Šobrīd ir izstrādāts liels skaits rīku, lai automatizētu programmu ievainojamību meklēšanu. Šajā rakstā tiks apspriesti daži no tiem.

Ievads

Statiskā koda analīze ir analīze programmatūra, kas tiek ražots uz programmu pirmkoda un tiek realizēts bez pētāmās programmas faktiskās izpildes.

Programmatūra bieži satur dažādas ievainojamības programmas koda kļūdu dēļ. Programmas izstrādes laikā pieļautās kļūdas dažās situācijās noved pie programmas atteices, līdz ar to tiek traucēta normāla programmas darbība: tas bieži izraisa izmaiņas un datu bojājumus, apturot programmu vai pat sistēmu. Lielākā daļa ievainojamību ir saistītas ar nepareizu no ārpuses saņemto datu apstrādi vai nepietiekami stingru to pārbaudi.

Lai identificētu ievainojamības, tiek izmantoti dažādi rīki, piemēram, programmas pirmkoda statiskie analizatori, kuru pārskats ir sniegts šajā rakstā.

Drošības ievainojamību klasifikācija

Ja tiek pārkāpta prasība programmai pareizi darboties ar visiem iespējamajiem ievades datiem, kļūst iespējama tā saukto drošības ievainojamību parādīšanās. Drošības ievainojamības var nozīmēt, ka vienu programmu var izmantot, lai pārvarētu visas sistēmas drošības ierobežojumus.

Drošības ievainojamību klasifikācija atkarībā no programmatūras kļūdām:

• Bufera pārpilde. Šī ievainojamība rodas tāpēc, ka programmas izpildes laikā netiek kontrolēta masīva ārpus robežām atmiņā. Ja pārāk liela datu pakete pārpilda ierobežota izmēra buferi, ārējās atmiņas vietu saturs tiek pārrakstīts, izraisot programmas avāriju un iziešanu. Pamatojoties uz bufera atrašanās vietu procesa atmiņā, bufera pārpildes izšķir stekā (steka bufera pārpilde), kaudzītē (kaudzes bufera pārpilde) un statisko datu apgabalā (bss bufera pārpilde).
• Bojāta ievades ievainojamība. Bojātas ievades ievainojamības var rasties, ja lietotāja ievade tiek nodota kādas ārējas valodas (parasti Unix apvalka vai SQL) tulkam bez pietiekamas kontroles. Šajā gadījumā lietotājs var norādīt ievades datus tā, lai palaists tulks izpildītu komandu, kas pilnīgi atšķiras no tās, ko paredzējuši ievainojamās programmas autori.
• Kļūdas formāta virknes(formāta virknes ievainojamība). Šāda veida drošības ievainojamība ir "bojātas ievades" ievainojamības apakšklase. Tas rodas nepietiekamas parametru kontroles dēļ, izmantojot C standarta bibliotēkas formāta I/O funkcijas printf, fprintf, scanf utt. Šo funkciju viens no parametriem izmanto rakstzīmju virkni, kas norāda turpmāko funkciju argumentu ievades vai izvades formātu. Ja lietotājs var norādīt formatējuma veidu, šī ievainojamība var rasties neveiksmīgas virkņu formatēšanas funkciju izmantošanas rezultātā.
• Neaizsargātības sinhronizācijas kļūdu rezultātā (sacīkšu apstākļi). Problēmas, kas saistītas ar vairākuzdevumu veikšanu, rada situācijas, ko sauc par "sacīkšu nosacījumiem": programma, kas nav paredzēta darbībai daudzuzdevumu vidē, var uzskatīt, ka, piemēram, tās izmantotos failus nevar mainīt cita programma. Rezultātā uzbrucējs, kurš laikus nomaina šo darba failu saturu, var piespiest programmu veikt noteiktas darbības.

Protams, papildus uzskaitītajām ir arī citas drošības ievainojamību klases.

Esošo analizatoru apskats

Lai atklātu programmu drošības ievainojamības, tiek izmantoti šādi rīki:

• Dinamiskie atkļūdotāji. Rīki, kas ļauj atkļūdot programmu tās izpildes laikā.
• Statiskie analizatori (statiskie atkļūdotāji). Rīki, kas izmanto programmas statiskās analīzes laikā uzkrāto informāciju.

Statiskie analizatori norāda uz tām vietām programmā, kur var atrasties kļūda. Šīs aizdomīgās koda daļas var saturēt kļūdu vai būt pilnīgi nekaitīgas.

Šajā rakstā ir sniegts pārskats par vairākiem esošajiem statiskajiem analizatoriem. Apskatīsim katru no tiem tuvāk.

Uzsākšanas laikā viedā skenēšana Avast pārbaudīs, vai jūsu datorā nav šādu problēmu veidu, un pēc tam ieteiks tām risinājumus.

