Sa kasalukuyan, isang malaking bilang ng mga tool ang binuo upang i-automate ang paghahanap para sa mga kahinaan ng programa. Tatalakayin ng artikulong ito ang ilan sa mga ito.

Panimula

Ang pagtatasa ng static na code ay pagsusuri software, na ginawa sa source code ng mga programa at ipinatupad nang walang aktwal na pagpapatupad ng programang pinag-aaralan.

Ang software ay madalas na naglalaman ng iba't ibang mga kahinaan dahil sa mga error sa code ng programa. Ang mga error na ginawa sa panahon ng pagbuo ng mga programa, sa ilang mga sitwasyon, ay humantong sa isang pagkabigo ng programa, at dahil dito, ang normal na operasyon ng programa ay naaabala: ito ay madalas na nagreresulta sa mga pagbabago at pinsala sa data, pagpapahinto sa programa o kahit na ang system. Karamihan sa mga kahinaan ay nauugnay sa maling pagproseso ng data na natanggap mula sa labas, o hindi sapat na mahigpit na pag-verify nito.

Upang matukoy ang mga kahinaan, ginagamit ang iba't ibang mga tool, halimbawa, mga static na analyzer ng source code ng program, isang pangkalahatang-ideya kung saan ibinibigay sa artikulong ito.

Pag-uuri ng mga kahinaan sa seguridad

Kapag nalabag ang pangangailangan para sa isang programa na gumana nang tama sa lahat ng posibleng data ng pag-input, nagiging posible ang hitsura ng tinatawag na mga kahinaan sa seguridad. Ang mga kahinaan sa seguridad ay maaaring mangahulugan na ang isang programa ay maaaring gamitin upang malampasan ang mga limitasyon sa seguridad ng isang buong system.

Pag-uuri ng mga kahinaan sa seguridad depende sa mga error sa software:

• Buffer overflow. Ang kahinaan na ito ay nangyayari dahil sa kawalan ng kontrol sa array out-of-bounds sa memorya sa panahon ng pagpapatupad ng programa. Kapag ang isang packet ng data na masyadong malaki ay umapaw sa limitadong laki ng buffer, ang mga nilalaman ng mga extraneous na lokasyon ng memorya ay mapapatungan, na nagiging sanhi ng pag-crash at paglabas ng program. Batay sa lokasyon ng buffer sa memorya ng proseso, ang mga buffer overflow ay nakikilala sa stack (stack buffer overflow), heap (heap buffer overflow) at static na lugar ng data (bss buffer overflow).
• May bahid na kahinaan sa input. Maaaring mangyari ang spoiled input vulnerabilities kapag naipasa ang input ng user sa interpreter ng ilang panlabas na wika (karaniwan ay isang Unix shell o SQL) nang walang sapat na kontrol. Sa kasong ito, maaaring tukuyin ng user ang data ng input sa paraang ang inilunsad na interpreter ay magpapatupad ng ganap na naiibang utos kaysa sa inilaan ng mga may-akda ng mahinang programa.
• Mga pagkakamali format ng mga string(kahinaan sa format ng string). Ang ganitong uri ng kahinaan sa seguridad ay isang subclass ng kahinaan ng "corrupted input." Nangyayari ito dahil sa hindi sapat na kontrol ng mga parameter kapag ginagamit ang format na I/O functions printf, fprintf, scanf, atbp. ng C standard library. Kinukuha ng mga function na ito bilang isa sa kanilang mga parameter ang isang string ng character na tumutukoy sa format ng input o output ng mga kasunod na argumento ng function. Kung matutukoy ng user ang uri ng pag-format, maaaring magresulta ang kahinaang ito sa hindi matagumpay na paggamit ng mga function ng pag-format ng string.
• Mga kahinaan bilang resulta ng mga error sa pag-synchronize (mga kondisyon ng lahi). Ang mga problemang nauugnay sa multitasking ay humahantong sa mga sitwasyong tinatawag na "mga kundisyon ng lahi": ang isang program na hindi idinisenyo upang tumakbo sa isang multitasking na kapaligiran ay maaaring naniniwala na, halimbawa, ang mga file na ginagamit nito ay hindi mababago ng ibang program. Bilang resulta, ang isang umaatake na pumapalit sa mga nilalaman ng mga gumaganang file na ito sa oras ay maaaring pilitin ang program na magsagawa ng ilang partikular na pagkilos.

