ამჟამად შემუშავებულია უამრავი ინსტრუმენტი პროგრამის დაუცველობის ძიების ავტომატიზაციისთვის. ეს სტატია განიხილავს ზოგიერთ მათგანს.

შესავალი

სტატიკური კოდის ანალიზი არის ანალიზი პროგრამული უზრუნველყოფა, რომელიც წარმოებულია პროგრამების საწყის კოდზე და ხორციელდება შესწავლილი პროგრამის ფაქტობრივი შესრულების გარეშე.

პროგრამული უზრუნველყოფა ხშირად შეიცავს სხვადასხვა დაუცველობას პროგრამის კოდში შეცდომის გამო. პროგრამის შემუშავებისას დაშვებული შეცდომები ზოგიერთ სიტუაციაში იწვევს პროგრამის უკმარისობას და, შესაბამისად, ირღვევა პროგრამის ნორმალური ფუნქციონირება: ეს ხშირად იწვევს მონაცემების ცვლილებას და დაზიანებას, პროგრამის ან თუნდაც სისტემის გაჩერებას. დაუცველობის უმეტესობა დაკავშირებულია გარედან მიღებული მონაცემების არასწორ დამუშავებასთან ან მის არასაკმარის მკაცრ გადამოწმებასთან.

დაუცველობის იდენტიფიცირებისთვის გამოიყენება სხვადასხვა ხელსაწყოები, მაგალითად, პროგრამის წყაროს კოდის სტატიკური ანალიზატორები, რომელთა მიმოხილვა მოცემულია ამ სტატიაში.

უსაფრთხოების დაუცველობის კლასიფიკაცია

როდესაც დარღვეულია ყველა შესაძლო შეყვანის მონაცემზე პროგრამის სწორად მუშაობის მოთხოვნა, შესაძლებელი ხდება ე.წ. უსაფრთხოების ხარვეზების გამოჩენა. უსაფრთხოების დაუცველობა შეიძლება ნიშნავს, რომ ერთი პროგრამის გამოყენება შესაძლებელია მთელი სისტემის უსაფრთხოების შეზღუდვების დასაძლევად.

უსაფრთხოების დაუცველობის კლასიფიკაცია პროგრამული შეცდომების მიხედვით:

• ბუფერის გადინება. ეს დაუცველობა წარმოიქმნება პროგრამის შესრულების დროს მეხსიერებაში საზღვრებს გარეთ მასივის კონტროლის არარსებობის გამო. როდესაც მონაცემთა ძალიან დიდი პაკეტი ჭარბობს შეზღუდული ზომის ბუფერს, მეხსიერების გარე მდებარეობის შიგთავსი იწერება, რაც იწვევს პროგრამის ავარიას და გამოსვლას. პროცესის მეხსიერებაში ბუფერის მდებარეობიდან გამომდინარე, ბუფერული გადადინება განასხვავებენ დასტას (სტაკის ბუფერული გადადინება), გროვაზე (გროვის ბუფერული გადადინება) და სტატიკური მონაცემთა არეზე (bss ბუფერული გადადინება).
• დაზიანებული შეყვანის დაუცველობა. გაფუჭებული შეყვანის ხარვეზები შეიძლება მოხდეს, როდესაც მომხმარებლის შეყვანა გადაეცემა რომელიმე გარე ენის თარჯიმანს (ჩვეულებრივ, Unix shell ან SQL) საკმარისი კონტროლის გარეშე. ამ შემთხვევაში, მომხმარებელს შეუძლია მიუთითოს შეყვანის მონაცემები ისე, რომ გაშვებული თარჯიმანი შეასრულებს სრულიად განსხვავებულ ბრძანებას დაუცველი პროგრამის ავტორების მიერ განზრახული.
• შეცდომები ფორმატის სტრიქონები(სტრიქონის ფორმატის დაუცველობა). უსაფრთხოების ამ ტიპის დაუცველობა არის "დაზიანებული შეყვანის" დაუცველობის ქვეკლასი. ეს ხდება პარამეტრების არასაკმარისი კონტროლის გამო C სტანდარტული ბიბლიოთეკის I/O ფუნქციების printf, fprintf, scanf და ა.შ. ფორმატის გამოყენებისას. ეს ფუნქციები ერთ-ერთ პარამეტრად იღებენ სიმბოლოების სტრიქონს, რომელიც განსაზღვრავს შემდგომი ფუნქციის არგუმენტების შეყვანის ან გამომავალი ფორმატს. თუ მომხმარებელს შეუძლია დააკონკრეტოს ფორმატირების ტიპი, ეს დაუცველობა შეიძლება იყოს სიმებიანი ფორმატირების ფუნქციების წარუმატებელი გამოყენების შედეგად.
• დაუცველობა სინქრონიზაციის შეცდომების შედეგად (რასის პირობები). მრავალამოცანებთან დაკავშირებული პრობლემები იწვევს სიტუაციებს, რომელსაც ეწოდება "რბოლის პირობები": პროგრამა, რომელიც არ არის შექმნილი მრავალამოცანულ გარემოში გასაშვებად, შეიძლება თვლიდეს, რომ, მაგალითად, მის მიერ გამოყენებული ფაილები არ შეიძლება შეიცვალოს სხვა პროგრამით. შედეგად, თავდამსხმელს, რომელიც დროულად ცვლის ამ სამუშაო ფაილების შინაარსს, შეუძლია აიძულოს პროგრამა შეასრულოს გარკვეული მოქმედებები.