• Vīrusi: faili, kas satur ļaunprātīgs kods, kas var ietekmēt datora drošību un veiktspēju.
• Neaizsargāta programmatūra: programmas, kuras ir jāatjaunina un kuras var izmantot uzbrucēji, lai piekļūtu jūsu sistēmai.
• Pārlūka paplašinājumi ar sliktu reputāciju: pārlūkprogrammas paplašinājumi, kas parasti tiek instalēti bez jūsu ziņas un ietekmē sistēmas veiktspēju.
• Vājas paroles: paroles, kas tiek izmantotas, lai piekļūtu vairākiem tiešsaistes kontiem un kuras var viegli uzlauzt vai apdraudēt.
• Tīkla draudi: jūsu tīkla ievainojamības, kas var pieļaut uzbrukumus jūsu tīkla ierīcēm un maršrutētājam.
• Veiktspējas problēmas: objekti ( nevajadzīgos failus un lietojumprogrammas, problēmas, kas saistītas ar iestatījumiem), kas var traucēt datora darbību.
• Konfliktējoši antivīrusi: datorā instalētas pretvīrusu programmas, izmantojot Avast. Vairāku pieejamība pretvīrusu programmas palēnina datora darbību un samazina pretvīrusu aizsardzības efektivitāti.

Piezīme. Lai atrisinātu noteiktas problēmas, ko atklāj Smart Scan, var būt nepieciešama atsevišķa licence. Nevajadzīgu problēmu veidu noteikšanu var atspējot .

Atklāto problēmu risināšana

Zaļa atzīme blakus skenēšanas apgabalam norāda, ka ar šo apgabalu nav atrastas nekādas problēmas. Sarkanais krusts nozīmē, ka skenēšana ir atklājusi vienu vai vairākas saistītas problēmas.

Lai skatītu konkrētu informāciju par konstatētajām problēmām, noklikšķiniet uz Atrisiniet visu. Smart Scan parāda detalizētu informāciju par katru problēmu un piedāvā iespēju to nekavējoties novērst, noklikšķinot uz vienuma Izlemiet vai dariet to vēlāk, noklikšķinot Izlaidiet šo soli.

Piezīme. Pretvīrusu skenēšanas žurnālus var redzēt skenēšanas vēsturē, kurai var piekļūt, atlasot Aizsardzība pretvīrusu.

Pārvaldiet viedās skenēšanas iestatījumus

Lai mainītu Smart Scan iestatījumus, atlasiet Iestatījumi Vispārīgi Smart Scan un norādiet, kuram no tālāk norādītajiem problēmu veidiem vēlaties veikt viedo skenēšanu.

• Vīrusi
• Novecojusi programmatūra
• Pārlūka papildinājumi
• Tīkla draudi
• Saderības problēmas
• Veiktspējas problēmas
• Vājas paroles

Pēc noklusējuma visi problēmu veidi ir iespējoti. Lai pārtrauktu konkrētas problēmas pārbaudi, palaižot viedo skenēšanu, noklikšķiniet uz slīdņa Iekļauts blakus problēmas veidam, lai tas mainītu stāvokli uz Izslēgts.

Noklikšķiniet Iestatījumi blakus uzrakstam Vīrusu skenēšana lai mainītu skenēšanas iestatījumus.

Ievainojamības pārvaldība ir ievainojamību novēršanas risinājuma identificēšana, novērtēšana, klasificēšana un izvēle. Ievainojamības pārvaldības pamats ir informācijas par ievainojamībām krātuves, no kurām viena ir ievainojamības pārvaldības sistēma “Forward Monitoring”.

Mūsu risinājums kontrolē informācijas parādīšanos par ievainojamībām operētājsistēmas(Windows, Linux/Unix bāzes), biroja un lietojumprogrammatūra, aparatūras programmatūra, informācijas drošības rīki.

Datu avoti

Perspektīvās uzraudzības programmatūras ievainojamības pārvaldības sistēmas datu bāze tiek automātiski atjaunināta no šādiem avotiem:

• Krievijas informācijas drošības apdraudējumu datu banka (BDU BI) FSTEC.
• Nacionālā neaizsargātības datubāze (NVD) NIST.
• Red Hat Bugzilla.
• Debian drošības kļūdu izsekotājs.
• CentOS adresātu saraksts.

Mēs izmantojam arī automatizētu metodi, lai atjauninātu mūsu ievainojamību datubāzi. Mēs esam izstrādājuši tīmekļa lapu rāpuļprogrammu un nestrukturētu datu parsētāju, kas katru dienu analizē vairāk nekā simts dažādu ārvalstu un Krievijas avotu vairākiem atslēgvārdiem - grupām sociālajos tīklos, emuāros, mikroemuāros, medijos, kas veltīti informācijas tehnoloģijas un informācijas drošības nodrošināšana. Ja šie rīki atrod kaut ko, kas atbilst meklēšanas kritērijiem, analītiķis manuāli pārbauda informāciju un ievada to ievainojamības datu bāzē.

Programmatūras ievainojamības uzraudzība

Izmantojot ievainojamības pārvaldības sistēmu, izstrādātāji var pārraudzīt atklāto ievainojamību esamību un statusu savas programmatūras trešās puses komponentos.

