Dalším způsobem, jak se na tento problém dívat, je, že společnosti musí rychle reagovat, když má aplikace chybu zabezpečení. To vyžaduje, aby IT oddělení mohlo definitivně sledovat nainstalované aplikace, komponenty a opravy pomocí automatizace a standardních nástrojů. Průmyslové úsilí se snaží standardizovat softwarové značky (19770-2), což jsou soubory XML nainstalované s aplikací, komponentou nebo opravou, které identifikují nainstalovaný software, a v případě komponenty nebo opravy, o kterou aplikaci se jedná část. Značky obsahují autoritativní informace o vydavateli, informace o verzi, seznam souborů s názvem souboru, bezpečnou hodnotou hash souboru a velikostí, kterými lze potvrdit, že nainstalovaná aplikace je v systému a že binární soubory nebyly změněny třetinou oslava. Tyto štítky jsou podepsané digitálně podepsáno vydavatel.
Pokud je známá chyba zabezpečení, mohou IT oddělení pomocí svého softwaru pro správu aktiv okamžitě identifikovat systémy se zranitelným softwarem a mohou podniknout kroky k aktualizaci systémů. Značky mohou být součástí opravy nebo aktualizace, kterou lze použít k ověření, že je oprava nainstalována. Tímto způsobem mohou IT oddělení využívat prostředky, jako je NIST National Vulnerability Database, jako nástroj ke správě svých nástrojů pro správu aktiv, takže jakmile společnost předloží NVD zranitelnost, může IT okamžitě porovnat nové zranitelnosti s jejich. Nyní.
Existuje skupina společností pracujících prostřednictvím neziskové organizace IEEE / ISTO s názvem TagVault.org (www.tagvault.org) s vládou USA na standardní implementaci ISO 19770-2, která umožní tuto úroveň automatizace. V určitém okamžiku budou tyto značky odpovídající této implementaci pravděpodobně vyžadovány softwareprodáno vládě USA v určitém okamžiku v příštích několika letech.
Nakonec je dobrým zvykem nezveřejňovat informace o tom, které aplikace a konkrétní verze softwaru používáte, ale to může být obtížné, jak bylo uvedeno výše. Chcete se ujistit, že máte přesný a aktuální inventář softwaru, který je pravidelně porovnáván se seznamem známých zranitelností, jako je NVID od NVD, a že IT může podniknout okamžité kroky k připomenutí hrozby. spolu s nejnovějšími detekčními vniknutími, antivirovým skenováním a dalšími metodami blokování prostředí bude přinejmenším velmi obtížné ohrozit vaše prostředí, a pokud / pokud ano, nebude po dlouhou dobu detekováno.
V některých případech je výskyt zranitelných míst způsoben použitím vývojových nástrojů různého původu, které zvyšují riziko sabotážních vad v kódu programu.
Zranitelnosti se objevují v důsledku přidání komponent třetích stran do softwaru nebo bezplatného kódu (otevřený zdroj). Cizí kód se často používá „tak, jak je“, bez pečlivé analýzy a testování zabezpečení.
Jeden by neměl vylučovat přítomnost zasvěcených programátorů v týmu, kteří záměrně zavádějí další nedokumentované funkce nebo prvky do vytvářeného produktu.
Klasifikace softwarových zranitelností
Zranitelnosti vznikají v důsledku chyb, ke kterým dochází ve fázi návrhu nebo během psaní programového kódu.
V závislosti na fázi vzniku se tento typ ohrožení dělí na chyby zabezpečení týkající se návrhu, implementace a konfigurace.
- Nejtěžší je odhalit a opravit chyby v návrhu. Jedná se o nepřesnosti v algoritmech, záložkách, nekonzistence v rozhraní mezi různými moduly nebo v protokolech pro interakci s hardwarem, zavedení neoptimálních technologií. Jejich eliminace je časově velmi náročný proces, a to i proto, že se mohou objevit v nejasných případech - například při překročení stanoveného objemu provozu nebo při připojení velkého počtu dalších zařízení, což komplikuje poskytování požadovaného úroveň zabezpečení a vede ke vzniku způsobů, jak obejít bránu firewall.
- Zranitelnosti implementace se objevují ve fázi psaní programu nebo zavádění bezpečnostních algoritmů do něj. Toto je chybná organizace výpočetní proces, syntaktické a logické vady. Existuje však riziko, že chyba může vést k přetečení vyrovnávací paměti nebo jiným problémům. Jejich nalezení trvá dlouho a odstranění znamená opravit určité části strojového kódu.
