Pametno skeniranje. Određivanje ranjivog softvera na klijentskim računarima Pronađen ranjivi softver

Dom / Mobilni uređaji

Upravljanje ranjivostima je identifikacija, procjena, klasifikacija i odabir rješenja za rješavanje ranjivosti. Osnova upravljanja ranjivostima su spremišta informacija o ranjivostima, od kojih je jedan sistem za upravljanje ranjivostima „Forward Monitoring”.

Naše rješenje kontrolira pojavu informacija o ranjivosti u operativni sistemi(Windows, Linux/Unix baziran), uredski i aplikativni softver, hardverski softver, alati za sigurnost informacija.

Izvori podataka

Baza podataka sistema upravljanja ranjivostima softver“Perspektivno praćenje” se automatski dopunjava iz sljedećih izvora:

  • Banka podataka prijetnji sigurnosti informacija (BIS) FSTEC Rusije.
  • Nacionalna baza podataka o ranjivosti (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS mailing lista.

Takođe koristimo automatizovana metoda dopunjavanje naše baze podataka ranjivosti. Razvili smo pretraživač web stranice i parser nestrukturiranih podataka koji svakodnevno analizira više od stotinu različitih stranih i ruskih izvora za brojne ključne riječi - grupe na društvenim mrežama, blogove, mikroblogove, medije posvećene informacione tehnologije i osiguravanje sigurnosti informacija. Ako ovi alati pronađu nešto što odgovara kriterijima pretraživanja, analitičar ručno provjerava informacije i unosi ih u bazu podataka ranjivosti.

Praćenje ranjivosti softvera

Koristeći sistem za upravljanje ranjivostima, programeri mogu pratiti prisustvo i status otkrivenih ranjivosti u komponentama treće strane njihovog softvera.

Na primjer, u modelu Secure Software Developer Life Cycle (SSDLC) kompanije Hewlett Packard Enterprise, kontrola biblioteka trećih strana je centralna.

Naš sistem prati prisustvo ranjivosti u paralelnim verzijama/gradnji istog softverskog proizvoda.

Radi ovako:

1. Programer nam daje listu biblioteka i komponenti treće strane koje se koriste u proizvodu.

2. Svakodnevno provjeravamo:

b. da li se čini da su metode eliminisale ranije otkrivene ranjivosti.

3. Obavještavamo programera ako se promijenio status ili bodovanje ranjivosti, u skladu sa navedenim uzorom. To znači da će različiti razvojni timovi iste kompanije primati upozorenja i vidjeti status ranjivosti samo za proizvod na kojem rade.

Učestalost upozorenja sistema za upravljanje ranjivostima je podesiva, ali ako se otkrije ranjivost sa CVSS rezultatom većim od 7,5, programeri će odmah dobiti upozorenje.

Integracija sa ViPNet TIAS

Softverski i hardverski sistem ViPNet Threat Intelligence Analytics System automatski otkriva kompjuterske napade i identifikuje incidente na osnovu događaja primljenih iz različitih izvora sigurnost informacija. Glavni izvor događaja za ViPNet TIAS je ViPNet IDS, koji analizira dolazne i odlazne mrežni promet koristeći osnove pravila odlučivanja AM Pravila za razvoj „Prospektivnog praćenja“. Neki potpisi su napisani da bi se otkrilo iskorištavanje ranjivosti.

Ako ViPNet TIAS otkrije incident u vezi sa informacijskom sigurnošću u kojem je ranjivost iskorišćena, tada se sve informacije vezane za ranjivost, uključujući metode za otklanjanje ili kompenzaciju negativnog uticaja, automatski unose u karticu incidenta iz sistema upravljanja.

Sistem upravljanja incidentima takođe pomaže u istrazi incidenata u informacionoj bezbednosti, pružajući analitičarima informacije o indikatorima kompromitovanja i potencijalnim čvorovima informacione infrastrukture na koje incident utiče.

Praćenje prisustva ranjivosti u informacionim sistemima

Drugi scenario za korištenje sistema za upravljanje ranjivostima je skeniranje na zahtjev.

Kupac samostalno generiše, koristeći ugrađene alate ili skriptu koju smo razvili, listu sistemskog i aplikativnog softvera i komponenti instaliranih na čvoru (radna stanica, server, DBMS, softverski paket, mrežna oprema), prenosi ovu listu kontroli sistema i prima izvještaj o otkrivenim ranjivostima i periodična obavještenja o njihovom statusu.