Piemēram, uzņēmuma Secure Software Developer Life Cycle (SSDLC) modelī Hewlett Packard Trešo pušu bibliotēku uzņēmuma kontrole ieņem galveno vietu.

Mūsu sistēma uzrauga ievainojamību klātbūtni viena un tā paša programmatūras produkta paralēlajās versijās/būvējumos.

Tas darbojas šādi:

1. Izstrādātājs mums nodrošina produktā izmantoto trešo pušu bibliotēku un komponentu sarakstu.

2. Mēs katru dienu pārbaudām:

b. vai ir parādījušās metodes iepriekš atklāto ievainojamību novēršanai.

3. Mēs paziņojam izstrādātājam, ja ir mainījies ievainojamības statuss vai vērtējums, saskaņā ar norādīto lomu modeli. Tas nozīmē, ka viena un tā paša uzņēmuma dažādas izstrādes komandas saņems brīdinājumus un redzēs ievainojamības statusu tikai tam produktam, pie kura strādā.

Ievainojamības pārvaldības sistēmas brīdinājumu biežums ir konfigurējams, taču, ja tiek atklāta ievainojamība ar CVSS punktu skaitu, kas lielāks par 7,5, izstrādātāji saņems tūlītēju brīdinājumu.

Integrācija ar ViPNet TIAS

ViPNet Threat Intelligence Analytics sistēmas programmatūra un aparatūras sistēma automātiski nosaka datoru uzbrukumus un identificē incidentus, pamatojoties uz notikumiem, kas saņemti no dažādiem avotiem. informācijas drošība. Galvenais ViPNet TIAS notikumu avots ir ViPNet IDS, kas analizē ienākošo un izejošo tīkla trafiku, izmantojot AM Rules lēmumu noteikumu bāzi, ko izstrādājusi Perspective Monitoring. Daži paraksti ir rakstīti, lai atklātu ievainojamību izmantošanu.

Ja ViPNet TIAS konstatē informācijas drošības incidentu, kurā tika izmantota ievainojamība, tad visa ar ievainojamību saistītā informācija, tostarp negatīvās ietekmes novēršanas vai kompensācijas metodes, tiek automātiski ievadīta incidenta kartē no pārvaldības sistēmas.

Incidentu pārvaldības sistēma palīdz arī informācijas drošības incidentu izmeklēšanā, sniedzot analītiķiem informāciju par kompromisa rādītājiem un iespējamiem incidenta ietekmētajiem informācijas infrastruktūras mezgliem.

Informācijas sistēmu ievainojamību klātbūtnes uzraudzība

Vēl viens ievainojamības pārvaldības sistēmas izmantošanas scenārijs ir skenēšana pēc pieprasījuma.

Klients patstāvīgi, izmantojot iebūvētos rīkus vai mūsu izstrādāto skriptu, ģenerē sistēmas un lietojumprogrammatūras un mezglā instalēto komponentu sarakstu (darbstacija, serveris, DBVS, programmatūras pakotne, tīkla aprīkojums), nosūta šo sarakstu vadībai. sistēma un saņem ziņojumu par atklātajām ievainojamībām un periodiskus paziņojumus par to statusu.

Atšķirības starp sistēmu un parastajiem ievainojamības skeneriem:

• Nav nepieciešama uzraudzības aģentu uzstādīšana mezglos.
• Nerada tīkla slodzi, jo pati risinājuma arhitektūra nenodrošina skenēšanas aģentus un serverus.
• Nerada iekārtu slodzi, jo komponentu sarakstu veido sistēmas komandas vai viegls atvērtā pirmkoda skripts.
• Novērš informācijas noplūdes iespēju. “Perspektīvā uzraudzība” nevar droši uzzināt neko par mezgla fizisko un loģisko atrašanās vietu vai funkcionālo mērķi informācijas sistēmā. Vienīgā informācija, kas atstāj klienta kontrolēto perimetru, ir txt fails ar programmatūras komponentu sarakstu. Klients pats pārbauda šī faila saturu un to augšupielādē kontroles sistēmā.
• Lai sistēma darbotos, mums tas nav vajadzīgs konti kontrolētos mezglos. Informāciju savā vārdā savāc vietnes administrators.
• Droša informācijas apmaiņa, izmantojot ViPNet VPN, IPsec vai https.

Savienojums ar Perspective Monitoring ievainojamību pārvaldības pakalpojumu palīdz klientam izpildīt ANZ.1 prasību “Ievainojamību identificēšana un analīze informācijas sistēma un operatīva jaunatklāto ievainojamību novēršana” Krievijas FSTEC rīkojumu Nr. 17 un 21. Mūsu uzņēmums ir Krievijas FSTEC licences īpašnieks darbībām, kas saistītas ar konfidenciālas informācijas tehnisko aizsardzību.

Cena

Minimālās izmaksas - 25 000 rubļu gadā par 50 mezgliem, kas pievienoti sistēmai, ja ir spēkā esošs līgums par pieslēgšanos