Inteligentné skenovanie. Určenie zraniteľného softvéru na klientskych počítačoch Našiel sa zraniteľný softvér

Domov / Mobilné zariadenia

Manažment zraniteľností je identifikácia, hodnotenie, klasifikácia a výber riešenia na riešenie zraniteľností. Základom riadenia zraniteľností sú úložiská informácií o zraniteľnostiach, jedným z nich je systém riadenia zraniteľnosti „Forward Monitoring“.

Naše riešenie kontroluje vzhľad informácií o zraniteľnostiach v operačných systémov(na báze Windows, Linux/Unix), kancelársky a aplikačný softvér, hardvérový softvér, nástroje na bezpečnosť informácií.

Zdroje údajov

Databáza systému správy zraniteľností softvér„Prospektívne monitorovanie“ sa automaticky dopĺňa z nasledujúcich zdrojov:

  • Databanka hrozieb informačnej bezpečnosti (BIS) FSTEC Ruska.
  • Národná databáza zraniteľností (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Zoznam adries CentOS.

Používame tiež automatizovaná metóda doplnenie našej databázy zraniteľností. Vyvinuli sme prehľadávač webových stránok a analyzátor neštruktúrovaných údajov, ktorý každý deň analyzuje viac ako sto rôznych zahraničných a ruských zdrojov na množstvo kľúčových slov – skupiny v sociálnych sieťach, blogy, mikroblogy, médiá venované informačných technológií a zabezpečenie informačnej bezpečnosti. Ak tieto nástroje nájdu niečo, čo zodpovedá kritériám vyhľadávania, analytik manuálne skontroluje informácie a vloží ich do databázy zraniteľností.

Monitorovanie softvérovej zraniteľnosti

Pomocou systému správy zraniteľností môžu vývojári monitorovať prítomnosť a stav zistených zraniteľností v komponentoch softvéru tretích strán.

Napríklad v modeli Secure Software Developer Life Cycle (SSDLC) spoločnosti Hewlett Packard Enterprise je centrálna kontrola nad knižnicami tretích strán.

Náš systém monitoruje prítomnosť zraniteľností v paralelných verziách/zostavách rovnakého softvérového produktu.

Funguje to takto:

1. Vývojár nám poskytuje zoznam knižníc a komponentov tretích strán, ktoré sú použité v produkte.

2. Denne kontrolujeme:

b. či sa objavili metódy na odstránenie predtým objavených zraniteľností.

3. V súlade so zadaným vzorom upozorníme vývojára, ak sa stav alebo hodnotenie zraniteľnosti zmenilo. To znamená, že rôzne vývojové tímy tej istej spoločnosti budú dostávať upozornenia a budú vidieť stav zraniteľností iba pre produkt, na ktorom pracujú.

Frekvencia výstrah systému správy zraniteľností je konfigurovateľná, ale ak sa zistí zraniteľnosť so skóre CVSS vyšším ako 7,5, vývojári dostanú okamžité upozornenie.

Integrácia s ViPNet TIAS

Softvérový a hardvérový systém ViPNet Threat Intelligence Analytics System automaticky zisťuje počítačové útoky a identifikuje incidenty na základe udalostí prijatých z rôznych zdrojov. informačnej bezpečnosti. Hlavným zdrojom udalostí pre ViPNet TIAS je ViPNet IDS, ktorý analyzuje prichádzajúce a odchádzajúce sieťová prevádzka použitie základov rozhodovacích pravidiel AM Pravidlá pre rozvoj „Prospektívneho monitorovania“. Niektoré podpisy sú napísané na zistenie zneužitia zraniteľností.

Ak ViPNet TIAS deteguje incident informačnej bezpečnosti, pri ktorom bola zneužitá zraniteľnosť, potom sa všetky informácie súvisiace so zraniteľnosťou, vrátane metód na elimináciu alebo kompenzáciu negatívneho dopadu, automaticky vložia do karty incidentu zo systému riadenia.

Systém riadenia incidentov tiež pomáha pri vyšetrovaní incidentov informačnej bezpečnosti, pričom analytikom poskytuje informácie o indikátoroch ohrozenia a potenciálnych uzloch informačnej infraštruktúry ovplyvnených incidentom.

Monitorovanie prítomnosti zraniteľností v informačných systémoch

Ďalším scenárom používania systému správy zraniteľností je skenovanie na požiadanie.

Zákazník samostatne vygeneruje pomocou vstavaných nástrojov alebo nami vyvinutého skriptu zoznam systémového a aplikačného softvéru a komponentov nainštalovaných na uzle (pracovná stanica, server, DBMS, softvérový balík, sieťové vybavenie), odošle tento zoznam riadiacemu systému systému a dostáva správu o zistených zraniteľnostiach a pravidelné upozornenia o ich stave.

