Nalezen zranitelný software. Správa zranitelnosti

Dalším způsobem, jak se na tento problém dívat, je, že společnosti musí rychle reagovat, když má aplikace chybu zabezpečení. To vyžaduje, aby IT oddělení mohlo definitivně sledovat nainstalované aplikace, komponenty a opravy pomocí automatizace a standardních nástrojů. Snahou odvětví je standardizovat softwarové značky (19770-2), což jsou soubory XML nainstalované s aplikací, komponentou nebo opravou, které identifikují nainstalovaný software, a v případě komponenty nebo opravy, o kterou aplikaci se jedná část. Značky obsahují autoritativní informace o vydavateli, informace o verzi, seznam souborů s názvem souboru, bezpečnou hodnotou hash souboru a velikostí, kterými lze potvrdit, že nainstalovaná aplikace je v systému a že binární soubory nebyly změněny třetinou večírek. Tyto štítky jsou podepsané digitálně podepsáno vydavatel.

Pokud je známá chyba zabezpečení, mohou IT oddělení pomocí svého softwaru pro správu aktiv okamžitě identifikovat systémy se zranitelným softwarem a mohou podniknout kroky k aktualizaci systémů. Značky mohou být součástí opravy nebo aktualizace, kterou lze použít k ověření, že je oprava nainstalována. Tímto způsobem mohou IT oddělení využívat zdroje, jako je NIST National Vulnerability Database, jako nástroj ke správě svých nástrojů pro správu aktiv, takže jakmile společnost předloží NVD zranitelnost, může IT okamžitě porovnat nové zranitelnosti s jejich. Nyní.

Existuje skupina společností pracujících prostřednictvím neziskového IEEE / ISTO s názvem TagVault.org (www.tagvault.org) s vládou USA na standardní implementaci ISO 19770-2, která umožní tuto úroveň automatizace. V určitém okamžiku budou tyto značky odpovídající této implementaci pravděpodobně povinné u softwaru prodávaného vládě USA v určitém okamžiku v příštích několika letech.

Nakonec je tedy dobrým zvykem nezveřejňovat informace o tom, které aplikace a konkrétní verze softwaru používáte, ale to může být obtížné, jak bylo uvedeno výše. Chcete se ujistit, že máte přesný a aktuální inventář softwaru, který je pravidelně porovnáván se seznamem známých zranitelností, jako je NVID od NVD, a že IT může okamžitě reagovat na připomenutí hrozby. s nejnovějšími detekčními vniknutími, antivirovým skenováním a dalšími metodami blokování prostředí bude přinejmenším velmi obtížné ohrozit vaše prostředí, a pokud / pokud ano, nebude po dlouhou dobu detekováno.

Při spuštění inteligentní skenování program Avast zkontroluje váš počítač, zda neobsahuje následující typy problémů, a poté navrhne řešení.

  • Viry: soubory obsahující Škodlivý kódcož může ovlivnit zabezpečení a výkon vašeho počítače.
  • Zranitelný software: programy vyžadující aktualizaci, které mohou narušitelé použít k přístupu do vašeho systému.
  • Rozšíření prohlížeče s špatná pověst : Rozšíření prohlížeče, která se obvykle instalují bez vašeho vědomí a mají dopad na výkon systému.
  • Slabá hesla: Hesla, která se používají k přístupu k více než jednomu internetovému účtu a mohou být snadno hacknuta nebo prolomena.
  • Síťové hrozby : chyby zabezpečení ve vaší síti, které by mohly umožnit útoky na vaši síť síťová zařízení a router.
  • Problémy s výkonem: objekty ( nepotřebné soubory a aplikace, problémy související s nastavením), které mohou rušit váš počítač.
  • Konfliktní antiviry: Antivirový software nainstalovaný na vašem počítači pomocí Avastu. Více antivirových programů zpomaluje váš počítač a snižuje účinnost antivirové ochrany.

Poznámka... K vyřešení určitých problémů zjištěných během inteligentního skenování může být vyžadována samostatná licence. Detekce nepotřebných typů problémů může být deaktivována v.