Siyempre, bilang karagdagan sa mga nakalista, may iba pang mga klase ng mga kahinaan sa seguridad.

Pagsusuri ng mga umiiral na analyzer

Ang mga sumusunod na tool ay ginagamit upang makita ang mga kahinaan sa seguridad sa mga programa:

• Mga dynamic na debugger. Mga tool na nagbibigay-daan sa iyong i-debug ang isang program sa panahon ng pagpapatupad nito.
• Mga static na analyzer (static debuggers). Mga tool na gumagamit ng impormasyong naipon sa panahon ng static na pagsusuri ng isang programa.

Itinuturo ng mga static na analyzer ang mga lugar na iyon sa programa kung saan maaaring magkaroon ng error. Ang mga kahina-hinalang piraso ng code na ito ay maaaring maglaman ng error o ganap na hindi nakakapinsala.

Ang artikulong ito ay nagbibigay ng pangkalahatang-ideya ng ilang umiiral na static analyzer. Tingnan natin ang bawat isa sa kanila.

Sa startup matalinong pag-scan Susuriin ng Avast ang iyong PC para sa mga sumusunod na uri ng mga problema at pagkatapos ay magmumungkahi ng mga solusyon para sa kanila.

• Mga virus: mga file na naglalaman ng malisyosong code, na maaaring makaapekto sa seguridad at pagganap ng iyong PC.
• Mahina software: Mga program na nangangailangan ng pag-update at maaaring gamitin ng mga umaatake upang makakuha ng access sa iyong system.
• Mga extension ng browser na may masamang reputasyon: Mga extension ng browser na karaniwang naka-install nang hindi mo nalalaman at nakakaapekto sa pagganap ng system.
• Mga mahihinang password: Mga password na ginagamit upang ma-access ang higit sa isang online na account at madaling ma-hack o makompromiso.
• Mga banta sa network: Mga kahinaan sa iyong network na maaaring magpapahintulot sa mga pag-atake sa iyong mga device sa network at router.
• Mga isyu sa pagganap: bagay ( hindi kinakailangang mga file at mga application, mga problemang nauugnay sa mga setting) na maaaring makagambala sa pagpapatakbo ng PC.
• Mga salungat na antivirus: mga antivirus program na naka-install sa iyong PC gamit ang Avast. Availability ng ilan mga antivirus program pinapabagal ang iyong PC at binabawasan ang bisa ng proteksyon ng anti-virus.

Tandaan. Ang ilang partikular na isyung natukoy ng Smart Scan ay maaaring mangailangan ng hiwalay na lisensya upang malutas. Maaaring hindi paganahin ang pagtuklas ng mga hindi kinakailangang uri ng problema sa .

Paglutas ng mga nakitang problema

Ang isang berdeng marka ng tsek sa tabi ng lugar ng pag-scan ay nagpapahiwatig na walang nakitang mga problema sa lugar na iyon. Ang isang pulang krus ay nangangahulugan na ang pag-scan ay natukoy ang isa o higit pang mga kaugnay na problema.

Upang tingnan ang mga partikular na detalye tungkol sa mga nakitang isyu, i-click Lutasin ang lahat. Ipinapakita ng Smart Scan ang mga detalye ng bawat isyu at nag-aalok ng opsyong ayusin ito kaagad sa pamamagitan ng pag-click sa item Magpasya, o gawin ito sa ibang pagkakataon sa pamamagitan ng pag-click Laktawan ang hakbang na ito.

Tandaan. Ang mga log ng pag-scan ng antivirus ay makikita sa kasaysayan ng pag-scan, na maaaring ma-access sa pamamagitan ng pagpili Proteksyon ng Antivirus.

Pamahalaan ang Mga Setting ng Smart Scan

Upang baguhin ang mga setting ng Smart Scan, piliin ang Mga Setting Pangkalahatang Smart Scan at tukuyin kung alin sa mga sumusunod na uri ng problema ang gusto mong i-smart scan.