რა თქმა უნდა, ჩამოთვლილთა გარდა, არსებობს უსაფრთხოების დაუცველობის სხვა კლასებიც.

არსებული ანალიზატორების მიმოხილვა

შემდეგი ინსტრუმენტები გამოიყენება პროგრამებში უსაფრთხოების დაუცველობის აღმოსაჩენად:

• დინამიური გამართვები. ინსტრუმენტები, რომლებიც საშუალებას გაძლევთ გამართოთ პროგრამა მისი შესრულების დროს.
• სტატიკური ანალიზატორები (სტატიკური გამართვები). ინსტრუმენტები, რომლებიც იყენებენ პროგრამის სტატიკური ანალიზის დროს დაგროვილ ინფორმაციას.

სტატიკური ანალიზატორები მიუთითებენ პროგრამის იმ ადგილებზე, სადაც შეიძლება იყოს შეცდომა. კოდის ეს საეჭვო ნაწილები შეიძლება შეიცავდეს შეცდომას ან იყოს სრულიად უვნებელი.

ამ სტატიაში მოცემულია რამდენიმე არსებული სტატიკური ანალიზატორის მიმოხილვა. მოდით უფრო ახლოს მივხედოთ თითოეულ მათგანს.

გაშვებისას ჭკვიანი სკანირება Avast შეამოწმებს თქვენს კომპიუტერს შემდეგი ტიპის პრობლემებზე და შემდეგ შესთავაზებს მათ გადაწყვეტას.

• ვირუსები: ფაილები შეიცავს მავნე კოდი, რამაც შეიძლება გავლენა მოახდინოს თქვენი კომპიუტერის უსაფრთხოებაზე და მუშაობაზე.
• დაუცველი პროგრამული უზრუნველყოფა: პროგრამები, რომლებიც საჭიროებენ განახლებას და შეიძლება გამოიყენონ თავდამსხმელებმა თქვენს სისტემაზე წვდომის მისაღებად.
• ბრაუზერის გაფართოებები ცუდი რეპუტაციით: ბრაუზერის გაფართოებები, რომლებიც ჩვეულებრივ დაინსტალირებულია თქვენი ცოდნის გარეშე და გავლენას ახდენს სისტემის მუშაობაზე.
• სუსტი პაროლები: პაროლები, რომლებიც გამოიყენება ერთზე მეტ ონლაინ ანგარიშზე წვდომისთვის და შეიძლება ადვილად გატეხილი ან გატეხილი იყოს.
• ქსელის საფრთხეები: დაუცველობა თქვენს ქსელში, რამაც შეიძლება დაუშვას თავდასხმები თქვენს ქსელურ მოწყობილობებზე და როუტერზე.
• შესრულების საკითხები: ობიექტები ( არასაჭირო ფაილებიდა აპლიკაციები, პარამეტრებთან დაკავშირებული პრობლემები), რამაც შეიძლება ხელი შეუშალოს კომპიუტერის მუშაობას.
• კონფლიქტური ანტივირუსები: თქვენს კომპიუტერზე დაინსტალირებული ანტივირუსული პროგრამები Avast-ით. რამდენიმე ხელმისაწვდომობა ანტივირუსული პროგრამებიანელებს თქვენს კომპიუტერს და ამცირებს ანტივირუსული დაცვის ეფექტურობას.