Rozdiely medzi systémom a bežnými skenermi zraniteľností:

  • Nevyžaduje inštaláciu monitorovacích agentov na uzly.
  • Nevytvára zaťaženie siete, pretože samotná architektúra riešenia neposkytuje skenovacích agentov a serverov.
  • Nezaťažuje zariadenie, pretože zoznam komponentov je vytvorený systémovými príkazmi alebo ľahkým open source skriptom.
  • Eliminuje možnosť úniku informácií. „Prospektívne monitorovanie“ nemôže spoľahlivo zistiť nič o fyzickom a logickom umiestnení alebo funkčnom účele uzla v informačnom systéme. Jedinou informáciou, ktorá opustí kontrolovaný perimeter zákazníka, je txt súbor so zoznamom softvérových komponentov. Tento súbor skontroluje obsah a nahrá ho do riadiaceho systému sám zákazník.
  • Aby systém fungoval, nepotrebujeme účty na kontrolovaných uzloch. Informácie zhromažďuje správca stránky vo svojom mene.
  • Bezpečná výmena informácií cez ViPNet VPN, IPsec alebo https.

Napojenie na službu riadenia zraniteľnosti Perspective Monitoring pomáha zákazníkovi splniť požiadavku ANZ.1 „Identifikácia a analýza zraniteľností informačný systém A rýchle odstránenie novo identifikované zraniteľnosti“ objednávok FSTEC Ruska č. 17 a 21. Naša spoločnosť je držiteľom licencie FSTEC Ruska na činnosti súvisiace s technickou ochranou dôverných informácií.

Cena

Minimálne náklady - 25 000 rubľov ročne za 50 uzlov pripojených k systému, ak existuje platná zmluva na pripojenie k

V niektorých prípadoch vznikajú zraniteľnosti v dôsledku používania vývojových nástrojov rôzneho pôvodu, ktoré zvyšujú riziko výskytu defektov typu sabotáže v programovom kóde.

Zraniteľnosť sa objavuje v dôsledku pridávania komponentov tretích strán alebo voľne distribuovaného kódu (open source) do softvéru. Kód niekoho iného sa často používa „tak, ako je“ bez dôkladnej analýzy a testovania bezpečnosti.

Netreba vylúčiť prítomnosť zasvätených programátorov v tíme, ktorí zámerne zavádzajú ďalšie nezdokumentované funkcie alebo prvky do vytváraného produktu.

Klasifikácia zraniteľností programu

Zraniteľnosť vznikajú z chýb, ktoré sa vyskytli počas fázy návrhu alebo písania. programový kód.

V závislosti od štádia výskytu sa tento typ hrozby delí na zraniteľnosti návrhu, implementácie a konfigurácie.

  1. Najťažšie sa zisťujú a eliminujú chyby, ktoré vznikli počas návrhu. Ide o nepresnosti v algoritmoch, záložkách, nezrovnalosti v rozhraní medzi rôznymi modulmi alebo v protokoloch pre interakciu s hardvérom a zavádzanie suboptimálnych technológií. Ich odstraňovanie je proces veľmi náročný na prácu, a to aj preto, že sa môžu objaviť v nie celkom zjavných prípadoch – napríklad pri prekročení plánovaného objemu dopravy alebo pri pripojení veľkého množstva prídavných zariadení, čo komplikuje poskytovanie požadovaných zariadení. úroveň bezpečnosti a vedie k vzniku spôsobov, ako obísť firewall.
  2. Implementačné chyby sa objavujú vo fáze písania programu alebo implementácie bezpečnostných algoritmov do neho. Ide o nesprávnu organizáciu výpočtového procesu, syntaktické a logické chyby. Existuje riziko, že chyba povedie k pretečeniu vyrovnávacej pamäte alebo iným problémom. Ich zisťovanie si vyžaduje veľa času a ich odstránenie zahŕňa opravu určitých častí strojového kódu.
  3. Chyby konfigurácie hardvéru a softvéru sú celkom bežné. Ich spoločným dôvodom je nedostatočne kvalitný vývoj a chýbajúce testy pre správnu prevádzku. doplnkové funkcie. Táto kategória môže tiež zahŕňať jednoduché heslá a predvolené účty zostali nezmenené.

Podľa štatistík sú zraniteľné miesta obzvlášť často objavené v populárnych a rozšírených produktoch - desktopové a mobilné operačné systémy, prehliadače.