Razlike između sistema i uobičajenih skenera ranjivosti:

  • Ne zahtijeva instalaciju agenata za praćenje na čvorovima.
  • Ne stvara opterećenje na mreži, budući da sama arhitektura rješenja ne pruža agente za skeniranje i servere.
  • Ne stvara opterećenje na opremi, jer je lista komponenti kreirana sistemskim komandama ili laganom open source skriptom.
  • Eliminiše mogućnost curenja informacija. „Prospektivno praćenje“ ne može pouzdano saznati ništa o fizičkoj i logičkoj lokaciji ili funkcionalnoj namjeni čvora u informacionom sistemu. Jedina informacija koja napušta kupčev kontrolirani perimetar je txt datoteka sa listom softverskih komponenti. Ovu datoteku provjerava sadržaj i sam korisnik učitava u kontrolni sistem.
  • Da bi sistem funkcionisao, nisu nam potrebni nalozi na kontrolisanim čvorovima. Podatke prikuplja administrator stranice u svoje ime.
  • Sigurna razmjena informacija putem ViPNet VPN-a, IPsec-a ili https.

Povezivanje sa uslugom upravljanja ranjivostima Perspective Monitoring pomaže korisniku da ispuni zahtjev ANZ.1 „Identifikacija i analiza ranjivosti informacioni sistem I brza eliminacija novoidentifikovane ranjivosti“ FSTEC Rusije naredbi br. 17 i 21. Naša kompanija je nosilac licence FSTEC Rusije za aktivnosti vezane za tehničku zaštitu povjerljivih informacija.

Cijena

Minimalni trošak - 25.000 rubalja godišnje za 50 čvorova povezanih na sistem ako postoji važeći ugovor za povezivanje na

U nekim slučajevima, ranjivosti nastaju zbog upotrebe razvojnih alata različitog porijekla, što povećava rizik od pojave defekata sabotažnog tipa u programskom kodu.

Ranjivosti se pojavljuju zbog dodavanja komponenti treće strane ili slobodno distribuiranog koda (otvorenog koda) softveru. Tuđi kod se često koristi „kakav jeste“ bez detaljne analize i sigurnosnog testiranja.

Ne treba isključiti prisustvo insajderskih programera u timu koji namjerno uvode dodatne nedokumentirane funkcije ili elemente u proizvod koji se stvara.

Klasifikacija ranjivosti programa

Ranjivosti nastaju zbog grešaka na koje se susreću tokom faze dizajna ili pisanja. programski kod.

Ovisno o fazi nastanka, ova vrsta prijetnje se dijeli na ranjivosti dizajna, implementacije i konfiguracije.

  1. Greške nastale tokom projektovanja najteže je otkriti i otkloniti. To su nepreciznosti u algoritmima, bookmarkovima, nedosljednosti u interfejsu između različitih modula ili u protokolima za interakciju sa hardverom, te uvođenje suboptimalnih tehnologija. Njihovo otklanjanje je vrlo radno intenzivan proces, uključujući i zato što se mogu pojaviti u neočiglednim slučajevima - na primjer, kada je prekoračen predviđeni obim prometa ili kada je priključena velika količina dodatne opreme, što otežava obezbjeđivanje potrebne nivo sigurnosti i dovodi do pojave načina da se zaobiđe firewall.
  2. Ranjivosti implementacije se pojavljuju u fazi pisanja programa ili implementacije sigurnosnih algoritama u njega. Ovo je pogrešna organizacija računarskog procesa, sintaktički i logički nedostaci. Postoji rizik da će kvar dovesti do prepune bafera ili drugih problema. Njihovo otkrivanje oduzima dosta vremena, a njihovo uklanjanje uključuje ispravljanje određenih dijelova mašinskog koda.
  3. Greške u konfiguraciji hardvera i softvera su prilično česte. Njihovi uobičajeni razlozi su nedovoljno kvalitetan razvoj i nedostatak testova za ispravan rad. dodatne funkcije. Ova kategorija također može uključivati jednostavne lozinke a zadani računi su ostali nepromijenjeni.