- Chyby konfigurace hardwaru a softwaru jsou běžné. Jejich častým důvodem je nedostatečný rozvoj kvality a nedostatek testů správného provozu. další funkce... Tuto kategorii lze také připsat jednoduchá hesla a výchozí účty zůstaly nezměněny.
Podle statistik se zranitelnost obzvláště často vyskytuje u populárních a rozšířených produktů - stolních a mobilních. operační systémy, prohlížeče.
Rizika používání zranitelných programů
Programy, ve kterých najdou největší počet chyby zabezpečení jsou nainstalovány téměř na všech počítačích. Kyberzločinci mají přímý zájem na hledání takových nedostatků a psaní pro ně.
Vzhledem k tomu, že od zveřejnění opravy (opravy) trvá poměrně dlouho, existuje spousta příležitostí infikovat počítačové systémy prostřednictvím bezpečnostních děr v kódu. V takovém případě musí uživatel otevřít pouze jednou, například škodlivý soubor PDF s exploitem, po kterém útočníci získají přístup k datům.
V druhém případě dochází k infekci podle následujícího algoritmu:
- Uživatel přijímá do e-mailem phishingový e-mail od důvěryhodného odesílatele.
- K dopisu je připojen soubor zneužití.
- Pokud se uživatel pokusí soubor otevřít, dojde k napadení počítače virem, trojským koněm (ransomware) nebo jiným škodlivým programem.
- Kyberzločinci získají neoprávněný přístup do systému.
- K odcizení cenných dat.
Výzkum prováděný různými společnostmi (Kaspersky Lab, Positive Technologies) ukazuje, že v téměř jakékoli aplikaci, včetně antivirových, existují slabá místa. Proto je pravděpodobnost instalace softwarového produktu obsahujícího chyby různého stupně kritičnosti velmi vysoká.
Aby se minimalizoval počet děr v softwaru, je nutné použít SDL (Security Development Lifecycle). Technologie SDL se používá ke snížení počtu chyb v aplikacích ve všech fázích jejich vytváření a údržby. Při navrhování softwaru tedy specialisté na informační bezpečnost a programátoři simulují kybernetické hrozby, aby našli zranitelná místa. Během programování proces zahrnuje automatické prostředkyokamžité hlášení potenciálních nedostatků. Vývojáři se snaží výrazně omezit funkce dostupné neověřeným uživatelům, čímž se zmenší plocha útoku.
Aby se minimalizoval dopad a poškození zranitelností, je nutné dodržovat některá pravidla:
- Okamžitě nainstalujte opravy (opravy) vydané vývojářem pro aplikace nebo (nejlépe) povolte režim automatické aktualizace.
- Pokud je to možné, neinstalujte pochybné programy, jejichž kvalita a technická podpora vyvolávají otázky.
- Použití speciální skenery zranitelnosti nebo specializované funkce antivirové produktykteré vám umožní vyhledat chyby zabezpečení a v případě potřeby aktualizovat software.
Správa zranitelnosti je identifikace, hodnocení, klasifikace a výběr řešení pro řešení zranitelných míst. Správa zranitelnosti je založena na úložištích informací o zranitelnosti, jedním z nich je Prospective Monitoring Vulnerability Management System.
Naše řešení řídí vzhled informací o zranitelných místech v operačních systémech (Windows, Linux / Unix), kancelářském a aplikačním softwaru, hardwarovém softwaru, nástrojích pro zabezpečení informací.
Zdroje dat
Databáze systému správy zranitelnosti softwaru Prospective Monitoring se automaticky aktualizuje z následujících zdrojů:
- Databáze ohrožení bezpečnosti informací (BDU BI) FSTEC Ruska.
- Národní databáze zranitelnosti (NVD) NIST.
- Red Hat Bugzilla.
- Sledovač chyb zabezpečení Debianu.
- Seznam adresátů CentOS.
Také používáme automatizovanou metodu k doplnění naší databáze zranitelností. Vyvinuli jsme prohledávač webových stránek a analyzátor nestrukturovaných dat, které jsou každý den analyzovány více než stovkou různých zahraničních a ruských zdrojů pro řadu klíčová slova - skupiny na sociálních sítích, blogy, mikroblogy, média určená pro informační technologie a informační bezpečnost. Pokud tyto nástroje naleznou něco, co odpovídá podmínkám vyhledávání, analytik ručně zkontroluje informace a vstoupí do databáze chyb zabezpečení.