Riziká používania zraniteľných programov

Takmer na všetkých počítačoch sú nainštalované programy, ktoré obsahujú najväčší počet zraniteľností. Zo strany kyberzločincov je priamy záujem takéto nedostatky nájsť a písať za nich.

Keďže od objavenia zraniteľnosti do zverejnenia opravy (záplaty) uplynie pomerne veľa času, existuje množstvo príležitostí na infikovanie počítačových systémov cez medzery v zabezpečení programového kódu. Používateľovi v tomto prípade stačí jedenkrát otvoriť napríklad škodlivý PDF súbor s exploitom, po ktorom útočníci získajú prístup k dátam.

V druhom prípade sa infekcia vyskytuje podľa nasledujúceho algoritmu:

  • Používateľ dostane email phishingový e-mail od dôveryhodného odosielateľa.
  • K listu je pripojený súbor s exploitom.
  • Ak sa používateľ pokúsi otvoriť súbor, počítač sa nakazí vírusom, trójskym koňom (šifrovacím zariadením) alebo iným škodlivým programom.
  • Kyberzločinci získajú neoprávnený prístup do systému.
  • Cenné dáta sa kradnú.

Výskum uskutočnený rôznymi spoločnosťami (Kaspersky Lab, Positive Technologies) ukazuje, že takmer každá aplikácia, vrátane antivírusov, má zraniteľné miesta. Preto pravdepodobnosť založenia softvérový produkt, ktorá obsahuje chyby rôzneho stupňa kritickosti, je veľmi vysoká.

Pre minimalizáciu počtu medzier v softvéri je potrebné použiť SDL (Security Development Lifecycle, secure development life cycle). Technológia SDL sa používa na zníženie počtu chýb v aplikáciách vo všetkých fázach ich tvorby a podpory. Špecialisti na informačnú bezpečnosť a programátori teda pri navrhovaní softvéru modelujú kybernetické hrozby, aby našli zraniteľné miesta. Počas programovania sú do procesu zahrnuté automatické nástroje, ktoré okamžite hlásia potenciálne chyby. Vývojári sa snažia výrazne obmedziť funkčnosť dostupnú pre nedôveryhodných používateľov, čo pomáha znižovať plochu útoku.

Aby ste minimalizovali dopad zraniteľností a škôd nimi spôsobených, musíte dodržiavať niektoré pravidlá:

  • Okamžite nainštalujte vývojárom vydané opravy (záplaty) pre aplikácie alebo (najlepšie) povoľte režim automatickej aktualizácie.
  • Ak je to možné, neinštalujte pochybné programy, ktorých kvalita a technickú podporu vyvolávať otázky.
  • Používajte špeciálne skenery zraniteľností alebo špecializované funkcie antivírusových produktov, ktoré vám umožnia vyhľadať bezpečnostné chyby a v prípade potreby aktualizovať softvér.

V súčasnosti vyvinutý veľké množstvo nástroje určené na automatizáciu vyhľadávania slabých miest programu. Tento článok bude diskutovať o niektorých z nich.

Úvod

Statická analýza kódu je softvérová analýza, ktorá sa vykonáva na zdrojovom kóde programov a je implementovaná bez skutočného spustenia skúmaného programu.

Softvér často obsahuje rôzne zraniteľnosti spôsobené chybami v kóde programu. Chyby urobené počas vývoja programu v niektorých situáciách vedú k zlyhaniu programu, a teda k normálna prevádzka programy: to často spôsobuje zmeny a poškodenie údajov, zastavenie programu alebo dokonca systému. Väčšina zraniteľností je spojená s nesprávnym spracovaním údajov prijatých zvonku alebo ich nedostatočne prísnym overovaním.

Na identifikáciu slabých miest sa používajú rôzne nástroje, napríklad statické analyzátory zdrojový kód programov, ktorých prehľad je uvedený v tomto článku.

Klasifikácia bezpečnostných zraniteľností

Keď sa poruší požiadavka, aby program správne fungoval so všetkými možnými vstupnými údajmi, je možný výskyt takzvaných bezpečnostných zraniteľností. Zraniteľnosť zabezpečenia môže znamenať, že jeden program možno použiť na prekonanie bezpečnostných obmedzení celého systému.