Řešení nalezených problémů

Zelená značka vedle oblasti skenování znamená, že u ní nebyly nalezeny žádné problémy. Červený kříž znamená, že skenování identifikovalo jeden nebo více souvisejících problémů.

Chcete-li zobrazit konkrétní podrobnosti o nalezených problémech, klikněte na Vyřešit vše... Inteligentní skenování zobrazuje podrobnosti o každém problému a nabízí možnost jej okamžitě opravit kliknutím na Řešit, nebo to proveďte později stisknutím Tento krok přeskočte.

Poznámka... Protokoly antivirové kontroly lze zobrazit v historii kontroly, do které lze přistupovat výběrem Ochrana Antivirus.

Správa nastavení inteligentního skenování

Chcete-li změnit nastavení inteligentního skenování, vyberte Nastavení Obecné Inteligentní skenování a uveďte, u kterého z uvedených typů problémů chcete provést inteligentní skenování.

  • Viry
  • Zastaralý software
  • Doplňky prohlížeče
  • Síťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonem
  • Slabá hesla

Ve výchozím nastavení jsou povoleny všechny typy problémů. Chcete-li zastavit kontrolu konkrétního problému při provádění inteligentního skenování, klikněte na posuvník Zahrnuta vedle typu problému, aby se změnil stav na Vypnutý.

Klepněte na Nastavení vedle nápisu Hledání virůzměnit nastavení skenování.

V současné době bylo vyvinuto velké množství nástrojů pro automatizaci hledání zranitelností programu. Tento článek se bude zabývat některými z nich.

Úvod

Statická analýza kódu je softwarová analýza, která se provádí na zdrojovém kódu programů a je implementována bez skutečného provedení studovaného programu.

Software často obsahuje různé chyby zabezpečení způsobené chybami v programovém kódu. Chyby způsobené vývojem programů vedou v některých situacích k selhání programu a v důsledku toho je narušen normální provoz programu: v takovém případě často dochází ke změnám dat a poškození, programu nebo dokonce k zastavení systému. Většina zranitelností je spojena s nesprávným zpracováním údajů přijatých zvenčí nebo s jejich nedostatečným ověřením.

K identifikaci zranitelných míst se používají různé nástroje, například statické analyzátory zdrojového kódu programu, jejichž přehled je uveden v tomto článku.

Klasifikace bezpečnostních slabin

Když je porušen požadavek, aby program správně pracoval na všech možných vstupních datech, stane se možný vznik takzvané bezpečnostní chyby. Zranitelnosti zabezpečení mohou vést k tomu, že k překonání bezpečnostních omezení celého systému jako celku lze použít jeden program.

Klasifikace zranitelných míst v závislosti na chybách softwaru:

  • Přetečení zásobníku. Tato chyba zabezpečení vyplývá z nedostatečné kontroly nad hranicemi pole v paměti během provádění programu. Když příliš velký datový paket přetéká vyrovnávací pamětí omezené velikosti, obsah buněk cizí paměti se přepíše a program se zhroutí a ukončí. Na základě umístění vyrovnávací paměti v paměti procesu existují přetečení vyrovnávací paměti v zásobníku (přetečení vyrovnávací paměti zásobníku), haldy (přetečení vyrovnávací paměti haldy) a oblasti statických dat (přetečení vyrovnávací paměti bss).
  • Zranitelná chyba vstupu. Zranitelné chyby vstupu mohou vzniknout, když je vstup uživatele předán bez dostatečné kontroly tlumočníkovi nějakého externího jazyka (obvykle unixového prostředí nebo SQL). V takovém případě může uživatel zadat vstupní data takovým způsobem, že spuštěný tlumočník provede příkaz, který je zcela odlišný od příkazu určeného autory zranitelného programu.
  • Chyby řetězce formátu (zranitelnost formátovacího řetězce). Tenhle typ Zranitelnost zabezpečení je podtřídou zkažené chyby zabezpečení vstupu. Dochází k němu kvůli nedostatečné kontrole parametrů při použití formátových I / O funkcí printf, fprintf, scanf atd. Standardní knihovny C. Tyto funkce berou jako jeden z parametrů řetězec znaků, který určuje formát pro vstup nebo výstup následných argumentů funkce. Pokud si uživatel může formátování nastavit sám, může tato chyba zabezpečení vzniknout v důsledku neúspěšného použití funkcí formátování řetězce.
  • Zranitelnosti v důsledku chyb v časování (podmínky závodu). Problémy spojené s multitaskingem vedou k situacím, které se nazývají „závodní podmínky“: program, který není navržen pro běh v multitaskingovém prostředí, si může myslet, že například soubory, které používá, nelze změnit jiným programem. Výsledkem je, že útočník, který včas nahradí obsah těchto pracovních souborů, může program přinutit k provedení určitých akcí.

