıştırmadan uygulanan bir yazılım analizidir.

Yazılım, genellikle program kodundaki hatalar nedeniyle çeşitli güvenlik açıkları içerir. Programların geliştirilmesinde yapılan hatalar, bazı durumlarda programın çökmesine neden olur ve bu nedenle programın normal işleyişi bozulur: bu durumda veriler sıklıkla değiştirilir ve bozulur, program hatta sistem durur . Güvenlik açıklarının çoğu, dışarıdan alınan verilerin yanlış işlenmesi veya bunların yeterince katı bir şekilde doğrulanmaması ile ilgilidir.

Güvenlik açıklarını belirlemek için çeşitli araçlar kullanılır, örneğin statik analizörler kaynak kodu Bu makalede incelenen programlar.

Güvenlik açıklarının sınıflandırılması

Programın olası tüm girdi verileri üzerinde doğru çalışması şartı ihlal edildiğinde, güvenlik açıkları (güvenlik açıkları) olarak adlandırılanların ortaya çıkması mümkün hale gelir. Güvenlik açıkları, tüm sistemin güvenlik sınırlamalarının üstesinden gelmek için bir programın kullanılmasına neden olabilir.

Yazılım hatalarına bağlı olarak güvenlik açıklarının sınıflandırılması:

  • Tampon taşması. Bu güvenlik açığı, program yürütme sırasında bellekteki sınır dışı dizi üzerinde denetim eksikliği nedeniyle oluşur. Çok büyük bir veri paketi sınırlı arabelleği aştığında, gereksiz bellek hücrelerinin içeriğinin üzerine yazılır ve program çöker ve çöker. Arabelleğin işlem belleğindeki konumuna göre, yığın (yığın arabellek taşması), öbek (yığın arabellek taşması) ve statik veri alanında (bss arabellek taşması) arabellek taşmaları ayırt edilir.
  • Güvenlik açıkları "kusurlu girdi" (kusurlu girdi güvenlik açığı). Kullanıcı girişi, bazı harici dillerin (genellikle bir Unix kabuğu veya SQL dili) yorumlayıcısına yeterli kontrol olmadan iletildiğinde, bozuk giriş güvenlik açıkları oluşabilir. Bu durumda kullanıcı, giriş verilerini, başlatılan yorumlayıcı, savunmasız programın yazarlarının amaçladığından tamamen farklı bir komut yürütecek şekilde belirtebilir.
  • hatalar biçim dizeleri(biçim dizisi güvenlik açığı). Bu tip Güvenlik açığı, "bozuk giriş" güvenlik açığının bir alt sınıfıdır. C standart kitaplığının printf, fprintf, scanf, vb. I/O işlevlerini kullanırken yetersiz parametre kontrolünden kaynaklanır. Bu işlevler parametrelerden biri olarak kabul edilir. karakter dizesi Sonraki işlev bağımsız değişkenleri için giriş veya çıkış biçimini belirten A. Kullanıcı biçimlendirme türünü kendisi ayarlayabilirse, bu güvenlik açığı dize biçimlendirme işlevlerinin başarısız uygulanmasından kaynaklanabilir.
  • Senkronizasyon hatalarından kaynaklanan güvenlik açıkları (yarış koşulları). Çoklu görevle ilgili sorunlar "yarış koşulları" olarak adlandırılan durumlara yol açar: çoklu görev ortamında çalışmak üzere tasarlanmamış bir program, örneğin çalışırken kullandığı dosyaların başka bir program tarafından değiştirilemeyeceğine inanabilir. Sonuç olarak, bu çalışma dosyalarının içeriğini zamanında değiştiren bir saldırgan, programı belirli eylemleri gerçekleştirmeye zorlayabilir.

Elbette, listelenenlere ek olarak, başka güvenlik açıkları sınıfları da vardır.

