Identifikace zranitelného softwaru na klientských počítačích. Identifikace ohroženého softwaru na klientských počítačích

Dalším způsobem, jak se na tento problém podívat, je, že společnosti musí rychle reagovat, když má aplikace zranitelnost. To vyžaduje, aby IT oddělení bylo schopno definitivně sledovat nainstalované aplikace, komponenty a opravy pomocí automatizace a standardních nástrojů. Odvětví se snaží standardizovat softwarové značky (19770-2), což jsou soubory XML nainstalované s aplikací, komponentou a/nebo patchem, které identifikují nainstalovaný software, a v případě komponenty nebo patche, které aplikace jsou součástí. z. Tagy obsahují autoritativní informace o vydavateli, informace o verzi, výpis souboru s názvem souboru, zabezpečený hash souboru a velikost, které lze použít k potvrzení, že nainstalovaná aplikace je v systému a že binární soubory nebyly upraveny třetí stranou. Tyto štítky jsou podepsané digitálně podepsané vydavatel.

Když je známa zranitelnost, IT oddělení mohou použít svůj software pro správu aktiv k okamžité identifikaci systémů se zranitelným softwarem a mohou podniknout kroky k aktualizaci systémů. Značky mohou být součástí opravy nebo aktualizace, kterou lze použít k ověření, zda je oprava nainstalována. Tímto způsobem mohou IT oddělení využívat zdroje, jako je NIST National Vulnerability Database jako nástroj pro správu svých nástrojů pro správu aktiv, takže jakmile společnost předloží zranitelnost společnosti NVD, IT může okamžitě porovnat nové zranitelnosti s jejich. Nyní.

Existuje skupina společností, které spolupracují prostřednictvím neziskové organizace IEEE / ISTO s názvem TagVault.org (www.tagvault.org) s vládou USA na standardní implementaci ISO 19770-2, která umožní tuto úroveň automatizace. V určitém okamžiku budou pravděpodobně vyžadovány tyto značky odpovídající této implementaci software v průběhu několika příštích let prodány vládě USA.

Nakonec je tedy dobrým zvykem nezveřejňovat informace o tom, které aplikace a konkrétní verze softwaru používáte, ale to může být obtížné, jak již bylo uvedeno dříve. Chcete se ujistit, že máte přesný a aktuální inventář softwaru, že je pravidelně porovnáván se seznamem známých zranitelností, jako je NVID od NVD, a že IT může okamžitě zasáhnout, aby hrozbu připomnělo. spolu s nejnovějšími detekčními průniky, antivirovým skenováním a dalšími metodami blokování prostředí bude přinejmenším velmi obtížné ohrozit vaše prostředí, a pokud / když se tak stane, nebude po dlouhou dobu detekováno času.

V některých případech je výskyt zranitelností způsoben používáním vývojových nástrojů různého původu, které zvyšují riziko sabotážních defektů v kódu programu.

Chyby zabezpečení se objevují kvůli přidání komponent třetích stran nebo bezplatného kódu (open source) do softwaru. Cizí kód se často používá „tak jak je“ bez pečlivé analýzy a testování zabezpečení.

Nelze vyloučit přítomnost zasvěcených programátorů v týmu, kteří do vytvářeného produktu záměrně zavádějí další nezdokumentované funkce nebo prvky.

Klasifikace zranitelností softwaru

Zranitelnosti vznikají v důsledku chyb vyskytujících se ve fázi návrhu nebo během psaní programového kódu.

V závislosti na fázi vzniku se tento typ hrozby dělí na zranitelnosti návrhu, implementace a konfigurace.