Klasifikácia bezpečnostných zraniteľností v závislosti od softvérových chýb:

  • Pretečenie vyrovnávacej pamäte. Táto chyba zabezpečenia sa vyskytuje v dôsledku nedostatočnej kontroly nad presahom poľa v pamäti počas vykonávania programu. Keď príliš veľký paket údajov pretečie vyrovnávacou pamäťou s obmedzenou veľkosťou, obsah miest v externej pamäti sa prepíše, čo spôsobí zlyhanie a ukončenie programu. Na základe umiestnenia vyrovnávacej pamäte v procesnej pamäti sa rozlišujú pretečenia vyrovnávacej pamäte na zásobníku (pretečenie vyrovnávacej pamäte zásobníka), halde (pretečenie vyrovnávacej pamäte haldy) a oblasti statických údajov (pretečenie vyrovnávacej pamäte bss).
  • Poškodená zraniteľnosť vstupu. Chyby zabezpečenia skazeného vstupu sa môžu vyskytnúť, keď sa vstup používateľa odovzdá nejakému tlmočníkovi bez dostatočnej kontroly. vonkajší jazyk(zvyčajne unixový shell alebo jazyk SQL). V tomto prípade môže užívateľ zadať vstupné údaje tak, že spustený interpret vykoná príkaz úplne odlišný od toho, ktorý zamýšľali autori zraniteľného programu.
  • Chyba zabezpečenia formátovacieho reťazca. Tento typ Bezpečnostné chyby sú podtriedou zraniteľnosti „pokazeného vstupu“. Vzniká nedostatočnou kontrolou parametrov pri použití formátových I/O funkcií printf, fprintf, scanf atď. štandardnej knižnice C. Tieto funkcie berú ako jeden zo svojich parametrov reťazec znakov, ktorý špecifikuje vstupný alebo výstupný formát nasledujúcich argumentov funkcie. Ak môže používateľ určiť typ formátovania, táto chyba zabezpečenia môže byť výsledkom neúspešného použitia funkcií formátovania reťazcov.
  • Zraniteľnosť v dôsledku chýb synchronizácie (súčasné podmienky). Problémy spojené s multitaskingom vedú k situáciám nazývaným „race conditions“: program, ktorý nie je navrhnutý na spustenie v prostredí multitaskingu, sa môže domnievať, že napríklad súbory, ktoré používa, nemôže zmeniť iný program. V dôsledku toho môže útočník, ktorý okamžite nahradí obsah týchto pracovných súborov, prinútiť program vykonať určité akcie.

Samozrejme, okrem tých, ktoré sú uvedené, existujú aj ďalšie triedy bezpečnostných zraniteľností.

Preskúmanie existujúcich analyzátorov

Nasledujúce nástroje sa používajú na detekciu bezpečnostných zraniteľností v programoch:

  • Dynamické debuggery. Nástroje, ktoré vám umožňujú ladiť program počas jeho vykonávania.
  • Statické analyzátory (statické debuggery). Nástroje, ktoré využívajú informácie nazhromaždené počas statickej analýzy programu.

Statické analyzátory ukazujú na tie miesta v programe, kde sa môže nachádzať chyba. Tieto podozrivé časti kódu môžu obsahovať chybu alebo môžu byť úplne neškodné.

Tento článok poskytuje prehľad niekoľkých existujúcich statických analyzátorov. Pozrime sa bližšie na každý z nich.

Pri spustení inteligentné skenovanie Program Avast skontroluje váš počítač, či neobsahuje nasledujúce typy problémov a potom ponúkne riešenia na ich vyriešenie.

  • Vírusy: súbory obsahujúce škodlivý kód, čo môže ovplyvniť bezpečnosť a výkon vášho počítača.
  • Zraniteľný softvér: Programy, ktoré vyžadujú aktualizáciu a môžu byť použité útočníkmi na získanie prístupu do vášho systému.
  • Rozšírenia prehliadača so zlou povesťou: Rozšírenia prehliadača, ktoré sa zvyčajne inštalujú bez vášho vedomia a ovplyvňujú výkon systému.
  • Slabé heslá: Heslá, ktoré sa používajú na prístup k viac ako jednému účtu online a môžu byť ľahko napadnuté alebo napadnuté.
  • Sieťové hrozby: zraniteľnosti vo vašej sieti, ktoré by mohli umožniť útoky na vašu sieť sieťové zariadenia a router.
  • Problémy s výkonom: predmety ( nepotrebné súbory a aplikácie, problémy súvisiace s nastaveniami), ktoré môžu narúšať činnosť počítača.
  • Konfliktné antivírusy: antivírusové programy nainštalované na vašom PC s Avast. Dostupnosť viacerých antivírusové programy spomaľuje váš počítač a znižuje účinnosť antivírusovej ochrany.

Poznámka. Niektoré problémy zistené funkciou Smart Scan môžu vyžadovať samostatnú licenciu na vyriešenie. Detekciu nepotrebných typov problémov je možné vypnúť v .

