Güvenlik açığı yönetimi, güvenlik açıklarını gidermek için bir çözümün belirlenmesi, değerlendirilmesi, sınıflandırılması ve seçilmesidir. Zafiyet yönetiminin temeli, zafiyetlerle ilgili bilgi depolarıdır; bunlardan biri “İleri İzleme” Zafiyet Yönetim Sistemidir.

Çözümümüz, güvenlik açıklarıyla ilgili bilgilerin görünümünü kontrol ediyor işletim sistemleri(Windows, Linux/Unix tabanlı), ofis ve uygulama yazılımları, donanım yazılımları, bilgi güvenliği araçları.

Veri kaynakları

Perspektif İzleme Yazılımı Güvenlik Açığı Yönetim Sisteminin veri tabanı aşağıdaki kaynaklardan otomatik olarak güncellenmektedir:

• Bilgi Güvenliği Tehditleri Veri Bankası (BDU BI) Rusya FSTEC.
• Ulusal Güvenlik Açığı Veritabanı (NVD) NIST.
• Red Hat Bugzilla.
• Debian Güvenlik Hata Takibi.
• CentOS Posta Listesi.

Ayrıca güvenlik açığı veritabanımızı güncellemek için otomatik bir yöntem kullanıyoruz. Her gün yüzden fazla farklı yabancı ve Rus kaynağını bir dizi anahtar kelime için analiz eden bir web sayfası tarayıcısı ve yapılandırılmamış bir veri ayrıştırıcı geliştirdik - sosyal ağlardaki gruplar, bloglar, mikrobloglar, medyaya adanmış medya Bilişim teknolojisi ve bilgi güvenliğinin sağlanması. Bu araçlar, arama kriterleriyle eşleşen bir şey bulursa analist, bilgiyi manuel olarak kontrol eder ve güvenlik açığı veritabanına girer.

Yazılım güvenlik açığı izleme

Geliştiriciler, Güvenlik Açığı Yönetim Sistemini kullanarak, yazılımlarının üçüncü taraf bileşenlerinde tespit edilen güvenlik açıklarının varlığını ve durumunu izleyebilir.

Örneğin firmanın Güvenli Yazılım Geliştirici Yaşam Döngüsü (SSDLC) modelinde Hewlett Packard'ınÜçüncü taraf kütüphanelerin kurumsal kontrolü merkezi bir yere sahiptir.

Sistemimiz, aynı yazılım ürününün paralel sürümlerindeki/yapılarındaki güvenlik açıklarının varlığını izler.

Bu şekilde çalışır:

1. Geliştirici bize, üründe kullanılan üçüncü taraf kitaplıkların ve bileşenlerin bir listesini sağlar.

2. Günlük olarak kontrol ediyoruz:

B. Daha önce keşfedilen güvenlik açıklarını ortadan kaldıracak yöntemlerin ortaya çıkıp çıkmadığı.

3. Belirlenen rol modeline uygun olarak güvenlik açığının durumunda veya puanlamasında değişiklik olması durumunda geliştiriciye bilgi veririz. Bu, aynı şirketin farklı geliştirme ekiplerinin yalnızca üzerinde çalıştıkları ürüne ilişkin uyarılar alacağı ve güvenlik açıklarının durumunu göreceği anlamına geliyor.

Güvenlik Açığı Yönetim Sistemi uyarı sıklığı yapılandırılabilir ancak CVSS puanı 7,5'un üzerinde olan bir güvenlik açığı tespit edilirse geliştiriciler anında bir uyarı alacaktır.

ViPNet TIAS ile entegrasyon

ViPNet Tehdit İstihbaratı Analitik Sistemi yazılım ve donanım sistemi, bilgisayar saldırılarını otomatik olarak algılar ve çeşitli kaynaklardan alınan olaylara göre olayları tanımlar. bilgi güvenliği. ViPNet TIAS için olayların ana kaynağı, Perspective Monitoring tarafından geliştirilen AM Kuralları karar kural tabanını kullanarak gelen ve giden ağ trafiğini analiz eden ViPNet IDS'dir. Bazı imzalar güvenlik açıklarından yararlanıldığını tespit etmek için yazılır.

ViPNet TIAS, bir güvenlik açığının istismar edildiği bir bilgi güvenliği olayı tespit ederse, olumsuz etkiyi ortadan kaldırma veya telafi etme yöntemleri de dahil olmak üzere güvenlik açığıyla ilgili tüm bilgiler, yönetim sisteminden olay kartına otomatik olarak girilir.