Prema statistikama, ranjivosti se posebno često otkrivaju u popularnim i široko rasprostranjenim proizvodima - desktop i mobilnim operativnim sistemima, pretraživačima.

Rizici korišćenja ranjivih programa

Programi koji sadrže najveći broj ranjivosti instalirani su na skoro svim računarima. Sa strane sajber kriminalaca postoji direktan interes da se pronađu takve mane i da za njih piše.

Budući da od trenutka otkrivanja ranjivosti do objavljivanja popravke (zakrpe) prođe dosta vremena, postoji priličan broj mogućnosti za zarazu računarskih sistema kroz rupe u sigurnosti programskog koda. U tom slučaju korisnik treba samo jednom otvoriti, na primjer, zlonamjernu PDF datoteku s exploit-om, nakon čega će napadači dobiti pristup podacima.

U potonjem slučaju infekcija se događa prema sljedećem algoritmu:

  • Korisnik prima email phishing email od vjerodostojnog pošiljaoca.
  • Fajl sa eksploatacijom je priložen pismu.
  • Ako korisnik pokuša da otvori datoteku, računar se zarazi virusom, trojancem (šifrovačem) ili drugim zlonamernim programom.
  • Sajber kriminalci dobijaju neovlašćeni pristup sistemu.
  • Kradu se vrijedni podaci.

Istraživanja različitih kompanija (Kaspersky Lab, Positive Technologies) pokazuju da ranjivosti postoje u gotovo svakoj aplikaciji, uključujući i antivirusne programe. Dakle, vjerovatnoća uspostavljanja softverski proizvod, koji sadrži nedostatke različitog stepena kritičnosti, veoma je visok.

Da bi se minimizirao broj praznina u softveru, potrebno je koristiti SDL (Security Development Lifecycle, siguran razvojni životni ciklus). SDL tehnologija se koristi za smanjenje broja grešaka u aplikacijama u svim fazama njihovog kreiranja i podrške. Stoga, prilikom dizajniranja softvera, stručnjaci za sigurnost informacija i programeri modeliraju sajber prijetnje kako bi pronašli ranjivosti. Tokom programiranja, automatski alati su uključeni u proces kako bi odmah prijavili potencijalne nedostatke. Programeri nastoje značajno ograničiti funkcionalnost dostupnu nepouzdanim korisnicima, što pomaže u smanjenju površine napada.

Da biste smanjili utjecaj ranjivosti i štete uzrokovane njima, morate slijediti neka pravila:

  • Odmah instalirajte ispravke (zakrpe) koje su objavili programeri za aplikacije ili (po mogućnosti) omogućite automatski način ažuriranja.
  • Ako je moguće, nemojte instalirati sumnjive programe čiji kvalitet i tehnička podrška postaviti pitanja.
  • Koristite posebne skenere ranjivosti ili specijalizirane funkcije antivirusnih proizvoda koje vam omogućavaju da pretražujete sigurnosne greške i, ako je potrebno, ažurirate softver.

Trenutno razvijeno veliki broj alati dizajnirani da automatiziraju traženje ranjivosti programa. Ovaj članak će raspravljati o nekima od njih.

Uvod

Statička analiza koda je analiza softvera koja se izvodi na izvornom kodu programa i implementira se bez stvarnog izvršavanja programa koji se proučava.

Softver često sadrži razne ranjivosti zbog grešaka u programskom kodu. Greške napravljene tokom razvoja programa u nekim situacijama dovode do neuspjeha programa i, prema tome, do normalan rad programi: to često uzrokuje promjene i oštećenja podataka, zaustavljanje programa ili čak sistema. Većina ranjivosti povezana je s pogrešnom obradom podataka primljenih izvana, ili nedovoljno striktnom provjerom istih.

Za identifikaciju ranjivosti koriste se različiti alati, na primjer, statički analizatori izvorni kod programa, čiji je pregled dat u ovom članku.

Klasifikacija sigurnosnih propusta

Kada se prekrši zahtjev da program ispravno radi na svim mogućim ulaznim podacima, postaje moguća pojava tzv. sigurnosnih propusta. Sigurnosne ranjivosti mogu značiti da se jedan program može koristiti za prevazilaženje sigurnosnih ograničenja cijelog sistema.