• Mga virus
• Lumang software
• Mga add-on ng browser
• Mga banta sa network
• Mga isyu sa compatibility
• Mga isyu sa pagganap
• Mga mahihinang password

Bilang default, lahat ng uri ng problema ay pinagana. Upang ihinto ang pagsuri para sa isang partikular na isyu kapag nagpapatakbo ng Smart Scan, i-click ang slider Kasama sa tabi ng uri ng problema upang baguhin nito ang estado sa Naka-off.

I-click Mga setting sa tabi ng inskripsiyon Pag-scan ng virus upang baguhin ang mga setting ng pag-scan.

Ang pamamahala sa kahinaan ay ang pagkilala, pagtatasa, pag-uuri at pagpili ng solusyon upang matugunan ang mga kahinaan. Ang pundasyon ng pamamahala ng kahinaan ay mga imbakan ng impormasyon tungkol sa mga kahinaan, isa na rito ang Sistema ng Pamamahala ng Vulnerability na "Forward Monitoring".

Kinokontrol ng aming solusyon ang hitsura ng impormasyon tungkol sa mga kahinaan sa mga operating system(Windows, Linux/Unix-based), office at application software, equipment software, information security tools.

Mga pinagmumulan ng data

Ang database ng Perspective Monitoring Software Vulnerability Management System ay awtomatikong ina-update mula sa mga sumusunod na mapagkukunan:

• Data Bank of Information Security Threats (BDU BI) FSTEC ng Russia.
• National Vulnerability Database (NVD) NIST.
• Red Hat Bugzilla.
• Debian Security Bug Tracker.
• CentOS Mailing List.

Gumagamit din kami ng automated na paraan para i-update ang aming database ng kahinaan. Nakabuo kami ng isang web page crawler at isang unstructured data parser na araw-araw ay nagsusuri ng higit sa isang daang iba't ibang mga dayuhan at Russian na mapagkukunan para sa isang bilang ng mga keyword - mga grupo sa mga social network, blog, microblog, media na nakatuon sa teknolohiya ng impormasyon at pagtiyak ng seguridad ng impormasyon. Kung may mahanap ang mga tool na ito na tumutugma sa pamantayan sa paghahanap, manu-manong sinusuri ng analyst ang impormasyon at ipinapasok ito sa database ng kahinaan.

Pagsubaybay sa kahinaan ng software

Gamit ang Vulnerability Management System, masusubaybayan ng mga developer ang presensya at status ng mga nakitang kahinaan sa mga third-party na bahagi ng kanilang software.

Halimbawa, sa modelo ng Secure Software Developer Life Cycle (SSDLC) ng kumpanya Hewlett Packard Ang kontrol ng enterprise ng mga third-party na aklatan ay sumasakop sa isang sentral na lugar.

Sinusubaybayan ng aming system ang pagkakaroon ng mga kahinaan sa magkatulad na bersyon/buo ng parehong produkto ng software.

Ito ay gumagana tulad nito:

1. Ang developer ay nagbibigay sa amin ng isang listahan ng mga third-party na library at mga bahagi na ginagamit sa produkto.

2. Sinusuri namin araw-araw:

b. kung ang mga pamamaraan ay lumitaw upang alisin ang mga dating natuklasang kahinaan.

3. Inaabisuhan namin ang developer kung ang katayuan o pagmamarka ng kahinaan ay nagbago, alinsunod sa tinukoy na modelo ng papel. Nangangahulugan ito na ang iba't ibang mga development team sa loob ng parehong kumpanya ay makakatanggap ng mga alerto at makikita lamang ang katayuan ng kahinaan para sa produkto na kanilang ginagawa.

Ang dalas ng alerto sa Vulnerability Management System ay maaaring i-configure, ngunit kung ang isang kahinaan na may marka ng CVSS na higit sa 7.5 ay nakita, ang mga developer ay makakatanggap ng isang agarang alerto.

