Actualmente, se han desarrollado una gran cantidad de herramientas para automatizar la búsqueda de vulnerabilidades de programas. Este artículo discutirá algunos de ellos.

Introducción

El análisis de código estático es análisis. software, que se produce sobre el código fuente de los programas y se implementa sin la ejecución real del programa en estudio.

El software suele contener varias vulnerabilidades debido a errores en el código del programa. Los errores cometidos durante el desarrollo del programa en algunas situaciones conducen al fallo del programa y, en consecuencia, se interrumpe el funcionamiento normal del programa: esto a menudo resulta en cambios y daños a los datos, deteniendo el programa o incluso el sistema. La mayoría de las vulnerabilidades están asociadas con el procesamiento incorrecto de los datos recibidos del exterior o con una verificación insuficientemente estricta de los mismos.

Para identificar vulnerabilidades, se utilizan varias herramientas, por ejemplo, analizadores estáticos del código fuente del programa, cuya descripción general se ofrece en este artículo.

Clasificación de vulnerabilidades de seguridad.

Cuando se viola el requisito de que un programa funcione correctamente con todos los datos de entrada posibles, es posible que aparezcan las llamadas vulnerabilidades de seguridad. Las vulnerabilidades de seguridad pueden significar que se puede utilizar un programa para superar las limitaciones de seguridad de todo un sistema.

Clasificación de vulnerabilidades de seguridad en función de errores de software:

• Desbordamiento del búfer. Esta vulnerabilidad se produce debido a una falta de control sobre los límites de la matriz en la memoria durante la ejecución del programa. Cuando un paquete de datos demasiado grande desborda el búfer de tamaño limitado, el contenido de las ubicaciones de memoria extrañas se sobrescribe, lo que provoca que el programa se bloquee y se cierre. Según la ubicación del búfer en la memoria del proceso, los desbordamientos del búfer se distinguen en la pila (desbordamiento del búfer de pila), el montón (desbordamiento del búfer del montón) y el área de datos estáticos (desbordamiento del búfer bss).
• Vulnerabilidad de entrada contaminada. Las vulnerabilidades de entrada estropeadas pueden ocurrir cuando la entrada del usuario se pasa sin control suficiente al intérprete de algún lenguaje externo (generalmente un shell Unix o un lenguaje SQL). En este caso, el usuario puede especificar los datos de entrada de tal manera que el intérprete iniciado ejecute un comando completamente diferente al previsto por los autores del programa vulnerable.
• Errores cadenas de formato(vulnerabilidad de cadena de formato). Este tipo de vulnerabilidad de seguridad es una subclase de la vulnerabilidad de "entrada corrupta". Ocurre debido a un control insuficiente de los parámetros cuando se utilizan las funciones de formato de E/S printf, fprintf, scanf, etc. de la biblioteca estándar C. Estas funciones toman como uno de sus parámetros una cadena de caracteres que especifica el formato de entrada o salida de los argumentos de función posteriores. Si el usuario puede especificar el tipo de formato, esta vulnerabilidad podría deberse al uso incorrecto de funciones de formato de cadenas.
• Vulnerabilidades como resultado de errores de sincronización (condiciones de carrera). Los problemas asociados con la multitarea conducen a situaciones llamadas "condiciones de carrera": un programa que no está diseñado para ejecutarse en un entorno multitarea puede creer que, por ejemplo, los archivos que utiliza no pueden ser modificados por otro programa. Como resultado, un atacante que reemplace el contenido de estos archivos de trabajo de manera oportuna puede obligar al programa a realizar ciertas acciones.

Por supuesto, además de las enumeradas, existen otras clases de vulnerabilidades de seguridad.

Revisión de analizadores existentes.

Las siguientes herramientas se utilizan para detectar vulnerabilidades de seguridad en los programas:

• Depuradores dinámicos. Herramientas que permiten depurar un programa durante su ejecución.
• Analizadores estáticos (depuradores estáticos). Herramientas que utilizan información acumulada durante el análisis estático de un programa.

Los analizadores estáticos señalan aquellos lugares del programa donde se puede ubicar un error. Estos fragmentos de código sospechosos pueden contener un error o ser completamente inofensivos.

Este artículo proporciona una descripción general de varios analizadores estáticos existentes. Echemos un vistazo más de cerca a cada uno de ellos.