Klasifikacija sigurnosnih propusta u zavisnosti od softverskih grešaka:

  • Buffer overflow. Ova ranjivost se javlja zbog nedostatka kontrole nad nizom izvan granica u memoriji tokom izvršavanja programa. Kada paket podataka koji je prevelik prelije bafer ograničene veličine, sadržaj dodatnih memorijskih lokacija se prepisuje, što uzrokuje pad programa i izlazak iz programa. Na osnovu lokacije međuspremnika u memoriji procesa, razlikuju se prekoračenja međuspremnika na steku (stack buffer overflow), hrpi (heap buffer overflow) i statičkom području podataka (bss buffer overflow).
  • Ranjivost zaraženog unosa. Ranjivosti do pokvarenog unosa mogu se pojaviti kada se korisnički unos proslijeđuje nekom interpretatoru bez dovoljne kontrole. spoljni jezik(obično Unix shell ili SQL jezik). U tom slučaju korisnik može specificirati ulazne podatke na način da će pokrenuti interpreter izvršiti naredbu potpuno drugačiju od one koju su zamislili autori ranjivog programa.
  • Ranjivost niza formata. Ovaj tip Sigurnosne ranjivosti su podklasa ranjivosti "ukaljanog ulaza". Javlja se zbog nedovoljne kontrole parametara kada se koriste I/O funkcije formata printf, fprintf, scanf itd. C standardne biblioteke. Ove funkcije uzimaju kao jedan od svojih parametara niz znakova koji specificira ulazni ili izlazni format narednih argumenata funkcije. Ako korisnik može odrediti vrstu oblikovanja, ova ranjivost bi mogla biti rezultat neuspješne upotrebe funkcija oblikovanja nizova.
  • Ranjivosti kao rezultat grešaka u sinhronizaciji (uslovi utrke). Problemi povezani sa multitaskingom dovode do situacija koje se nazivaju "uslovi trke": program koji nije dizajniran da radi u okruženju za više zadataka može vjerovati da, na primjer, datoteke koje koristi ne može promijeniti drugi program. Kao rezultat toga, napadač koji na vrijeme zamijeni sadržaj ovih radnih datoteka može natjerati program da izvrši određene radnje.

Naravno, pored navedenih, postoje i druge klase sigurnosnih propusta.

Pregled postojećih analizatora

Sljedeći alati se koriste za otkrivanje sigurnosnih propusta u programima:

  • Dinamički debageri. Alati koji vam omogućavaju da otklanjate greške u programu tokom njegovog izvršavanja.
  • Statički analizatori (statički debageri). Alati koji koriste informacije akumulirane tokom statičke analize programa.

Statički analizatori upućuju na ona mjesta u programu na kojima može biti locirana greška. Ovi sumnjivi dijelovi koda mogu ili sadržavati grešku ili biti potpuno bezopasni.

Ovaj članak daje pregled nekoliko postojećih statičkih analizatora. Pogledajmo pobliže svaki od njih.

Pri pokretanju pametno skeniranje Avast programće provjeriti vaš PC za sljedeće vrste problema i zatim ponuditi rješenja za njihovo rješavanje.

  • Virusi: fajlovi koji sadrže zlonamjernog koda, što može uticati na sigurnost i performanse vašeg računara.
  • Ranjiv softver: Programi koji zahtijevaju ažuriranje i koje napadači mogu koristiti za pristup vašem sistemu.
  • Ekstenzije pretraživača sa lošom reputacijom: Ekstenzije pretraživača koje se obično instaliraju bez vašeg znanja i utiču na performanse sistema.
  • Slabe lozinke: Lozinke koje se koriste za pristup više od jedne račun online i može se lako hakovati ili kompromitovati.
  • Mrežne prijetnje: ranjivosti u vašoj mreži koje bi mogle dozvoliti napade na vašu mrežu mrežni uređaji i ruter.
  • Problemi sa performansama: objekti ( nepotrebni fajlovi i aplikacije, problemi u vezi sa postavkama) koji mogu ometati rad računara.
  • Konfliktni antivirusi: antivirusni programi instalirani na vašem računaru sa Avastom. Dostupnost nekoliko antivirusni programi usporava vaš računar i smanjuje efikasnost antivirusne zaštite.

Napomena. Određeni problemi koje otkrije Smart Scan mogu zahtijevati posebnu licencu za rješavanje. Otkrivanje nepotrebnih tipova problema može se onemogućiti u .

