Jelenleg számos eszközt fejlesztettek ki a programok sebezhetőségeinek keresésének automatizálására. Ez a cikk ezek közül néhányat tárgyal.

Bevezetés

A statikus kódelemzés az elemzés szoftver, amely a programok forráskódján készül, és a vizsgált program tényleges végrehajtása nélkül kerül megvalósításra.

A szoftverek gyakran tartalmaznak különféle sebezhetőségeket a programkód hibái miatt. A programfejlesztés során elkövetett hibák bizonyos helyzetekben a program meghibásodásához vezetnek, és ennek következtében a program normál működése zavart okoz: ez gyakran változásokat, adatkárosodást, a program vagy akár a rendszer leállását eredményezi. A legtöbb sérülékenység a kívülről kapott adatok helytelen feldolgozásával, vagy nem kellően szigorú ellenőrzésével kapcsolatos.

A sérülékenységek azonosítására különféle eszközöket használnak, például a program forráskódjának statikus elemzőit, amelyek áttekintését ebben a cikkben adjuk meg.

A biztonsági rések osztályozása

Ha megsértik azt a követelményt, hogy a program minden lehetséges bemeneti adaton megfelelően működjön, akkor lehetségessé válik az úgynevezett biztonsági rések megjelenése. A biztonsági rések azt jelenthetik, hogy egy program segítségével egy egész rendszer biztonsági korlátait le lehet küzdeni.

A biztonsági rések osztályozása szoftverhibáktól függően:

• Puffer túlcsordulás. Ez a sérülékenység abból adódik, hogy a program végrehajtása során nem lehet ellenőrizni a memóriában lévő határokon kívüli tömböket. Ha egy túl nagy adatcsomag túlcsordul a korlátozott méretű pufferen, a külső memóriahelyek tartalma felülíródik, ami a program összeomlását és kilépését okozza. A puffernek a folyamatmemóriában elfoglalt helye alapján megkülönböztetünk puffertúlcsordulást a veremben (verem puffer túlcsordulás), kupacban (heap puffer túlcsordulás) és statikus adatterületen (bss puffer túlcsordulás).
• Tömörített beviteli sebezhetőség. Elrontott beviteli biztonsági rések akkor fordulhatnak elő, ha a felhasználói bevitel megfelelő ellenőrzés nélkül kerül át valamilyen külső nyelv (általában Unix shell vagy SQL) értelmezőjébe. Ebben az esetben a felhasználó megadhatja a bemeneti adatokat úgy, hogy az elindított interpreter a sérülékeny program szerzőitől teljesen eltérő parancsot hajtson végre.
• Hibák formátumú karakterláncok(formátumkarakterlánc sebezhetősége). Az ilyen típusú biztonsági rés a "sérült bevitel" sebezhetőség egy alosztálya. Ez a paraméterek elégtelen szabályozása miatt fordul elő a C szabványkönyvtár printf, fprintf, scanf stb. formátumú I/O függvényeinek használatakor. Ezek a függvények az egyik paraméterükként egy karakterláncot vesznek fel, amely meghatározza a következő függvényargumentumok bemeneti vagy kimeneti formátumát. Ha a felhasználó megadhatja a formázás típusát, akkor ez a sérülékenység a karakterlánc formázási funkciók sikertelen használatából eredhet.
• Szinkronizálási hibák (versenykörülmények) következtében fellépő sebezhetőségek. A többfeladatos munkavégzéssel kapcsolatos problémák „versenyfeltételeknek” nevezett helyzetekhez vezetnek: egy olyan program, amelyet nem multitasking környezetben való futtatásra terveztek, azt hiheti, hogy például az általa használt fájlokat egy másik program nem tudja megváltoztatni. Ennek eredményeként egy támadó, aki azonnal lecseréli ezeknek a munkafájloknak a tartalmát, bizonyos műveletek végrehajtására kényszerítheti a programot.

Természetesen a felsoroltakon kívül vannak más osztályú biztonsági rések is.

Meglévő analizátorok áttekintése

A következő eszközöket használják a programok biztonsági résének észlelésére:

• Dinamikus hibakeresők. Eszközök, amelyek lehetővé teszik a program hibakeresését annak végrehajtása során.
• Statikus elemzők (statikus hibakeresők). Olyan eszközök, amelyek egy program statikus elemzése során felhalmozott információkat használnak fel.

A statikus analizátorok a program azon helyeire mutatnak rá, ahol hiba található. Ezek a gyanús kódrészletek vagy hibát tartalmazhatnak, vagy teljesen ártalmatlanok.

Ez a cikk áttekintést nyújt több létező statikus analizátorról. Nézzük meg mindegyiket közelebbről.

Indításkor intelligens szkennelés Az Avast a következő típusú problémákat keresi a számítógépén, majd megoldásokat javasol rájuk.