Olay yönetimi sistemi aynı zamanda bilgi güvenliği olaylarının araştırılmasına da yardımcı olur ve analistlere risk göstergeleri ve olaydan etkilenen potansiyel bilgi altyapısı düğümleri hakkında bilgi sağlar.

Bilgi sistemlerindeki güvenlik açıklarının varlığının izlenmesi

Güvenlik açığı yönetim sisteminin kullanılmasına yönelik başka bir senaryo, isteğe bağlı taramadır.

Müşteri, yerleşik araçları veya tarafımızdan geliştirilen bir komut dosyasını kullanarak, düğümde kurulu sistem ve uygulama yazılımı ve bileşenlerinin (iş istasyonu, sunucu, DBMS, yazılım paketi, ağ ekipmanı) bir listesini bağımsız olarak oluşturur ve bu listeyi kontrole iletir. Sistem, tespit edilen güvenlik açıklarına ilişkin bir rapor alır ve bunların durumuyla ilgili periyodik bildirimler alır.

Sistem ile yaygın güvenlik açığı tarayıcıları arasındaki farklar:

• Düğümlere izleme aracılarının yüklenmesini gerektirmez.
• Çözüm mimarisinin kendisi tarama aracıları ve sunucuları sağlamadığından ağ üzerinde bir yük oluşturmaz.
• Bileşenlerin listesi sistem komutları veya hafif bir açık kaynak kodlu komut dosyası tarafından oluşturulduğundan ekipman üzerinde bir yük oluşturmaz.
• Bilgi sızıntısı olasılığını ortadan kaldırır. "İleriye yönelik izleme", bilgi sistemindeki bir düğümün fiziksel ve mantıksal konumu veya işlevsel amacı hakkında güvenilir bir şekilde hiçbir şey öğrenemez. Müşterinin kontrol alanı dışında kalan tek bilgi, yazılım bileşenlerinin listesini içeren bir txt dosyasıdır. Bu dosyanın içeriği müşterinin kendisi tarafından kontrol edilir ve kontrol sistemine yüklenir.
• Sistemin çalışması için kontrollü düğümlerde hesaplara ihtiyacımız yok. Bilgiler site yöneticisi tarafından kendi adına toplanır.
• ViPNet VPN, IPsec veya https aracılığıyla güvenli bilgi alışverişi.

Perspective Monitoring güvenlik açığı yönetimi hizmetine bağlanmak, müşterinin ANZ.1 "Güvenlik açıklarının tanımlanması ve analizi" gereksinimini yerine getirmesine yardımcı olur bilgi sistemi ve FSTEC Rusya'nın 17 ve 21 numaralı siparişlerinin yeni tespit edilen güvenlik açıklarının derhal ortadan kaldırılması". Şirketimiz, gizli bilgilerin teknik korunmasına ilişkin faaliyetler için Rusya FSTEC'in lisans sahibidir.

Fiyat

Minimum maliyet - geçerli bir bağlantı sözleşmesi varsa, sisteme bağlı 50 düğüm için yılda 25.000 ruble

Bazı durumlarda, çeşitli kökenlerden geliştirme araçlarının kullanılması nedeniyle güvenlik açıkları ortaya çıkar ve bu da program kodunda sabotaj türü kusurların ortaya çıkma riskini artırır.

Yazılıma üçüncü taraf bileşenlerin veya ücretsiz olarak dağıtılan kodun (açık kaynak) eklenmesi nedeniyle güvenlik açıkları ortaya çıkar. Başka birinin kodu genellikle kapsamlı bir analiz ve güvenlik testi yapılmadan "olduğu gibi" kullanılır.

Ekipte kasıtlı olarak ek özellikler getiren içeriden programcıların varlığı göz ardı edilmemelidir. belgelenmemiş işlevler veya elementler.

Program güvenlik açıklarının sınıflandırılması

Güvenlik açıkları, tasarım veya kodlama aşamasında meydana gelen hatalar sonucunda ortaya çıkar.

Ortaya çıkma aşamasına bağlı olarak bu tür tehditler tasarım, uygulama ve yapılandırma güvenlik açıklarına ayrılır.