Rješavanje otkrivenih problema

Zelena potvrdna oznaka pored područja skeniranja označava da nisu pronađeni problemi s tim područjem. Crveni krst znači da je skeniranje identificiralo jedan ili više povezanih problema.

Da vidite određene detalje o otkrivenim problemima, kliknite Riješite sve. Smart Scan prikazuje detalje svakog problema i nudi opciju da ga odmah popravite klikom na stavku Odlučite se, ili to učinite kasnije klikom Preskočite ovaj korak.

Napomena. Dnevnici antivirusnog skeniranja mogu se vidjeti u historiji skeniranja, kojoj se može pristupiti odabirom Zaštita Antivirus.

Upravljajte postavkama Smart Scan

Za promjenu postavki Smart Scan odaberite Postavke Općenito Smart Scan i odredite za koje od sljedećih tipova problema želite pametno skenirati.

  • Virusi
  • Zastarjeli softver
  • Dodaci za pretraživač
  • Mrežne prijetnje
  • Problemi kompatibilnosti
  • Problemi sa performansama
  • Slabe lozinke

Podrazumevano, svi tipovi problema su omogućeni. Da biste zaustavili provjeru određenog problema prilikom pokretanja Smart Scan, kliknite na klizač Uključeno pored tipa problema tako da promijeni stanje u Isključeno.

Kliknite Postavke pored natpisa Skeniranje virusa da promijenite postavke skeniranja.

Drugi način da se sagleda ovaj problem je da kompanije moraju brzo reagovati kada aplikacija ima ranjivost. To zahtijeva da IT odjel može definitivno pratiti instalirane aplikacije, komponente i zakrpe koristeći automatizaciju i standardne alate. Postoje napori industrije da se standardizuju softverske oznake (19770-2), koje su XML datoteke instalirane sa aplikacijom, komponentom i/ili zakrpom koje identifikuju instalirani softver, au slučaju komponente ili zakrpe, koja je to aplikacija deo. Oznake imaju mjerodavne informacije o izdavaču, informacije o verziji, listu datoteka s imenom datoteke, sigurne hash datoteke i veličinu, što se može koristiti za potvrdu da je instalirana aplikacija na sistemu i da binarne datoteke nisu modificirane od strane treće strane. Ove oznake su potpisane digitalni potpis izdavač.

Kada je ranjivost poznata, IT odjeli mogu koristiti svoj softver za upravljanje imovinom da odmah identifikuju sisteme sa ranjivim softverom i mogu preduzeti korake za ažuriranje sistema. Oznake mogu biti dio zakrpe ili ažuriranja koje se mogu koristiti za provjeru da je zakrpa instalirana. Na ovaj način, IT odjeli mogu koristiti resurse kao što je NIST Nacionalna baza podataka o ranjivosti kao sredstvo za upravljanje svojim alatima za upravljanje imovinom, tako da nakon što kompanija dostavi ranjivost NVD-u, IT može odmah uporediti nove ranjivosti sa njihovim.

Postoji grupa kompanija koje rade kroz IEEE/ISTO neprofitnu organizaciju pod nazivom TagVault.org (www.tagvault.org) sa vladom SAD na standardnoj implementaciji ISO 19770-2 koja će omogućiti ovaj nivo automatizacije. U nekom trenutku, ove oznake koje odgovaraju ovoj implementaciji će vjerovatno biti obavezne za softver koji se prodaje američkoj vladi u nekom trenutku u narednih nekoliko godina.

Dakle, na kraju dana, dobra je praksa da ne objavljujete koje aplikacije i određene verzije softvera koristite, ali to može biti teško, kao što je ranije rečeno. Želite da budete sigurni da imate tačan, ažuran inventar softvera, da se on redovno upoređuje sa listom poznatih ranjivosti kao što je NVD iz NVD-a, i da IT može odmah da preduzme mere da otkloni pretnju s najnovijim invazijama detekcije, antivirusno skeniranje i druge metode zaključavanja okruženja, u najmanju ruku, biće veoma teško kompromitovati vaše okruženje, a ako/kada se to dogodi, neće biti otkriveno tokom dužeg vremenskog perioda.

Izbor urednika

© 2024 ermake.ru -- O popravci računara - Informativni portal