Kromě uvedených jsou samozřejmě k dispozici i další třídy chyb zabezpečení.

Přehled stávajících analyzátorů

K detekci chyb zabezpečení v programech se používají následující nástroje:

  • Dynamické ladicí programy. Nástroje, které umožňují ladit program během jeho provádění.
  • Statické analyzátory (statické ladicí programy). Nástroje, které používají informace nashromážděné během statické analýzy programu.

Statické analyzátory označují ta místa v programu, kde lze chybu najít. Tyto podezřelé části kódu mohou obsahovat chybu nebo být zcela bezpečné.

Tento článek poskytuje přehled několika existujících statických analyzátorů. Podívejme se na každou z nich blíže.

Správa zranitelnosti je identifikace, hodnocení, klasifikace a výběr řešení pro řešení zranitelných míst. Správa zranitelnosti je založena na úložištích informací o zranitelnosti, jedním z nich je Prospective Monitoring Vulnerability Management System.

Naše řešení řídí vznik informací o zranitelnostech v operační systémy (Windows, Linux / Unix), kancelářský a aplikační software, hardwarový software, nástroje pro zabezpečení informací.

Zdroje dat

Databáze systému správy zranitelnosti softwaru Prospective Monitoring se automaticky aktualizuje z následujících zdrojů:

  • Databáze ohrožení bezpečnosti informací (BDU BI) FSTEC Ruska.
  • Národní databáze zranitelnosti (NVD) NIST.
  • Red Hat Bugzilla.
  • Sledovač chyb zabezpečení Debianu.
  • Seznam adresátů CentOS.

Také používáme automatizovanou metodu k doplnění naší databáze zranitelností. Vyvinuli jsme prohledávač webových stránek a analyzátor nestrukturovaných dat, které jsou každý den analyzovány více než stovkou různých zahraničních a ruských zdrojů pro řadu klíčová slova - skupiny na sociálních sítích, blogy, mikroblogy, média určená pro informační technologie a informační bezpečnost. Pokud tyto nástroje naleznou něco, co odpovídá podmínkám vyhledávání, analytik ručně zkontroluje informace a vstoupí do databáze chyb zabezpečení.

Ovládejte chyby softwaru

Pomocí systému Vulnerability Management System mohou vývojáři kontrolovat přítomnost a stav zjištěných chyb zabezpečení v součástech svého softwaru od třetích stran.

Například v modelu Hewlett Packard Enterprise Secure Software Developer Life Cycle (SSDLC) je ovládání knihoven třetích stran ústřední.

Náš systém monitoruje přítomnost zranitelných míst v paralelních verzích / verzích jednoho softwarového produktu.

Funguje to takto:

1. Vývojář nám \u200b\u200bposkytuje seznam knihoven a komponent třetích stran, které se v produktu používají.

2. Kontrolujeme denně:

b. zda existují metody k odstranění dříve objevených zranitelností.

3. Upozorníme vývojáře, pokud se stav nebo hodnocení zranitelnosti změnilo v souladu se zadaným modelem role. To znamená, že různé vývojové týmy stejné společnosti obdrží upozornění a uvidí stav zranitelnosti pouze pro produkt, na kterém pracují.

