În prezent, un număr mare de instrumente au fost dezvoltate pentru a automatiza căutarea vulnerabilităților programelor. Acest articol va discuta unele dintre ele.

Introducere

Analiza codului static este analiza software, care este produs pe codul sursă al programelor și este implementat fără executarea efectivă a programului studiat.

Software-ul conține adesea diverse vulnerabilități din cauza erorilor din codul programului. Erorile făcute în timpul dezvoltării programului în unele situații duc la eșecul programului și, în consecință, funcționarea normală a programului este întreruptă: aceasta duce adesea la modificări și deteriorarea datelor, oprirea programului sau chiar a sistemului. Majoritatea vulnerabilităților sunt asociate cu prelucrarea incorectă a datelor primite din exterior sau cu verificarea insuficient de strictă a acestora.

Pentru a identifica vulnerabilitățile, sunt utilizate diverse instrumente, de exemplu, analizoare statice ale codului sursă al programului, a căror prezentare generală este dată în acest articol.

Clasificarea vulnerabilităților de securitate

Când este încălcată cerința ca un program să funcționeze corect pe toate datele de intrare posibile, devine posibilă apariția așa-numitelor vulnerabilități de securitate. Vulnerabilitățile de securitate pot însemna că un program poate fi utilizat pentru a depăși limitările de securitate ale unui întreg sistem.

Clasificarea vulnerabilităților de securitate în funcție de erorile software:

• Buffer overflow. Această vulnerabilitate apare din cauza lipsei de control asupra matricei în afara limitelor din memorie în timpul execuției programului. Când un pachet de date prea mare depășește tamponul de dimensiune limitată, conținutul locațiilor de memorie străine este suprascris, provocând blocarea și ieșirea programului. Pe baza locației buffer-ului în memoria de proces, depășirile de buffer se disting pe stivă (depășire buffer stivă), heap (depășire buffer heap) și zona de date statice (debordare buffer bss).
• Vulnerabilitatea de intrare contaminată. Vulnerabilitățile de intrare deteriorate pot apărea atunci când intrarea utilizatorului este transmisă interpretului unei limbi externe (de obicei un shell Unix sau SQL) fără un control suficient. În acest caz, utilizatorul poate specifica datele de intrare în așa fel încât interpretul lansat va executa o comandă complet diferită de cea intenționată de autorii programului vulnerabil.
• Erori șiruri de format(vulnerabilitatea șirului de format). Acest tip de vulnerabilitate de securitate este o subclasă a vulnerabilității „intrare corupte”. Apare din cauza controlului insuficient al parametrilor atunci când se utilizează funcțiile de format I/O printf, fprintf, scanf etc. ale bibliotecii standard C. Aceste funcții iau ca unul dintre parametrii lor un șir de caractere care specifică formatul de intrare sau de ieșire al argumentelor funcției ulterioare. Dacă utilizatorul poate specifica tipul de formatare, această vulnerabilitate ar putea rezulta din utilizarea nereușită a funcțiilor de formatare a șirurilor.
• Vulnerabilități ca urmare a erorilor de sincronizare (condiții de cursă). Problemele asociate cu multitasking duc la situații numite „condiții de cursă”: un program care nu este conceput pentru a rula într-un mediu multitasking poate crede că, de exemplu, fișierele pe care le folosește nu pot fi modificate de un alt program. Drept urmare, un atacator care înlocuiește prompt conținutul acestor fișiere de lucru poate forța programul să efectueze anumite acțiuni.

Desigur, pe lângă cele enumerate, există și alte clase de vulnerabilități de securitate.

Revizuirea analizoarelor existente

Următoarele instrumente sunt utilizate pentru a detecta vulnerabilitățile de securitate din programe:

• Depanare dinamice. Instrumente care vă permit să depanați un program în timpul execuției acestuia.
• Analizoare statice (depanatoare statice). Instrumente care utilizează informații acumulate în timpul analizei statice a unui program.

Analizoarele statice indică acele locuri din program în care poate fi localizată o eroare. Aceste bucăți de cod suspecte pot fie să conțină o eroare, fie să fie complet inofensive.

Acest articol oferă o prezentare generală a mai multor analizoare statice existente. Să aruncăm o privire mai atentă la fiecare dintre ele.

La pornire scanare inteligentă Avast va verifica computerul pentru următoarele tipuri de probleme și apoi va sugera soluții pentru acestea.