Al iniciar escaneo inteligente Avast comprobará su PC para detectar los siguientes tipos de problemas y luego sugerirá soluciones para ellos.

• Virus: archivos que contienen código malicioso, lo que puede afectar la seguridad y el rendimiento de su PC.
• software vulnerable: Programas que requieren actualización y que pueden ser utilizados por atacantes para obtener acceso a su sistema.
• Extensiones de navegador con mala reputación: Extensiones del navegador que generalmente se instalan sin su conocimiento y afectan el rendimiento del sistema.
• Contraseñas débiles: Contraseñas que se utilizan para acceder a más de una cuenta en línea y que pueden piratearse o verse comprometidas fácilmente.
• Amenazas de red: Vulnerabilidades en su red que podrían permitir ataques a sus dispositivos de red y enrutador.
• Problemas de rendimiento: objetos ( archivos innecesarios y aplicaciones, problemas relacionados con la configuración) que pueden interferir con el funcionamiento del PC.
• Antivirus en conflicto: programas antivirus instalados en tu PC con Avast. Disponibilidad de varios programas antivirus ralentiza su PC y reduce la eficacia de la protección antivirus.

Nota. Ciertos problemas detectados por Smart Scan pueden requerir una licencia separada para resolverse. La detección de tipos de problemas innecesarios se puede desactivar en .

Resolver problemas detectados

Una marca de verificación verde junto al área de escaneo indica que no se encontraron problemas en esa área. Una cruz roja significa que el escaneo ha identificado uno o más problemas relacionados.

Para ver detalles específicos sobre los problemas detectados, haga clic en resolver todo. Smart Scan muestra detalles de cada problema y ofrece la opción de solucionarlo inmediatamente haciendo clic en el elemento Decidir, o hazlo más tarde haciendo clic Salta este paso.

Nota. Los registros de análisis antivirus se pueden ver en el historial de análisis, al que se puede acceder seleccionando Antivirus de protección.

Administrar la configuración de escaneo inteligente

Para cambiar la configuración de Smart Scan, seleccione Configuración General Escaneo inteligente y especifique cuál de los siguientes tipos de problemas desea buscar en el análisis inteligente.

• Virus
• Software obsoleto
• Complementos del navegador
• Amenazas de red
• Problemas de compatibilidad
• Problemas de rendimiento
• Contraseñas débiles

De forma predeterminada, todos los tipos de problemas están habilitados. Para dejar de buscar un problema específico al ejecutar un Smart Scan, haga clic en el control deslizante Incluido junto al tipo de problema para que cambie el estado a Apagado.

Hacer clic Ajustes al lado de la inscripción Escaneo de virus para cambiar la configuración de escaneo.

La gestión de vulnerabilidades es la identificación, evaluación, clasificación y selección de una solución para abordar las vulnerabilidades. La base de la gestión de vulnerabilidades son los depósitos de información sobre vulnerabilidades, uno de los cuales es el sistema de gestión de vulnerabilidades de “supervisión directa”.

Nuestra solución controla la aparición de información sobre vulnerabilidades en sistemas operativos(basado en Windows, Linux/Unix), software de oficina y aplicaciones, software de hardware, herramientas de seguridad de la información.

Fuentes de datos

La base de datos del sistema de gestión de vulnerabilidades del software Perspective Monitoring se actualiza automáticamente desde las siguientes fuentes:

• Banco de datos de amenazas a la seguridad de la información (BDU BI) FSTEC de Rusia.
• Base de datos nacional de vulnerabilidad (NVD) NIST.
• Bugzilla de sombrero rojo.
• Rastreador de errores de seguridad de Debian.
• Lista de correo de CentOS.

También utilizamos un método automatizado para actualizar nuestra base de datos de vulnerabilidades. Hemos desarrollado un rastreador de páginas web y un analizador de datos no estructurados que cada día analiza más de cien fuentes diferentes extranjeras y rusas en busca de una serie de palabras clave: grupos en redes sociales, blogs, microblogs, medios dedicados a tecnologías de la información y garantizar la seguridad de la información. Si estas herramientas encuentran algo que coincide con los criterios de búsqueda, el analista verifica manualmente la información y la ingresa en la base de datos de vulnerabilidades.

Monitoreo de vulnerabilidades de software

Al utilizar el sistema de gestión de vulnerabilidades, los desarrolladores pueden monitorear la presencia y el estado de las vulnerabilidades detectadas en componentes de terceros de su software.