• Vírusok: fájlok, amelyek tartalmazzák rosszindulatú kód, ami hatással lehet számítógépe biztonságára és teljesítményére.
• Sebezhető szoftverek: Frissítést igénylő programok, amelyek segítségével a támadók hozzáférhetnek a rendszeréhez.
• Böngészőbővítmények rossz hírnévvel: Általában az Ön tudta nélkül telepített böngészőbővítmények, amelyek befolyásolják a rendszer teljesítményét.
• Gyenge jelszavak: Jelszavak, amelyeket egynél több online fiók eléréséhez használnak, és amelyek könnyen feltörhetők vagy feltörhetők.
• Hálózati fenyegetések: A hálózat biztonsági rései, amelyek támadásokat tehetnek lehetővé a hálózati eszközök és az útválasztó ellen.
• Teljesítményproblémák: tárgyak ( szükségtelen fájlokatés alkalmazások, beállításokkal kapcsolatos problémák), amelyek zavarhatják a számítógép működését.
• Ütköző víruskeresők: az Avast segítségével számítógépére telepített víruskereső programok. Több darab elérhetősége víruskereső programok lelassítja a számítógépet és csökkenti a vírusvédelem hatékonyságát.

Jegyzet. A Smart Scan által észlelt bizonyos problémák megoldásához külön licencre lehet szükség. A szükségtelen problématípusok észlelése a -ban letiltható.

Az észlelt problémák megoldása

A szkennelési terület melletti zöld pipa azt jelzi, hogy nem találtunk problémát az adott területen. A piros kereszt azt jelenti, hogy a vizsgálat egy vagy több kapcsolódó problémát azonosított.

Az észlelt problémák konkrét részleteinek megtekintéséhez kattintson a gombra Mindent megoldani. A Smart Scan az egyes problémák részleteit jeleníti meg, és lehetőséget kínál a probléma azonnali kijavítására az elemre kattintva Dönt, vagy kattintson rá később Hagyja ki ezt a lépést.

Jegyzet. A víruskereső vizsgálati naplók a vizsgálati előzményekben láthatók, amelyek a kiválasztással érhetők el Védelem víruskereső.

A Smart Scan beállítások kezelése

A Smart Scan beállításainak módosításához válassza a lehetőséget Beállítások Általános Smart Scanés adja meg, hogy az alábbi problématípusok közül melyikre szeretne intelligens keresést végezni.

• Vírusok
• Elavult szoftver
• Böngésző kiegészítők
• Hálózati fenyegetések
• Kompatibilitási problémák
• Teljesítményproblémák
• Gyenge jelszavak

Alapértelmezés szerint minden problématípus engedélyezve van. Ha le szeretné állítani egy adott probléma keresését az Intelligens keresés futtatásakor, kattintson a csúszkára Beleértve a probléma típusa mellett, hogy az állapotot erre módosítsa Le.

Kattintson Beállítások elemre felirat mellett Víruskeresés a szkennelési beállítások módosításához.

A sérülékenységkezelés a sebezhetőségek kezelésére szolgáló megoldás azonosítása, értékelése, osztályozása és kiválasztása. A sérülékenységkezelés alapja a sebezhetőségekkel kapcsolatos információk tárháza, amelyek egyike a „Forward Monitoring” sebezhetőségkezelő rendszer.

Megoldásunk szabályozza a biztonsági résekre vonatkozó információk megjelenését operációs rendszerek(Windows, Linux/Unix alapú), irodai és alkalmazási szoftverek, hardver szoftverek, információbiztonsági eszközök.

Adatforrások

A Perspective Monitoring Software Vulnerability Management System adatbázisa automatikusan frissül a következő forrásokból:

• Az információbiztonsági veszélyek adatbankja (BDU BI) az oroszországi FSTEC.
• National Vulnerability Database (NVD) NIST.
• Red Hat Bugzilla.
• Debian Security Bug Tracker.
• CentOS levelezőlista.

A sebezhetőségi adatbázisunk frissítéséhez automatizált módszert is használunk. Kifejlesztettünk egy weblapbejárót és egy strukturálatlan adatelemzőt, amely minden nap több mint száz különböző külföldi és orosz forrást elemzi számos kulcsszóra - közösségi hálózatok csoportjai, blogok, mikroblogok, médiák. információs technológia valamint az információbiztonság biztosítása. Ha ezek az eszközök találnak valamit, ami megfelel a keresési feltételeknek, az elemző manuálisan ellenőrzi az információkat, és beírja a sebezhetőségi adatbázisba.

Szoftver sebezhetőség figyelése

A sérülékenységkezelő rendszer segítségével a fejlesztők figyelemmel kísérhetik szoftvereik harmadik féltől származó összetevőiben észlelt sérülékenységek jelenlétét és állapotát.

Például a vállalat Secure Software Developer Life Cycle (SSDLC) modelljében Hewlett Packard A harmadik féltől származó könyvtárak vállalati ellenőrzése központi helyet foglal el.