  1. Chyby v designu jsou nejtěžší odhalit a opravit. Jedná se o nepřesnosti algoritmů, záložek, nekonzistence v rozhraní mezi různé moduly nebo v protokolech interakce s hardwarem, zavedení suboptimálních technologií. Jejich odstranění je časově velmi náročný proces, mimo jiné i proto, že se mohou objevit v nesrozumitelných případech - například při překročení stanoveného objemu provozu nebo při připojení velkého množství přídavných zařízení, což komplikuje zajištění potřebné úroveň zabezpečení a vede ke vzniku způsobů, jak firewall obejít.
  2. Chyby zabezpečení se objevují ve fázi psaní programu nebo zavádění bezpečnostních algoritmů do něj. Toto je chybná organizace. výpočetní proces, syntaktické a logické vady. Existuje však riziko, že by chyba mohla vést k přetečení vyrovnávací paměti nebo jiným problémům. Jejich nalezení trvá dlouho a eliminace znamená opravit určité části strojového kódu.
  3. Chyby konfigurace hardwaru a softwaru jsou běžné. Jejich společným důvodem je nedostatečný kvalitní vývoj a chybějící testy pro správnou funkci. doplňkové funkce... Tuto kategorii lze také přiřadit jednoduchá hesla a výchozí účty zůstaly nezměněny.

Podle statistik se zranitelnosti zvláště často vyskytují v oblíbených a rozšířených produktech – desktopových a mobilních. operační systémy, prohlížeče.

Rizika používání zranitelných programů

Programy, ve kterých najdou největší počet zranitelnosti jsou nainstalovány téměř na všech počítačích. Ze strany kyberzločinců existuje přímý zájem takové nedostatky najít a napsat za ně.

Vzhledem k tomu, že od objevení zranitelnosti po zveřejnění patche (patche) uplyne dlouhá doba, je zde poměrně dost příležitostí k infekci počítačové systémy přes bezpečnostní otvory kódu. Uživateli v tomto případě stačí jednou otevřít například škodlivý PDF soubor s exploitem, po kterém útočníci získají přístup k datům.

K infekci v druhém případě dochází podle následujícího algoritmu:

  • Uživatel obdrží podle e-mailem phishingový e-mail od důvěryhodného odesílatele.
  • K dopisu je připojen soubor s exploitem.
  • Pokud se uživatel pokusí soubor otevřít, počítač se nakazí virem, trojským koněm (ransomware) nebo jiným škodlivým programem.
  • Kyberzločinci získají neoprávněný přístup do systému.
  • Cenná data se kradou.

Výzkum prováděný různými společnostmi (Kaspersky Lab, Positive Technologies) ukazuje, že téměř každá aplikace, včetně antivirů, má zranitelná místa. Proto pravděpodobnost stanovit software, obsahující nedostatky různého stupně kritičnosti, je velmi vysoká.

Pro minimalizaci počtu děr v softwaru je nutné používat SDL (Security Development Lifecycle). Technologie SDL se používá ke snížení počtu chyb v aplikacích ve všech fázích jejich tvorby a podpory. Při navrhování softwaru tedy specialisté na informační bezpečnost a programátoři simulují kybernetické hrozby, aby mohli hledat zranitelnosti... Během programování proces zahrnuje automatickými prostředky okamžité hlášení případných nedostatků. Vývojáři se snaží výrazně omezit funkcionalitu dostupnou neověřeným uživatelům, což pomáhá snížit plochu útoku.

Chcete-li minimalizovat dopad a poškození zranitelností, musíte dodržovat některá pravidla:

  • Okamžitě nainstalujte vývojáři vydané záplaty (záplaty) pro aplikace nebo (nejlépe) povolte režim automatické aktualizace.
  • Pokud je to možné, neinstalujte pochybné programy, jejichž kvalita a technická podpora klást otázky.
  • Použití speciální skenery zranitelnosti nebo specializované funkce antivirových produktů, které umožňují vyhledávat bezpečnostní chyby a v případě potřeby aktualizovat software.

V současné době bylo vyvinuto velké množství nástrojů pro automatizaci vyhledávání zranitelností programu. Tento článek se bude týkat některých z nich.

Úvod

Statická analýza kódu je softwarová analýza, která se provádí na zdrojovém kódu programů a je implementována bez skutečného spuštění studovaného programu.