• Viruși: fișiere care conțin cod rău intenționat, care poate afecta securitatea și performanța computerului dvs.
• Software vulnerabil: Programe care necesită actualizare și pot fi folosite de atacatori pentru a obține acces la sistemul dvs.
• Extensii de browser cu o reputație proastă: extensii de browser care sunt instalate de obicei fără știrea dvs. și afectează performanța sistemului.
• Parole slabe: Parolele care sunt folosite pentru a accesa mai mult de un cont online și care pot fi ușor piratate sau compromise.
• Amenințări de rețea: Vulnerabilități din rețeaua dvs. care ar putea permite atacuri asupra dispozitivelor și routerului dvs. din rețea.
• Probleme de performanță: obiecte ( fișiere inutileși aplicații, probleme legate de setări) care pot interfera cu funcționarea computerului.
• Antivirusuri conflictuale: programe antivirus instalate pe computer cu Avast. Disponibilitatea mai multor programe antivirusîncetinește computerul și reduce eficacitatea protecției antivirus.

Nota. Anumite probleme detectate de Smart Scan pot necesita o licență separată pentru rezolvare. Detectarea tipurilor de probleme inutile poate fi dezactivată în .

Rezolvarea problemelor detectate

O bifă verde lângă zona de scanare indică faptul că nu au fost găsite probleme în zona respectivă. O cruce roșie înseamnă că scanarea a identificat una sau mai multe probleme asociate.

Pentru a vedea detalii specifice despre problemele detectate, faceți clic Rezolvați totul. Scanarea inteligentă arată detalii despre fiecare problemă și oferă opțiunea de a o remedia imediat făcând clic pe element Decide, sau faceți-o mai târziu făcând clic Sari peste acest pas.

Nota. Jurnalele de scanare antivirus pot fi văzute în istoricul scanării, care poate fi accesat selectând Protectie Antivirus.

Gestionați setările de scanare inteligentă

Pentru a modifica setările Smart Scan, selectați Setări General Smart Scanși specificați pentru care dintre următoarele tipuri de probleme doriți să faceți o scanare inteligentă.

• Viruși
• Software învechit
• Suplimente de browser
• Amenințări de rețea
• Probleme de compatibilitate
• Probleme de performanță
• Parole slabe

În mod implicit, toate tipurile de probleme sunt activate. Pentru a opri verificarea unei anumite probleme atunci când rulați o scanare inteligentă, faceți clic pe glisor Inclus lângă tipul de problemă, astfel încât să schimbe starea în Oprit.

Clic Setări lângă inscripţie Scanarea virușilor pentru a modifica setările de scanare.

Managementul vulnerabilităților este identificarea, evaluarea, clasificarea și selectarea unei soluții pentru a aborda vulnerabilitățile. Fundamentul managementului vulnerabilităților îl reprezintă depozitele de informații despre vulnerabilități, dintre care unul este Sistemul de management al vulnerabilităților „Monitorizare în avans”.

Soluția noastră controlează apariția informațiilor despre vulnerabilități în sisteme de operare(Windows, Linux/Unix), software de birou și aplicații, software hardware, instrumente de securitate a informațiilor.

Surse de date

Baza de date a Sistemului de management al vulnerabilităților software de monitorizare a perspectivei este actualizată automat din următoarele surse:

• Banca de date a amenințărilor la securitatea informațiilor (BDU BI) FSTEC din Rusia.
• National Vulnerability Database (NVD) NIST.
• Red Hat Bugzilla.
• Debian Security Bug Tracker.
• Listă de corespondență CentOS.

De asemenea, folosim o metodă automată pentru a actualiza baza noastră de date cu vulnerabilități. Am dezvoltat un crawler de pagini web și un parser de date nestructurat care analizează în fiecare zi peste o sută de surse străine și rusești diferite pentru o serie de cuvinte cheie - grupuri din rețelele sociale, bloguri, microbloguri, media dedicate tehnologia de informațieși asigurarea securității informațiilor. Dacă aceste instrumente găsesc ceva care se potrivește cu criteriile de căutare, analistul verifică manual informațiile și le introduce în baza de date a vulnerabilităților.

Monitorizarea vulnerabilității software

Folosind sistemul de management al vulnerabilităților, dezvoltatorii pot monitoriza prezența și starea vulnerabilităților detectate în componentele terțe ale software-ului lor.