შენიშვნა. Smart Scan-ის მიერ აღმოჩენილი გარკვეული პრობლემები შეიძლება საჭიროებდეს ცალკე ლიცენზიას მოსაგვარებლად. პრობლემის არასაჭირო ტიპების გამოვლენა შეიძლება გამორთოთ .

აღმოჩენილი პრობლემების გადაჭრა

სკანირების ზონის გვერდით მწვანე გამშვები ნიშანი მიუთითებს, რომ ამ ზონაში პრობლემები არ აღმოჩენილა. წითელი ჯვარი ნიშნავს, რომ სკანირებამ გამოავლინა ერთი ან მეტი დაკავშირებული პრობლემა.

აღმოჩენილი პრობლემების შესახებ კონკრეტული დეტალების სანახავად დააწკაპუნეთ მოაგვარეთ ყველაფერი. სმარტ სკანირება აჩვენებს დეტალებს თითოეული საკითხის შესახებ და გთავაზობთ მისი დაუყოვნებლივ გამოსწორების ვარიანტს პუნქტზე დაწკაპუნებით გადაწყვიტეან გააკეთეთ მოგვიანებით დაწკაპუნებით გამოტოვეთ ეს ნაბიჯი.

შენიშვნა. ანტივირუსული სკანირების ჟურნალები შეგიძლიათ ნახოთ სკანირების ისტორიაში, რომლებზეც წვდომა შეგიძლიათ არჩევით ანტივირუსული დაცვა.

მართეთ ჭკვიანი სკანირების პარამეტრები

Smart Scan პარამეტრების შესაცვლელად აირჩიეთ ზოგადი ჭკვიანი სკანირების პარამეტრებიდა მიუთითეთ ქვემოთ ჩამოთვლილი პრობლემების რომელი ტიპისთვის გსურთ გონიერი სკანირება.

• ვირუსები
• მოძველებული პროგრამული უზრუნველყოფა
• ბრაუზერის დანამატები
• ქსელის საფრთხეები
• თავსებადობის საკითხები
• შესრულების საკითხები
• სუსტი პაროლები

ნაგულისხმევად, ყველა ტიპის პრობლემა ჩართულია. Smart Scan-ის გაშვებისას კონკრეტული პრობლემის შემოწმების შესაჩერებლად დააწკაპუნეთ სლაიდერზე შედისპრობლემის ტიპის გვერდით, რათა ის ცვლის მდგომარეობას გამორთულია.

დააწკაპუნეთ პარამეტრებიწარწერის გვერდით ვირუსების სკანირებასკანირების პარამეტრების შესაცვლელად.

მოწყვლადობის მენეჯმენტი არის მოწყვლადობის აღმოსაფხვრელად გამოსავლის იდენტიფიკაცია, შეფასება, კლასიფიკაცია და შერჩევა. მოწყვლადობის მენეჯმენტის საფუძველია მოწყვლადობის შესახებ ინფორმაციის საცავი, რომელთაგან ერთ-ერთია მოწყვლადობის მართვის სისტემა „Forward Monitoring“.

ჩვენი გადაწყვეტა აკონტროლებს ინფორმაციის გამოჩენას მოწყვლადობის შესახებ ოპერაციული სისტემები(Windows, Linux/Unix-ზე დაფუძნებული), საოფისე და აპლიკაციის პროგრამული უზრუნველყოფა, აპარატურის პროგრამული უზრუნველყოფა, ინფორმაციის უსაფრთხოების ინსტრუმენტები.

მონაცემთა წყაროები

პერსპექტიული მონიტორინგის პროგრამული უზრუნველყოფის დაუცველობის მართვის სისტემის მონაცემთა ბაზა ავტომატურად განახლდება შემდეგი წყაროებიდან:

• ინფორმაციული უსაფრთხოების საფრთხეების მონაცემთა ბანკი (BDU BI) რუსეთის FSTEC.
• ეროვნული დაუცველობის მონაცემთა ბაზა (NVD) NIST.
• წითელი ქუდი ბუგზილა.
• Debian Security Bug Tracker.
• CentOS საფოსტო სია.