Ovládejte chyby softwaru
Pomocí systému Vulnerability Management System mohou vývojáři kontrolovat přítomnost a stav zjištěných chyb zabezpečení v součástech svého softwaru od třetích stran.
Například v modelu Hewlett Packard Enterprise Secure Software Developer Life Cycle (SSDLC) je ústřední ovládání knihoven.
Náš systém monitoruje přítomnost zranitelných míst v paralelních verzích / verzích jednoho softwarového produktu.
Funguje to takto:
1. Vývojář nám \u200b\u200bposkytuje seznam knihoven a komponent třetích stran, které se v produktu používají.
2. Kontrolujeme denně:
b. zda existují metody k odstranění dříve objevených zranitelností.
3. Upozorníme vývojáře, pokud se stav nebo hodnocení zranitelnosti změnilo v souladu se zadaným modelem role. To znamená, že různé vývojové týmy stejné společnosti obdrží upozornění a uvidí stav zranitelnosti pouze pro produkt, na kterém pracují.
Četnost výstrah systému správy zranitelnosti je přizpůsobitelná, ale pokud je nalezena chyba zabezpečení se skóre CVSS vyšším než 7,5, vývojáři obdrží okamžitá upozornění.
Integrace s ViPNet TIAS
Hardwarový a softwarový komplex ViPNet Threat Intelligence Analytics System automaticky detekuje počítačové útoky a detekuje incidenty na základě událostí přijatých z různých zdrojů informační bezpečnost... Hlavním zdrojem událostí pro ViPNet TIAS je ViPNet IDS, který analyzuje příchozí a odchozí síťový provoz pomocí zásad rozhodovacích pravidel AM AM vyvinutých „Perspective Monitoring“. Některé podpisy jsou psány za účelem zjištění zneužití zranitelností.
Pokud ViPNet TIAS zjistí incident zabezpečení informací, při kterém byla zneužita chyba zabezpečení, pak jsou všechny informace související se zranitelností automaticky vloženy do karty incidentů z CMS, včetně metod eliminace nebo kompenzace negativního dopadu.
Systém správy incidentů také pomáhá při vyšetřování incidentů zabezpečení informací a poskytuje analytikům informace o indikátorech kompromisu a potenciálních uzlech informační infrastruktury ovlivněných incidentem.
Monitorování zranitelností v informačních systémech
Dalším případem použití systému pro správu zranitelnosti je skenování na vyžádání.
Zákazník samostatně vygeneruje seznam nainstalovaných v uzlu (AWP, server, DBMS, PAK SZI, síťový hardware) systémový a aplikační software a komponenty, přenese tento seznam do CMS a obdrží zprávu o zjištěných zranitelnostech a pravidelná oznámení o jejich stavu.
Rozdíly mezi systémem a běžnými skenery zranitelností:
- Nevyžaduje instalaci agentů monitorování na uzlech.
- Nevytváří zátěž v síti, protože samotná architektura řešení neposkytuje agenty a skenovací servery.
- Nevytváří zatížení hardwaru, protože seznam komponent je vytvořen pomocí systémových příkazů nebo odlehčeného skriptu s otevřeným zdrojovým kódem.
- Eliminuje možnost úniku informací. Potenciální monitorování nemůže spolehlivě vědět nic o fyzickém a logickém umístění nebo funkčnosti uzlu v informačním systému. Jedinou informací, která opouští kontrolovaný obvod zákazníka, je soubor txt se seznamem softwarových komponent. Obsah tohoto souboru je zkontrolován a zákazník jej nahraje do CMS.
- Aby systém fungoval, nepotřebujeme Účty na kontrolovaných stránkách. Informace shromažďuje správce webu jeho vlastním jménem.
- Bezpečná výměna informací prostřednictvím ViPNet VPN, IPsec nebo https.
Připojení ke službě správy zranitelnosti Prospective Monitoring pomáhá zákazníkovi splnit požadavek ANZ.1 „Identifikace a analýza zranitelností informační systém a okamžité odstranění nově objevených zranitelností “objednávek FSTEC Ruska č. 17 a 21. Naše společnost je držitelem licence FSTEC Ruska pro technickou ochranu důvěrných informací.
Náklady
Minimální cena je 25 000 rublů za rok pro 50 uzlů připojených k systému s platnou smlouvou o připojení k