De exemplu, în modelul Secure Software Developer Life Cycle (SSDLC) al companiei Hewlett Packard Controlul întreprinderii asupra bibliotecilor terțe ocupă un loc central.

Sistemul nostru monitorizează prezența vulnerabilităților în versiunile/build-urile paralele ale aceluiași produs software.

Funcționează astfel:

1. Dezvoltatorul ne oferă o listă de biblioteci și componente terțe care sunt utilizate în produs.

2. Verificăm zilnic:

b. dacă au apărut metode pentru a elimina vulnerabilitățile descoperite anterior.

3. Notificăm dezvoltatorul dacă starea sau punctajul vulnerabilității s-a schimbat, în conformitate cu modelul de rol specificat. Aceasta înseamnă că diferite echipe de dezvoltare ale aceleiași companii vor primi alerte și vor vedea starea vulnerabilităților doar pentru produsul la care lucrează.

Frecvența alertelor Sistemului de management al vulnerabilităților este configurabilă, dar dacă este detectată o vulnerabilitate cu un scor CVSS mai mare de 7,5, dezvoltatorii vor primi o alertă imediată.

Integrare cu ViPNet TIAS

Sistemul software și hardware ViPNet Threat Intelligence Analytics detectează automat atacurile computerizate și identifică incidente pe baza evenimentelor primite din diverse surse securitatea informatiei. Principala sursă de evenimente pentru ViPNet TIAS este ViPNet IDS, care analizează traficul de rețea de intrare și de ieșire folosind baza de reguli de decizie AM Rules dezvoltată de Perspective Monitoring. Unele semnături sunt scrise pentru a detecta exploatarea vulnerabilităților.

Dacă ViPNet TIAS detectează un incident de securitate a informațiilor în care a fost exploatată o vulnerabilitate, atunci toate informațiile legate de vulnerabilitate, inclusiv metodele de eliminare sau compensare a impactului negativ, sunt introduse automat în cardul de incident din sistemul de management.

Sistemul de management al incidentelor ajută și la investigarea incidentelor de securitate a informațiilor, oferind analiștilor informații despre indicatorii de compromis și nodurile potențiale ale infrastructurii informaționale afectate de incident.

Monitorizarea prezenței vulnerabilităților în sistemele informaționale

Un alt scenariu pentru utilizarea unui sistem de management al vulnerabilităților este scanarea la cerere.

Clientul generează independent, folosind instrumente încorporate sau un script dezvoltat de noi, o listă de software de sistem și aplicații și componente instalate pe nod (stație de lucru, server, DBMS, pachet software, echipament de rețea), transmite această listă către control. sistem și primește un raport privind vulnerabilitățile detectate și notificări periodice despre starea acestora.

Diferențele dintre sistem și scanerele comune de vulnerabilitate:

• Nu necesită instalarea agenților de monitorizare pe noduri.
• Nu creează o sarcină în rețea, deoarece arhitectura soluției în sine nu oferă agenți de scanare și servere.
• Nu creează o sarcină pe echipament, deoarece lista de componente este creată de comenzi de sistem sau de un script open source ușor.
• Elimină posibilitatea scurgerii de informații. „Monitorizarea prospectivă” nu poate afla nimic în mod fiabil despre locația fizică și logică sau scopul funcțional al unui nod din sistemul informațional. Singura informație care părăsește perimetrul controlat al clientului este un fișier txt cu o listă de componente software. Acest fișier este verificat pentru conținut și încărcat în sistemul de control de către client însuși.
• Pentru ca sistemul să funcționeze nu avem nevoie conturi pe noduri controlate. Informațiile sunt colectate de administratorul site-ului în nume propriu.
• Schimbul de informații securizat prin ViPNet VPN, IPsec sau https.

Conectarea la serviciul de management al vulnerabilităților Perspective Monitoring ajută clientul să îndeplinească cerința ANZ.1 „Identificarea și analiza vulnerabilităților sistem informaticși eliminarea promptă a vulnerabilităților nou identificate” ale comenzilor FSTEC din Rusia nr. 17 și 21. Compania noastră este licențiată a FSTEC din Rusia pentru activități legate de protecția tehnică a informațiilor confidențiale.

Preţ

Cost minim - 25.000 de ruble pe an pentru 50 de noduri conectate la sistem dacă există un contract valabil pentru conectarea la