Četnost výstrah systému správy zranitelnosti je přizpůsobitelná, ale pokud je zjištěna chyba zabezpečení se skóre CVSS vyšším než 7,5, vývojáři obdrží okamžitá upozornění.

Integrace s ViPNet TIAS

Hardwarový a softwarový komplex ViPNet Threat Intelligence Analytics System automaticky detekuje počítačové útoky a detekuje incidenty na základě událostí přijatých z různých zdrojů informační bezpečnost... Hlavním zdrojem událostí pro ViPNet TIAS je ViPNet IDS, který analyzuje příchozí a odchozí síťový provoz pomocí základů pravidel pravidel AM AM vyvinutých „Perspective Monitoring“. Některé podpisy jsou psány za účelem zjištění zneužití zranitelností.

Pokud ViPNet TIAS zjistí incident zabezpečení informací, při kterém byla zneužita chyba zabezpečení, pak jsou všechny informace související se zranitelností automaticky vloženy do karty incidentů z CMS, včetně metod eliminace nebo kompenzace negativního dopadu.

Systém správy incidentů také pomáhá při vyšetřování incidentů zabezpečení informací a poskytuje analytikům informace o indikátorech kompromisu a potenciálních uzlech informační infrastruktury ovlivněných incidentem.

Monitorování zranitelností v informačních systémech

Dalším případem použití systému pro správu zranitelnosti je skenování na vyžádání.

Zákazník samostatně vygeneruje seznam nainstalovaných v uzlu (AWP, server, DBMS, PAK SZI, síťový hardware) systémový a aplikační software a komponenty, přenese tento seznam do CMS a obdrží zprávu o zjištěných zranitelnostech a pravidelná oznámení o jejich stavu.

Rozdíly mezi systémem a běžnými skenery zranitelností:

  • Nevyžaduje instalaci agentů monitorování na uzlech.
  • Nevytváří zátěž v síti, protože samotná architektura řešení neposkytuje agenty a skenovací servery.
  • Nezatěžuje hardware, protože seznam komponent je vytvářen systémovými příkazy nebo odlehčeným open source skriptem.
  • Eliminuje možnost úniku informací. Potenciální monitorování nemůže spolehlivě vědět nic o fyzickém a logickém umístění nebo funkčnosti uzlu v informačním systému. Jedinou informací, která opouští perimetr ovládaný zákazníkem, je soubor txt se seznamem softwarových komponent. Obsah tohoto souboru je zkontrolován a zákazník jej nahraje do CMS.
  • Aby systém fungoval, nepotřebujeme účty na řízených uzlech. Informace shromažďuje správce webu jeho vlastním jménem.
  • Bezpečná výměna informací prostřednictvím ViPNet VPN, IPsec nebo https.

Připojení ke službě správy zranitelnosti Prospective Monitoring pomáhá zákazníkovi splnit požadavek ANZ.1 „Identifikace a analýza zranitelností informační systém a okamžité odstranění nově identifikovaných zranitelných míst “objednávek FSTEC Ruska, č. 17 a 21. Naše společnost je držitelem licence FSTEC Ruska pro technickou ochranu důvěrných informací.

Náklady

Minimální cena je 25 000 rublů za rok pro 50 uzlů připojených k systému s platnou smlouvou o připojení k

V některých případech je výskyt zranitelných míst způsoben použitím vývojových nástrojů různého původu, které zvyšují riziko sabotážních vad v kódu programu.

Zranitelnosti se objevují v důsledku přidání komponent třetích stran nebo bezplatného kódu (open source) do softwaru. Cizí kód se často používá „tak, jak je“, bez pečlivé analýzy a testování zabezpečení.

Jeden by neměl vylučovat přítomnost zasvěcených programátorů v týmu, kteří záměrně zavádějí další nedokumentované funkce nebo prvky do vytvářeného produktu.

Klasifikace softwarových zranitelností

Zranitelnosti vznikají v důsledku chyb, ke kterým došlo během fáze návrhu nebo při psaní softwarového kódu.

V závislosti na fázi vzniku se tento typ ohrožení dělí na chyby zabezpečení týkající se návrhu, implementace a konfigurace.