ჩვენ ასევე ვიყენებთ ავტომატიზირებულ მეთოდს ჩვენი დაუცველობის მონაცემთა ბაზის განახლებისთვის. ჩვენ შევიმუშავეთ ვებ გვერდის მცოცავი და არასტრუქტურირებული მონაცემთა პარსერი, რომელიც ყოველდღიურად აანალიზებს ასზე მეტ სხვადასხვა უცხოურ და რუსულ წყაროს რამდენიმე საკვანძო სიტყვისთვის - ჯგუფები სოციალურ ქსელებში, ბლოგებში, მიკრობლოგებში, მედიის მიძღვნილ მედიაში. საინფორმაციო ტექნოლოგიებიდა ინფორმაციის უსაფრთხოების უზრუნველყოფა. თუ ეს ხელსაწყოები იპოვის რაღაცას, რომელიც ემთხვევა საძიებო კრიტერიუმებს, ანალიტიკოსი ხელით ამოწმებს ინფორმაციას და შეაქვს მას დაუცველობის მონაცემთა ბაზაში.

პროგრამული უზრუნველყოფის დაუცველობის მონიტორინგი

დაუცველობის მართვის სისტემის გამოყენებით, დეველოპერებს შეუძლიათ აკონტროლონ აღმოჩენილი დაუცველობის არსებობა და სტატუსი მათი პროგრამული უზრუნველყოფის მესამე მხარის კომპონენტებში.

მაგალითად, კომპანიის Secure Software Developer Life Cycle (SSDLC) მოდელში Hewlett Packardცენტრალური ადგილი უჭირავს მესამე მხარის ბიბლიოთეკების საწარმო კონტროლს.

ჩვენი სისტემა აკონტროლებს დაუცველობის არსებობას იმავე პროგრამული პროდუქტის პარალელურ ვერსიებში/ნაგებობაში.

მუშაობს ასე:

1. დეველოპერი გვაწვდის მესამე მხარის ბიბლიოთეკებისა და კომპონენტების სიას, რომლებიც გამოიყენება პროდუქტში.

2. ყოველდღიურად ვამოწმებთ:

ბ. გაჩნდა თუ არა მეთოდები ადრე აღმოჩენილი დაუცველობის აღმოსაფხვრელად.

3. ჩვენ ვაცნობებთ დეველოპერს, თუ შეიცვალა დაუცველობის სტატუსი ან ქულა, მითითებული როლური მოდელის შესაბამისად. ეს ნიშნავს, რომ ერთი და იმავე კომპანიის სხვადასხვა დეველოპერული გუნდი მიიღებს სიგნალებს და დაინახავს მოწყვლადობის სტატუსს მხოლოდ იმ პროდუქტისთვის, რომელზეც ისინი მუშაობენ.

დაუცველობის მართვის სისტემის გაფრთხილების სიხშირე კონფიგურირებადია, მაგრამ თუ დაუცველობა გამოვლინდა CVSS ქულით 7.5-ზე მეტი, დეველოპერები მიიღებენ დაუყოვნებლივ გაფრთხილებას.

ინტეგრაცია ViPNet TIAS-თან

ViPNet Threat Intelligence Analytics System პროგრამული და აპარატურის სისტემა ავტომატურად ამოიცნობს კომპიუტერულ შეტევებს და იდენტიფიცირებს ინციდენტებს სხვადასხვა წყაროდან მიღებული მოვლენების საფუძველზე. ინფორმაციის უსაფრთხოება. ViPNet TIAS-ის მოვლენების მთავარი წყაროა ViPNet IDS, რომელიც აანალიზებს შემომავალ და გამავალ ქსელის ტრაფიკს AM Rules გადაწყვეტილების წესების ბაზის გამოყენებით, რომელიც შემუშავებულია Perspective Monitoring-ის მიერ. ზოგიერთი ხელმოწერა იწერება მოწყვლადობის ექსპლუატაციის გამოსავლენად.