Software často obsahuje různé zranitelnosti kvůli chybám v kódu programu. Chyby při vývoji programů vedou v některých situacích k selhání programu a následně k narušení normální činnosti programu: v tomto případě často dochází ke změně a poškození dat, programu nebo dokonce k zastavení systému. . Většina zranitelností je spojena s nesprávným zpracováním dat přijatých zvenčí nebo jejich nedostatečným ověřením.

K identifikaci zranitelností se používají různé nástroje, například statické analyzátory zdrojového kódu programu, jejichž přehled je uveden v tomto článku.

Klasifikace bezpečnostních zranitelností

Při porušení požadavku na správnou činnost programu na všech možných vstupních datech se stává možný vznik tzv. bezpečnostní zranitelnosti. Chyby zabezpečení mohou vést k tomu, že jeden program může být použit k překonání bezpečnostních omezení celého systému jako celku.

Klasifikace zranitelností ochrany v závislosti na softwarových chybách:

  • Přetečení zásobníku. Tato chyba zabezpečení vzniká z nedostatku kontroly nad hranicemi pole v paměti během provádění programu. Když datový paket, který je příliš velký, přeteče vyrovnávací paměť omezené velikosti, obsah cizích paměťových buněk se přepíše a program se zhroutí a skončí. Umístění vyrovnávací paměti v paměti procesu rozlišuje mezi přetečením vyrovnávací paměti v zásobníku (přetečení zásobníku zásobníku), haldou (přetečení zásobníku haldy) a oblastí statických dat (přetečení zásobníku bs).
  • Poskvrněná zranitelnost vstupu. Zranitelnost zkaženého vstupu může vzniknout, když je uživatelský vstup předán bez dostatečné kontroly interpretu nějakého externího jazyka (obvykle unixový shell nebo SQL). V tomto případě může uživatel zadat vstupní data tak, že spuštěný interpret provede příkaz, který je zcela odlišný od toho, který zamýšleli autoři zranitelného programu.
  • Chyby formátovací řetězce(zranitelnost formátovacího řetězce). Tenhle typ zranitelnost zabezpečení je podtřídou zranitelnosti poskvrněných vstupů. Dochází k němu z důvodu nedostatečné kontroly parametrů při použití formátových I/O funkcí printf, fprintf, scanf atd. standardní knihovny C. Tyto funkce berou jako jeden z parametrů znakový řetězec, který určuje formát pro vstup nebo výstup následných argumentů funkce. Pokud je uživatel schopen určit typ formátování, může tato chyba zabezpečení vzniknout v důsledku neúspěšného použití funkcí formátování řetězců.
  • Zranitelnosti v důsledku časových chyb (závodní podmínky). Problémy spojené s multitaskingem vedou k situacím nazývaným „race conditions“: program, který není navržen pro běh v prostředí multitaskingu, si může myslet, že například soubory, které používá, nemůže změnit jiný program. V důsledku toho může útočník, který včas nahradí obsah těchto pracovních souborů, přinutit program provést určité akce.

Kromě uvedených samozřejmě existují další třídy bezpečnostních zranitelností.

Přehled existujících analyzátorů

K detekci bezpečnostních slabin v programech se používají následující nástroje:

  • Dynamické debuggery. Nástroje, které umožňují ladit program během jeho provádění.
  • Statické analyzátory (statické debuggery). Nástroje, které využívají informace nashromážděné během statické analýzy programu.

Statické analyzátory indikují ta místa v programu, kde může být chyba. Tyto podezřelé fragmenty kódu mohou obsahovat chybu nebo být zcela bezpečné.

Tento článek poskytuje přehled několika existujících statických analyzátorů. Pojďme se na každou z nich podívat blíže.

Správa zranitelnosti je identifikace, hodnocení, klasifikace a výběr řešení k nápravě zranitelností. Správa zranitelnosti je založena na úložištích informací o zranitelnosti, jedním z nich je Prospective Monitoring Vulnerability Management System.