Pagsasama sa ViPNet TIAS

Ang software at hardware system ng ViPNet Threat Intelligence Analytics System ay awtomatikong nakakakita ng mga pag-atake sa computer at kinikilala ang mga insidente batay sa mga kaganapan na natanggap mula sa iba't ibang mga mapagkukunan seguridad ng impormasyon. Ang pangunahing pinagmumulan ng mga kaganapan para sa ViPNet TIAS ay ang ViPNet IDS, na sinusuri ang papasok at papalabas na trapiko sa network gamit ang base ng panuntunan ng desisyon ng AM Rules na binuo ng Perspective Monitoring. Ang ilang mga lagda ay isinulat upang makita ang pagsasamantala sa mga kahinaan.

Kung ang ViPNet TIAS ay nakakita ng isang insidente sa seguridad ng impormasyon kung saan ang isang kahinaan ay pinagsamantalahan, ang lahat ng impormasyon na nauugnay sa kahinaan, kabilang ang mga pamamaraan para sa pag-aalis o pagpunan para sa negatibong epekto, ay awtomatikong ilalagay sa card ng insidente mula sa sistema ng pamamahala.

Ang sistema ng pamamahala ng insidente ay tumutulong din sa pagsisiyasat ng mga insidente ng seguridad ng impormasyon, na nagbibigay sa mga analyst ng impormasyon tungkol sa mga tagapagpahiwatig ng kompromiso at mga potensyal na node ng imprastraktura ng impormasyon na apektado ng insidente.

Pagsubaybay sa pagkakaroon ng mga kahinaan sa mga sistema ng impormasyon

Ang isa pang senaryo para sa paggamit ng sistema ng pamamahala ng kahinaan ay on-demand na pag-scan.

Ang customer ay nakapag-iisa na bumubuo, gamit ang mga built-in na tool o isang script na binuo namin, ng isang listahan ng system at application software at mga bahagi na naka-install sa node (workstation, server, DBMS, software package, network equipment), nagpapadala ng listahang ito sa control. system at tumatanggap ng ulat tungkol sa mga nakitang kahinaan at pana-panahong mga abiso tungkol sa katayuan ng mga ito.

Mga pagkakaiba sa pagitan ng System at mga karaniwang vulnerability scanner:

• Hindi nangangailangan ng pag-install ng mga ahente ng pagsubaybay sa mga node.
• Hindi gumagawa ng load sa network, dahil ang mismong arkitektura ng solusyon ay hindi nagbibigay ng mga ahente at server sa pag-scan.
• Hindi lumilikha ng pagkarga sa kagamitan, dahil ang listahan ng mga bahagi ay nilikha ng mga utos ng system o isang magaan na open source na script.
• Tinatanggal ang posibilidad ng pagtagas ng impormasyon. Ang "prospective na pagsubaybay" ay hindi maaasahang matututo ng anuman tungkol sa pisikal at lohikal na lokasyon o functional na layunin ng isang node sa sistema ng impormasyon. Ang tanging impormasyon na umalis sa kontroladong perimeter ng customer ay isang txt file na may listahan ng mga bahagi ng software. Ang file na ito ay sinuri para sa nilalaman at na-upload sa control system ng customer mismo.
• Para gumana ang system hindi namin kailangan Mga account sa mga kinokontrol na node. Ang impormasyon ay kinokolekta ng administrator ng site sa kanyang sariling ngalan.
• Secure na pagpapalitan ng impormasyon sa pamamagitan ng ViPNet VPN, IPsec o https.

Ang pagkonekta sa serbisyo sa pamamahala ng kahinaan sa Pagsubaybay sa Pananaw ay tumutulong sa customer na matupad ang kinakailangan ng ANZ.1 na “Pagkilala at pagsusuri ng mga kahinaan sistema ng impormasyon at agarang pag-aalis ng mga bagong natukoy na kahinaan" ng mga order ng FSTEC ng Russia No. 17 at 21. Ang aming kumpanya ay isang lisensyado ng FSTEC ng Russia para sa mga aktibidad na nauugnay sa teknikal na proteksyon ng kumpidensyal na impormasyon.

Presyo

Minimum na gastos - 25,000 rubles bawat taon para sa 50 node na konektado sa system kung mayroong wastong kontrata para sa koneksyon sa