1. Tasarım sırasında yapılan hatalar tespit edilmesi ve ortadan kaldırılması en zor olanlardır. Bunlar algoritmalardaki, yer imlerindeki yanlışlıklar, farklı modüller arasındaki arayüzdeki veya donanımla etkileşim protokollerindeki tutarsızlıklar ve optimal olmayan teknolojilerin tanıtılmasıdır. Bunların ortadan kaldırılması çok emek yoğun bir süreçtir; bunun nedeni, bariz olmayan durumlarda ortaya çıkabilmeleridir - örneğin, amaçlanan trafik hacmi aşıldığında veya büyük miktarda ek ekipman bağlandığında, bu da gerekli önlemlerin sağlanmasını zorlaştırır. güvenlik düzeyi ve güvenlik duvarını atlama yollarının ortaya çıkmasına neden olur.
2. Uygulama açıkları, bir programın yazılması veya güvenlik algoritmalarının programa uygulanması aşamasında ortaya çıkar. Bu, bilgi işlem sürecinin yanlış organizasyonu, sözdizimsel ve mantıksal kusurlardır. Kusurun arabellek taşmasına veya başka sorunlara yol açma riski vardır. Bunları tespit etmek çok zaman alır ve bunları ortadan kaldırmak, makine kodunun belirli bölümlerinin düzeltilmesini gerektirir.
3. Donanım ve yazılım yapılandırma hataları oldukça yaygındır. Bunların ortak nedenleri, yeterince yüksek kalitede geliştirme yapılmaması ve doğru çalışmaya yönelik testlerin eksikliğidir. ek işlevler. Çok basit şifreler ve değişmeden bırakılan varsayılan hesaplar da bu kategoriye girebilir.

İstatistiklere göre, güvenlik açıkları özellikle popüler ve yaygın ürünlerde (masaüstü ve mobil işletim sistemleri, tarayıcılar) sıklıkla keşfediliyor.

Savunmasız programları kullanmanın riskleri

En fazla sayıda güvenlik açığı içeren programlar neredeyse tüm bilgisayarlara yüklenir. Siber suçluların bu tür kusurları bulma ve onlar için yazma konusunda doğrudan çıkarları vardır.

Bir güvenlik açığının keşfedildiği andan bir düzeltme (yama) yayınlanana kadar çok fazla zaman geçtiğinden, program kodunun güvenliğindeki boşluklar yoluyla bilgisayar sistemlerine bulaşma konusunda oldukça fazla fırsat vardır. Bu durumda kullanıcının, örneğin kötü amaçlı bir PDF dosyasını yalnızca bir kez açması gerekir; bunun ardından saldırganlar verilere erişim kazanır.

İkinci durumda enfeksiyon aşağıdaki algoritmaya göre gerçekleşir:

• Kullanıcı alır e-posta Güvenilir bir göndericiden gelen kimlik avı e-postası.
• Mektuba istismar içeren bir dosya eklenmiştir.
• Bir kullanıcı bir dosyayı açmaya çalışırsa, bilgisayara bir virüs, Truva atı (şifreleyici) veya başka bir kötü amaçlı program bulaşır.
• Siber suçlular sisteme yetkisiz erişim sağlar.
• Değerli veriler çalınıyor.

Çeşitli şirketler (Kaspersky Lab, Positive Technologies) tarafından yürütülen araştırmalar, antivirüsler de dahil olmak üzere hemen hemen her uygulamada güvenlik açıklarının bulunduğunu göstermektedir. Bu nedenle, değişen derecelerde kritiklik kusurları içeren bir yazılım ürününün kurulma olasılığı çok yüksektir.

Yazılımdaki boşlukların sayısını en aza indirmek için SDL'nin (Güvenlik Geliştirme Yaşam Döngüsü, güvenli geliştirme yaşam döngüsü) kullanılması gerekir. SDL teknolojisi, uygulamaların oluşturulması ve desteklenmesinin tüm aşamalarındaki hata sayısını azaltmak için kullanılır. Bu nedenle, bilgi güvenliği uzmanları ve programcılar yazılım tasarlarken güvenlik açıklarını bulmak için siber tehditleri modellerler. Programlama sırasında olası kusurların anında bildirilmesi için otomatik araçlar sürece dahil edilir. Geliştiriciler, güvenilmeyen kullanıcıların kullanımına sunulan işlevselliği önemli ölçüde sınırlamaya çalışır, bu da saldırı yüzeyinin azaltılmasına yardımcı olur.