Mevcut analizörlere genel bakış

Programlardaki güvenlik açıklarını tespit etmek için aşağıdaki araçlar kullanılır:

  • Dinamik hata ayıklayıcılar. Bir program çalışırken hata ayıklamanıza izin veren araçlar.
  • Statik çözümleyiciler (statik hata ayıklayıcılar). Programın statik analizi sırasında biriken bilgileri kullanan araçlar.

Statik analizörler, programda bir hatanın bulunabileceği yerleri gösterir. Bu şüpheli kod parçacıkları ya bir hata içerebilir ya da tamamen zararsız olabilir.

Bu makale, mevcut birkaç statik çözümleyiciye genel bir bakış sağlar. Her birine daha yakından bakalım.

Başlangıçta akıllı tarama Avast, bilgisayarınızı aşağıdaki sorun türleri için kontrol edecek ve ardından bunları düzeltmek için önerilerde bulunacaktır.

  • virüsler: içeren dosyalar zararlı kod, bilgisayarınızın güvenliğini ve performansını etkileyebilir.
  • Güvenlik açığı bulunan yazılım: Güncellenmesi gereken ve saldırganlar tarafından sisteminize erişim sağlamak için kullanılabilecek programlar.
  • Kötü bir üne sahip tarayıcı uzantıları: Genellikle bilginiz dışında yüklenen ve sistem performansını etkileyen tarayıcı uzantıları.
  • Zayıf şifreler: birden fazla erişim için kullanılan şifreler hesapİnternette kolayca saldırıya uğrayabilir veya güvenliği ihlal edilebilir.
  • Ağ Tehditleri: Ağınızdaki saldırılara izin verebilecek güvenlik açıkları ağ cihazları ve yönlendirici.
  • Performans sorunları: nesneler ( önemsiz dosyalar ve uygulamalar, ayarlarla ilgili sorunlar) bilgisayarınızın çalışmasını engelleyebilecektir.
  • Çakışan antivirüsler: PC'de Avast yüklü antivirüs yazılımı. çoklu antivirüs programları bilgisayarı yavaşlatır ve anti-virüs korumasının etkinliğini azaltır.

Not. Smart Scan tarafından tespit edilen belirli sorunların çözülmesi için ayrı bir lisans gerekebilir. Gereksiz sorun türlerinin tespiti, içinde devre dışı bırakılabilir.

Bulunan sorunları çözme

Taranan alanın yanındaki yeşil onay, bununla ilgili herhangi bir sorun bulunmadığını gösterir. Kırmızı çarpı, taramanın bir veya daha fazla ilgili sorunu tanımladığı anlamına gelir.

Bulunan sorunlarla ilgili belirli ayrıntıları görüntülemek için her şeyi çöz. Smart Scan, her sorunun ayrıntılarını gösterir ve bir öğeye tıklayarak sorunu hemen düzeltme seçeneği sunar Karar ver veya daha sonra tıklayarak Bu adımı atla.

Not. Antivirüs tarama günlükleri, seçilerek erişilebilen tarama geçmişinde görülebilir. Koruma Antivirüs.

Smart Scan Ayarlarını Yönetme

Smart Scan ayarlarını değiştirmek için Ayarlar Genel Akıllı Tarama ve listelenen sorun türlerinden hangisi için Smart Scan çalıştırmak istediğinizi belirtin.

  • virüsler
  • Eski Yazılım
  • Tarayıcı eklentileri
  • Ağ Tehditleri
  • Uyumluluk Sorunları
  • Performans sorunları
  • Zayıf şifreler

Varsayılan olarak, her tür sorun etkindir. Akıllı tarama gerçekleştirirken belirli bir sorunu kontrol etmeyi durdurmak için kaydırıcıyı tıklayın. Dahil durumu şu şekilde değiştirecek şekilde sorun türünün yanında Kapalı.

Tıklamak Ayarlar yazıtın yanında Virüs taraması tarama ayarlarını değiştirmek için