Naše řešení kontroluje vznik informací o zranitelnostech v operačních systémech (Windows, Linux / založené na Unixu), kancelářském a aplikačním softwaru, hardwarovém softwaru, nástrojích pro bezpečnost informací.

Zdroje dat

Databáze Vulnerability Management System softwaru Prospective Monitoring se automaticky aktualizuje z následujících zdrojů:

  • Databanka hrozeb informační bezpečnosti (BDU BI) FSTEC Ruska.
  • Národní databáze zranitelností (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Seznam adresátů CentOS.

K doplnění naší databáze zranitelností také používáme automatizovanou metodu. Vyvinuli jsme prohledávač webových stránek a analyzátor nestrukturovaných dat, které jsou každý den analyzovány více než stovkou různých zahraničních a ruských zdrojů pro řadu klíčová slova- skupiny v sociálních sítích, blogy, mikroblogy, média věnovaná informační technologie a zajištění bezpečnosti informací. Pokud tyto nástroje najdou něco, co odpovídá kritériím vyhledávání, analytik ručně zkontroluje informace a vstoupí do databáze zranitelnosti.

Ovládejte zranitelnosti softwaru

Pomocí systému správy zranitelností mohou vývojáři sledovat přítomnost a stav zjištěných zranitelností v komponentách jejich softwaru třetích stran.

Například v modelu Secure Software Developer Life Cycle (SSDLC) společnosti Hewlett Packard Enterprise je centrální řízení knihoven třetích stran.

Náš systém monitoruje zranitelnosti v paralelních verzích / sestaveních jednoho softwarového produktu.

Funguje to takto:

1. Vývojář nám ​​poskytne seznam knihoven a komponent třetích stran, které jsou v produktu použity.

2. Denně kontrolujeme:

b. zda existují metody k odstranění dříve objevených zranitelností.

3. Upozorníme vývojáře, pokud se stav nebo hodnocení zranitelnosti změnilo v souladu se zadaným modelem role. To znamená, že různé vývojové týmy stejné společnosti obdrží upozornění a uvidí stav zranitelnosti pouze u produktu, na kterém pracují.

Četnost výstrah systému správy zranitelností je přizpůsobitelná, ale pokud je nalezena zranitelnost se skóre CVSS vyšším než 7,5, vývojáři obdrží okamžitá upozornění.

Integrace s ViPNet TIAS

Hardwarový a softwarový komplex ViPNet Threat Intelligence Analytics System automaticky detekuje počítačové útoky a detekuje incidenty na základě událostí přijatých z různých zdrojů. informační bezpečnost... Hlavním zdrojem událostí pro ViPNet TIAS je ViPNet IDS, který analyzuje příchozí a odchozí síťový provoz pomocí základů rozhodovacích pravidel pravidel AM vyvinutých „Perspective Monitoring“. Některé podpisy jsou zapsány za účelem odhalení zneužití zranitelnosti.

Pokud ViPNet TIAS detekuje incident zabezpečení informací, ve kterém byla zneužita zranitelnost, jsou všechny informace související s touto zranitelností automaticky vloženy do karty incidentu z CMS, včetně metod eliminace nebo kompenzace negativního dopadu.

Systém řízení incidentů také pomáhá při vyšetřování incidentů informační bezpečnosti, poskytuje analytikům informace o indikátorech ohrožení a potenciálních uzlech informační infrastruktury ovlivněných incidentem.

Monitorování zranitelností v informačních systémech

Dalším případem použití systému správy zranitelnosti je skenování na vyžádání.

Zákazník si samostatně vygeneruje seznam nainstalovaných na uzlu (AWP, server, DBMS, PAK SZI, síťový hardware) systémový a aplikační software a komponenty, přenese tento seznam do CMS a obdrží zprávu o zjištěných zranitelnostech a pravidelná upozornění o jejich stavu.