თუ ViPNet TIAS აღმოაჩენს ინფორმაციული უსაფრთხოების ინციდენტს, რომელშიც მოხდა დაუცველობის ექსპლუატაცია, მაშინ დაუცველობასთან დაკავშირებული ყველა ინფორმაცია, უარყოფითი ზემოქმედების აღმოფხვრის ან კომპენსაციის მეთოდების ჩათვლით, ავტომატურად შეიტანება ინციდენტის ბარათში მართვის სისტემიდან.

ინციდენტების მართვის სისტემა ასევე ეხმარება ინფორმაციული უსაფრთხოების ინციდენტების გამოძიებაში, ანალიტიკოსებს აწვდის ინფორმაციას კომპრომისის ინდიკატორებისა და ინციდენტის შედეგად დაზარალებული პოტენციური საინფორმაციო ინფრასტრუქტურის კვანძების შესახებ.

ინფორმაციულ სისტემებში მოწყვლადობის არსებობის მონიტორინგი

დაუცველობის მართვის სისტემის გამოყენების კიდევ ერთი სცენარი არის მოთხოვნის სკანირება.

მომხმარებელი დამოუკიდებლად ქმნის, ჩაშენებული ხელსაწყოების ან ჩვენს მიერ შემუშავებული სკრიპტის გამოყენებით, კვანძზე დაინსტალირებული სისტემური და აპლიკაციის პროგრამული უზრუნველყოფის და კომპონენტების სიას (სამუშაო სადგური, სერვერი, DBMS, პროგრამული პაკეტი, ქსელური აღჭურვილობა), გადასცემს ამ სიას კონტროლს. სისტემა და იღებს ანგარიშს აღმოჩენილი დაუცველობის შესახებ და პერიოდულ შეტყობინებებს მათი სტატუსის შესახებ.

განსხვავებები სისტემასა და საერთო დაუცველობის სკანერებს შორის:

• არ საჭიროებს კვანძებზე მონიტორინგის აგენტების დაყენებას.
• არ ქმნის დატვირთვას ქსელში, რადგან თავად გადაწყვეტის არქიტექტურა არ უზრუნველყოფს სკანირების აგენტებსა და სერვერებს.
• არ ქმნის დატვირთვას მოწყობილობაზე, რადგან კომპონენტების სია იქმნება სისტემის ბრძანებებით ან მსუბუქი ღია კოდის სკრიპტით.
• გამორიცხავს ინფორმაციის გაჟონვის შესაძლებლობას. „პერსპექტიული მონიტორინგი“ ვერაფერს ვერ გაიგებს საინფორმაციო სისტემაში კვანძის ფიზიკური და ლოგიკური მდებარეობის ან ფუნქციური მიზნის შესახებ. ერთადერთი ინფორმაცია, რომელიც ტოვებს მომხმარებლის კონტროლირებად პერიმეტრს, არის txt ფაილი პროგრამული უზრუნველყოფის კომპონენტების სიით. ეს ფაილი მოწმდება კონტენტზე და აიტვირთება კონტროლის სისტემაში თავად მომხმარებლის მიერ.
• სისტემის მუშაობისთვის ჩვენ არ გვჭირდება ანგარიშებიკონტროლირებად კვანძებზე. ინფორმაციას აგროვებს საიტის ადმინისტრატორი მისი სახელით.
• უსაფრთხო ინფორმაციის გაცვლა ViPNet VPN, IPsec ან https-ის საშუალებით.

დაუცველობის მართვის სერვისთან Perspective Monitoring-თან დაკავშირება ეხმარება მომხმარებელს შეასრულოს ANZ.1 მოთხოვნა „დაუცველობის იდენტიფიკაცია და ანალიზი საინფორმაციო სისტემადა ახლად გამოვლენილი დაუცველობის სწრაფი აღმოფხვრა" რუსეთის FSTEC-ის ბრძანებები No. 17 და 21. ჩვენი კომპანია არის რუსეთის FSTEC-ის ლიცენზიატი კონფიდენციალური ინფორმაციის ტექნიკურ დაცვასთან დაკავშირებული საქმიანობისთვის.

ფასი

მინიმალური ღირებულება - 25,000 რუბლი წელიწადში 50 კვანძისთვის, რომელიც დაკავშირებულია სისტემასთან, თუ არსებობს მოქმედი კონტრაქტი.