  1. Nejtěžší je odhalit a opravit chyby v návrhu. Jedná se o nepřesnosti algoritmů, záložek, nesrovnalosti v rozhraní mezi různými moduly nebo v protokolech pro interakci s hardwarem, zavedení neoptimálních technologií. Jejich eliminace je časově velmi náročný proces, a to i proto, že se mohou objevit v nejasných případech - například při překročení stanoveného objemu provozu nebo při připojení velkého počtu dalších zařízení, což komplikuje poskytování požadovaného úroveň zabezpečení a vede ke vzniku způsobů, jak obejít bránu firewall.
  2. Zranitelnosti implementace se objevují ve fázi psaní programu nebo zavádění bezpečnostních algoritmů do něj. Toto je chybná organizace výpočetní proces, syntaktické a logické vady. Existuje však riziko, že chyba může vést k přetečení vyrovnávací paměti nebo jiným problémům. Jejich nalezení trvá dlouho a odstranění znamená opravit určité části strojového kódu.
  3. Chyby konfigurace hardwaru a softwaru jsou běžné. Jejich častým důvodem je nedostatečný rozvoj kvality a nedostatek testů správného provozu. další funkce... Tuto kategorii lze také připsat jednoduchá hesla a ponechány beze změny Účty výchozí.

Podle statistik se zranitelnost obzvláště často vyskytuje v populárních a rozšířených produktech - desktopových a mobilních operačních systémech, prohlížečích.

Rizika používání zranitelných programů

Programy, ve kterých najdou největší počet chyby zabezpečení jsou nainstalovány téměř na všech počítačích. Kyberzločinci mají přímý zájem na hledání takových nedostatků a psaní pro ně.

Vzhledem k tomu, že od odhalení zranitelnosti po vydání opravy (opravy) trvá dlouhou dobu, existuje spousta příležitostí infikovat počítačové systémy prostřednictvím bezpečnostních děr v kódu. V takovém případě stačí uživateli otevřít například škodlivý soubor PDF s exploitem jednou, po kterém útočníci získají přístup k datům.

V druhém případě dochází k infekci podle následujícího algoritmu:

  • Uživatel přijímá do e-mailem phishingový e-mail od důvěryhodného odesílatele.
  • K dopisu je připojen soubor zneužití.
  • Pokud se uživatel pokusí soubor otevřít, dojde k napadení počítače virem, trojským koněm (ransomware) nebo jiným škodlivým programem.
  • Kyberzločinci získají neoprávněný přístup do systému.
  • K odcizení cenných dat.

Výzkum prováděný různými společnostmi (Kaspersky Lab, Positive Technologies) ukazuje, že v téměř jakékoli aplikaci, včetně antivirových, existují slabá místa. Proto je pravděpodobnost stanovit software, který obsahuje nedostatky různého stupně kritičnosti, je velmi vysoký.

Aby se minimalizoval počet děr v softwaru, je nutné použít SDL (Security Development Lifecycle). Technologie SDL se používá ke snížení počtu chyb v aplikacích ve všech fázích jejich vytváření a údržby. Při navrhování softwaru tedy specialisté na informační bezpečnost a programátoři simulují kybernetické hrozby za účelem hledání zranitelných míst. Během programování proces zahrnuje automatické prostředkyokamžité hlášení potenciálních nedostatků. Vývojáři se snaží výrazně omezit funkce dostupné neověřeným uživatelům, čímž se zmenší plocha útoku.

Aby se minimalizoval dopad a poškození zranitelností, je nutné dodržovat některá pravidla:

  • Okamžitě nainstalujte opravy (opravy) vydané vývojářem pro aplikace nebo (nejlépe) povolte režim automatické aktualizace.
  • Pokud je to možné, neinstalujte pochybné programy, jejichž kvalita a technická podpora vyvolávají otázky.
  • Použití speciální skenery zranitelnosti nebo specializované funkce antivirové produktykteré vám umožní vyhledat chyby zabezpečení a v případě potřeby aktualizovat software.