Rozdíly mezi systémem a běžnými skenery zranitelnosti:

  • Nevyžaduje instalaci monitorovacích agentů na uzly.
  • Nevytváří zátěž na síti, protože samotná architektura řešení neposkytuje agenty a skenovací servery.
  • Nezatěžuje hardware, protože seznam komponent tvoří systémové příkazy nebo lehký open source skript.
  • Eliminuje možnost úniku informací. Případné sledování nemůže spolehlivě zjistit nic o fyzickém a logickém umístění nebo funkčnosti uzlu v informačním systému. Jedinou informací, která opouští kontrolovaný perimetr zákazníka, je txt soubor se seznamem softwarových komponent. Tento soubor je zkontrolován na obsah a nahrán do CMS samotným zákazníkem.
  • Aby systém fungoval, nepotřebujeme účty na kontrolovaných uzlech. Informace shromažďuje správce webu svým vlastním jménem.
  • Bezpečná výměna informací přes ViPNet VPN, IPsec nebo https.

Napojení na službu Prospective Monitoring management zranitelnosti pomáhá zákazníkovi splnit požadavek ANZ.1 „Identifikace a analýza zranitelností informační systém a rychlé odstranění nově objevených zranitelností “zakázek FSTEC Ruska č. 17 a 21. Naše společnost je držitelem licence FSTEC Ruska na technickou ochranu důvěrných informací.

Cena

Minimální náklady jsou 25 000 rublů ročně za 50 uzlů připojených k systému s platnou smlouvou o připojení k

Při spuštění inteligentní skenování Program Avast zkontroluje váš počítač, zda neobsahuje následující typy problémů a poté navrhne řešení.

  • Viry: soubory obsahující Škodlivý kód které mohou ovlivnit bezpečnost a výkon vašeho PC.
  • Zranitelný software: programy vyžadující aktualizaci, které mohou vetřelci použít k přístupu do vašeho systému.
  • Rozšíření prohlížeče s špatná pověst : Rozšíření prohlížeče, která se obvykle instalují bez vašeho vědomí a mají vliv na výkon systému.
  • Slabá hesla: hesla, která se používají pro přístup k více než jednomu účet na internetu a lze je snadno napadnout nebo kompromitovat.
  • Síťové hrozby : zranitelnosti ve vaší síti, které by mohly umožnit útoky na vaši síť síťová zařízení a router.
  • Problémy s výkonem: objekty ( nepotřebné soubory a aplikace, problémy související s nastavením), které mohou rušit váš počítač.
  • Konfliktní antiviry: Antivirový software nainstalovaný na vašem PC s Avastem. Několik antivirový software zpomaluje váš počítač a snižuje účinnost antivirové ochrany.

Poznámka... Některé problémy s inteligentním skenováním mohou vyžadovat samostatnou licenci. Detekci zbytečných typů problémů lze deaktivovat.

Řešení nalezených problémů

Zelená značka zaškrtnutí vedle oblasti skenování znamená, že s ní nebyly nalezeny žádné problémy. Červený křížek znamená, že skenování identifikovalo jeden nebo více souvisejících problémů.

Chcete-li zobrazit konkrétní informace o nalezených problémech, klikněte Vše vyřešit... Smart Scan zobrazuje podrobnosti o každém problému a nabízí možnost jej okamžitě opravit kliknutím na Rozhodni se nebo to udělejte později stisknutím Tento krok přeskočte.

Poznámka... Protokoly antivirové kontroly lze zobrazit v historii kontroly, ke které se dostanete výběrem Ochrana Antivirus.

Správa nastavení Smart Scan

Chcete-li změnit nastavení chytrého skenování, vyberte Nastavení Obecné Smart Scan a označte, pro který z uvedených typů problémů chcete provést inteligentní skenování.

  • Viry
  • Zastaralý software
  • Doplňky prohlížeče
  • Síťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonem
  • Slabá hesla

Všechny typy problémů jsou ve výchozím nastavení povoleny. Chcete-li zastavit kontrolu konkrétního problému při provádění chytrého skenování, klikněte na posuvník Zahrnuta vedle typu problému, aby se změnil stav na Vypnutý.

Klikněte Nastavení vedle nápisu Vyhledávání virů pro změnu nastavení skenování.