Rendszerünk figyeli a sebezhetőségek jelenlétét ugyanazon szoftvertermék párhuzamos verzióiban/felépítéseiben.

Ez így működik:

1. A fejlesztő átadja nekünk a termékben használt, harmadik féltől származó könyvtárak és összetevők listáját.

2. Naponta ellenőrizzük:

b. megjelentek-e módszerek a korábban felfedezett sebezhetőségek kiküszöbölésére.

3. Értesítjük a fejlesztőt, ha a biztonsági rés állapota vagy pontozása megváltozott, a megadott példaképnek megfelelően. Ez azt jelenti, hogy ugyanannak a cégnek a különböző fejlesztőcsapatai csak azon termék esetében kapnak figyelmeztetést, és látják a sebezhetőségek állapotát, amelyeken dolgoznak.

A sérülékenységkezelő rendszer riasztási gyakorisága konfigurálható, de ha 7,5-nél nagyobb CVSS-pontszámú sebezhetőséget észlel, a fejlesztők azonnali figyelmeztetést kapnak.

Integráció a ViPNet TIAS-szal

A ViPNet Threat Intelligence Analytics rendszer szoftver- és hardverrendszere automatikusan észleli a számítógépes támadásokat és azonosítja az incidenseket a különböző forrásokból kapott események alapján információbiztonság. A ViPNet TIAS eseményeinek fő forrása a ViPNet IDS, amely a Perspective Monitoring által kifejlesztett AM Rules döntési szabálybázis segítségével elemzi a bejövő és kimenő hálózati forgalmat. Egyes aláírások a sebezhetőségek kihasználásának észlelésére vannak írva.

Ha a ViPNet TIAS olyan információbiztonsági incidenst észlel, amelyben egy biztonsági rést kihasználtak, akkor a sérülékenységgel kapcsolatos összes információ, beleértve a negatív hatás kiküszöbölésére vagy kompenzálására szolgáló módszereket is, automatikusan bekerül az incidenskártyára a felügyeleti rendszerből.

Az incidenskezelő rendszer az információbiztonsági incidensek kivizsgálását is segíti, információval látja el az elemzőket a kompromittálódás mutatóiról és az incidens által érintett potenciális információs infrastruktúra csomópontokról.

Az információs rendszerek sérülékenységeinek megfigyelése

A sebezhetőségkezelő rendszer használatának másik forgatókönyve az igény szerinti vizsgálat.

Az ügyfél önállóan, beépített eszközök vagy általunk kifejlesztett szkript segítségével generál egy listát a csomópontra telepített rendszer- és alkalmazásszoftverekről, komponensekről (munkaállomás, szerver, DBMS, szoftvercsomag, hálózati berendezés), ezt a listát továbbítja a vezérlőnek. rendszert, és jelentést kap az észlelt sebezhetőségekről, valamint időszakos értesítéseket ezek állapotáról.

A rendszer és a gyakori sebezhetőség-ellenőrzők közötti különbségek:

• Nem szükséges megfigyelő ügynökök telepítése a csomópontokra.
• Nem okoz terhelést a hálózaton, mivel maga a megoldás architektúrája nem biztosít vizsgálati ügynököket és kiszolgálókat.
• Nem okoz terhelést a berendezésen, mivel az összetevők listáját rendszerparancsok vagy könnyű nyílt forráskódú szkript hozzák létre.
• Kiküszöböli az információszivárgás lehetőségét. A „leendő monitorozás” nem tud megbízhatóan semmit megtudni egy csomópont fizikai és logikai elhelyezkedéséről vagy funkcionális céljáról az információs rendszerben. Az egyetlen információ, amely elhagyja az ügyfél ellenőrzött kerületét, egy txt fájl a szoftverösszetevők listájával. Ennek a fájlnak a tartalmát az ügyfél maga ellenőrzi, és feltölti a vezérlőrendszerbe.
• A rendszer működéséhez nincs szükségünk számlákat vezérelt csomópontokon. Az információkat a webhely adminisztrátora gyűjti a saját nevében.
• Biztonságos információcsere ViPNet VPN-en, IPsec-en vagy https-en keresztül.

A Perspective Monitoring sebezhetőségkezelő szolgáltatáshoz való csatlakozás segít az ügyfélnek teljesíteni az ANZ.1 „Sebezhetőségek azonosítása és elemzése” követelményét. információs rendszerés az újonnan azonosított sebezhetőségek azonnali kiküszöbölése" az orosz FSTEC 17. és 21. számú megrendelése. Cégünk az orosz FSTEC engedélyese a bizalmas információk műszaki védelmével kapcsolatos tevékenységekre.

Ár

Minimális költség - évi 25 000 rubel a rendszerhez csatlakoztatott 50 csomópont esetén, ha van érvényes csatlakozási szerződés