Riešenie zistených problémov

Zelená značka začiarknutia vedľa oblasti skenovania znamená, že v tejto oblasti neboli nájdené žiadne problémy. Červený krížik znamená, že skenovanie identifikovalo jeden alebo viacero súvisiacich problémov.

Ak chcete zobraziť konkrétne podrobnosti o zistených problémoch, kliknite Všetko vyriešiť. Smart Scan zobrazuje podrobnosti o každom probléme a ponúka možnosť okamžite ho opraviť kliknutím na položku Rozhodnite sa alebo to urobte neskôr kliknutím Preskočte tento krok.

Poznámka. Protokoly antivírusovej kontroly je možné zobraziť v histórii kontroly, ku ktorej sa dostanete výberom položky Antivírusová ochrana.

Spravujte nastavenia inteligentného skenovania

Ak chcete zmeniť nastavenia inteligentného skenovania, vyberte Nastavenia Všeobecné Smart Scan a zadajte, ktorý z nasledujúcich typov problémov chcete inteligentne skenovať.

  • Vírusy
  • Zastaraný softvér
  • Doplnky prehliadača
  • Sieťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonom
  • Slabé heslá

V predvolenom nastavení sú povolené všetky typy problémov. Ak chcete zastaviť kontrolu konkrétneho problému pri spustení funkcie Smart Scan, kliknite na posúvač Zahrnuté vedľa typu problému, aby sa zmenil stav na Vypnuté.

Kliknite Nastavenia vedľa nápisu Skenovanie vírusov zmeniť nastavenia skenovania.

Ďalším spôsobom, ako sa na tento problém pozrieť, je, že spoločnosti musia rýchlo reagovať, keď má aplikácia zraniteľné miesto. To si vyžaduje, aby IT oddelenie bolo schopné definitívne sledovať nainštalované aplikácie komponenty a opravy pomocou automatizácie a štandardných nástrojov. Odvetvie sa snaží štandardizovať softvérové ​​značky (19770-2), čo sú súbory XML nainštalované s aplikáciou, komponentom a/alebo záplatou, ktoré identifikujú nainštalovaný softvér, a v prípade komponentu alebo záplaty, o akú aplikáciu sa jedná. súčasťou. Značky majú autoritatívne informácie o vydavateľovi, informácie o verzii, zoznam súborov s názvom súboru, zabezpečené hash súboru a veľkosť, pomocou ktorej možno potvrdiť, že nainštalovaná aplikácia je v systéme a že binárne súbory neboli upravené treťou stranou. Tieto značky sú podpísané digitálny podpis vydavateľ.

Keď je známa zraniteľnosť, IT oddelenia môžu použiť svoj softvér na správu aktív na okamžitú identifikáciu systémov so zraniteľným softvérom a môžu podniknúť kroky na aktualizáciu systémov. Značky môžu byť súčasťou opravy alebo aktualizácie, ktorú možno použiť na overenie, či bola oprava nainštalovaná. Týmto spôsobom môžu IT oddelenia využívať zdroje, ako je národná databáza zraniteľností NIST, ako prostriedok na správu svojich nástrojov na správu aktív, takže keď spoločnosť predloží zraniteľnosť spoločnosti NVD, IT môže okamžite porovnať nové zraniteľnosti so svojimi.

Existuje skupina spoločností, ktoré spolupracujú prostredníctvom neziskovej organizácie IEEE/ISTO s názvom TagVault.org (www.tagvault.org) s vládou USA na štandardnej implementácii ISO 19770-2, ktorá umožní túto úroveň automatizácie. V určitom bode budú tieto značky zodpovedajúce tejto implementácii pravdepodobne povinné pre softvér predávaný vláde USA v priebehu niekoľkých nasledujúcich rokov.

Preto je dobrým zvykom nezverejňovať príspevky o aplikáciách a konkrétnych verziách softvéru, ktoré používate, ale môže to byť zložité, ako už bolo uvedené. Chcete sa uistiť, že máte presný a aktuálny inventár softvéru, že sa pravidelne porovnáva so zoznamom známych zraniteľností, ako je NVID spoločnosti NVD, a že IT môže okamžite podniknúť kroky na nápravu hrozby najnovšie detekčné invázie, antivírusové skenovanie a iné metódy uzamykania prostredia, prinajmenšom bude pre vaše prostredie veľmi ťažké kompromitovať, a ak/keď sa to stane, nebude to detekované po dlhú dobu.

Voľba editora

© 2024 ermake.ru -- O oprave PC - Informačný portál