Por ejemplo, en el modelo Secure Software Developer Life Cycle (SSDLC) de la empresa Hewlett-Packard El control empresarial de las bibliotecas de terceros ocupa un lugar central.

Nuestro sistema monitorea la presencia de vulnerabilidades en versiones/compilaciones paralelas del mismo producto de software.

Funciona así:

1. El desarrollador nos proporciona una lista de bibliotecas y componentes de terceros que se utilizan en el producto.

2. Comprobamos diariamente:

b. si han aparecido métodos para eliminar vulnerabilidades descubiertas previamente.

3. Notificamos al desarrollador si el estado o la puntuación de la vulnerabilidad ha cambiado, de acuerdo con el modelo de rol especificado. Esto significa que diferentes equipos de desarrollo de una misma empresa recibirán alertas y verán el estado de las vulnerabilidades sólo del producto en el que están trabajando.

La frecuencia de alerta del sistema de gestión de vulnerabilidades es configurable, pero si se detecta una vulnerabilidad con una puntuación CVSS superior a 7,5, los desarrolladores recibirán una alerta inmediata.

Integración con ViPNet TIAS

El sistema de software y hardware ViPNet Threat Intelligence Analytics System detecta automáticamente ataques informáticos e identifica incidentes basándose en eventos recibidos de diversas fuentes. seguridad de la información. La principal fuente de eventos para ViPNet TIAS es ViPNet IDS, que analiza el tráfico de red entrante y saliente utilizando la base de reglas de decisión AM Rules desarrollada por Perspective Monitoring. Algunas firmas están escritas para detectar la explotación de vulnerabilidades.

Si ViPNet TIAS detecta un incidente de seguridad de la información en el que se aprovechó una vulnerabilidad, entonces toda la información relacionada con la vulnerabilidad, incluidos los métodos para eliminar o compensar el impacto negativo, se ingresa automáticamente en la tarjeta de incidente del sistema de gestión.

El sistema de gestión de incidentes también ayuda en la investigación de incidentes de seguridad de la información, proporcionando a los analistas información sobre indicadores de compromiso y posibles nodos de infraestructura de información afectados por el incidente.

Seguimiento de la presencia de vulnerabilidades en los sistemas de información.

Otro escenario para utilizar un sistema de gestión de vulnerabilidades es el escaneo bajo demanda.

El cliente genera de forma independiente, utilizando herramientas integradas o un script desarrollado por nosotros, una lista de software y componentes del sistema y de la aplicación instalados en el nodo (estación de trabajo, servidor, DBMS, paquete de software, equipo de red), transmite esta lista al control sistema y recibe un informe sobre las vulnerabilidades detectadas y notificaciones periódicas sobre su estado.

Diferencias entre el Sistema y los escáneres de vulnerabilidad comunes:

• No requiere instalación de agentes de monitoreo en los nodos.
• No crea una carga en la red, ya que la arquitectura de la solución en sí no proporciona agentes ni servidores de escaneo.
• No crea una carga en el equipo, ya que la lista de componentes se crea mediante comandos del sistema o un script ligero de código abierto.
• Elimina la posibilidad de fuga de información. El “monitoreo prospectivo” no puede aprender nada de manera confiable sobre la ubicación física y lógica o el propósito funcional de un nodo en el sistema de información. La única información que sale del perímetro controlado del cliente es un archivo txt con una lista de componentes de software. El propio cliente comprueba el contenido de este archivo y lo carga en el sistema de control.
• Para que el sistema funcione no necesitamos cuentas en nodos controlados. La información es recopilada por el administrador del sitio en su propio nombre.
• Intercambio seguro de información a través de ViPNet VPN, IPsec o https.

La conexión al servicio de gestión de vulnerabilidades de Perspective Monitoring ayuda al cliente a cumplir con el requisito ANZ.1 “Identificación y análisis de vulnerabilidades sistema de información y rápida eliminación de vulnerabilidades recientemente identificadas” de las órdenes FSTEC de Rusia No. 17 y 21. Nuestra empresa es licenciataria de FSTEC de Rusia para actividades relacionadas con la protección técnica de información confidencial.

Precio

Costo mínimo: 25.000 rublos por año para 50 nodos conectados al sistema si existe un contrato válido para la conexión a