Güvenlik açıklarının etkisini ve bunların neden olduğu hasarı en aza indirmek için bazı kurallara uymalısınız:

• Uygulamalar için geliştirici tarafından yayımlanan düzeltmeleri (yamaları) hemen yükleyin veya (tercihen) etkinleştirin otomatik mod güncellemeler.
• Mümkünse kalitesi ve kalitesi şüpheli programları yüklemeyin. teknik destek sorular sorun.
• Güvenlik hatalarını aramanıza ve gerekirse yazılımı güncellemenize olanak tanıyan özel güvenlik açığı tarayıcılarını veya antivirüs ürünlerinin özel işlevlerini kullanın.

Şu anda, programdaki güvenlik açıklarının aranmasını otomatikleştirmek için çok sayıda araç geliştirilmiştir. Bu makalede bunlardan bazıları tartışılacaktır.

giriiş

Statik kod analizi, programların kaynak kodları üzerinde gerçekleştirilen ve incelenen programı fiilen çalıştırmadan uygulanan bir yazılım analizidir.

Yazılımlar genellikle program kodundaki hatalardan dolayı çeşitli güvenlik açıkları içerir. Bazı durumlarda program geliştirme sırasında yapılan hatalar programın başarısız olmasına neden olur ve bunun sonucunda programın normal işleyişi bozulur: bu durum çoğu zaman verilerde değişiklik ve hasara, programın hatta sistemin durmasına neden olur. Güvenlik açıklarının çoğu, dışarıdan alınan verilerin yanlış işlenmesiyle veya bunların yeterince katı bir şekilde doğrulanmamasıyla ilişkilidir.

Güvenlik açıklarını belirlemek için, bu makalede genel bakışı verilen program kaynak kodunun statik analizörleri gibi çeşitli araçlar kullanılır.

Güvenlik açıklarının sınıflandırılması

Bir programın olası tüm giriş verileri üzerinde doğru şekilde çalışması gerekliliği ihlal edildiğinde, güvenlik açıkları olarak adlandırılan açıkların ortaya çıkması mümkün hale gelir. Güvenlik açıkları, tek bir programın tüm sistemin güvenlik sınırlamalarını aşmak için kullanılabileceği anlamına gelebilir.

Güvenlik açıklarının yazılım hatalarına göre sınıflandırılması:

• Arabellek taşması. Bu güvenlik açığı, programın yürütülmesi sırasında bellekteki dizi sınırlarının aşılması üzerinde denetim eksikliği nedeniyle oluşur. Çok büyük bir veri paketi sınırlı boyutlu arabelleği aştığında, yabancı bellek konumlarının içeriğinin üzerine yazılır ve bu da programın çökmesine ve programdan çıkmasına neden olur. Arabellekin işlem belleğindeki konumuna bağlı olarak, arabellek taşmaları yığında (yığın arabellek taşması), yığında (yığın arabellek taşması) ve statik veri alanında (bss arabellek taşması) ayırt edilir.
• Kusurlu giriş güvenlik açığı. Kullanıcı girişi, yeterli kontrol olmadan bazı harici dillerin (genellikle Unix kabuğu veya SQL) yorumlayıcısına aktarıldığında bozuk giriş güvenlik açıkları ortaya çıkabilir. Bu durumda kullanıcı, giriş verilerini, başlatılan yorumlayıcının, güvenlik açığı bulunan programın yazarlarının amaçladığından tamamen farklı bir komutu yürüteceği şekilde belirtebilir.
• Hatalar dizeleri biçimlendir(biçim dizesi güvenlik açığı). Bu tür güvenlik açığı, "bozuk giriş" güvenlik açığının bir alt sınıfıdır. Bu durum, C standart kütüphanesinin printf, fprintf, scanf vb. G/Ç formatı işlevleri kullanılırken parametrelerin yetersiz kontrolü nedeniyle oluşur. Bu işlevler, sonraki işlev bağımsız değişkenlerinin giriş veya çıkış biçimini belirten bir karakter dizesini parametrelerinden biri olarak alır. Kullanıcı biçimlendirme türünü belirleyebilirse, bu güvenlik açığı dize biçimlendirme işlevlerinin başarısız kullanılmasından kaynaklanabilir.
• Senkronizasyon hatalarından (yarış koşulları) kaynaklanan güvenlik açıkları. Çoklu görevle ilgili sorunlar "yarış koşulları" olarak adlandırılan durumlara yol açar: çoklu görev ortamında çalışacak şekilde tasarlanmamış bir program, örneğin kullandığı dosyaların başka bir program tarafından değiştirilemeyeceğine inanabilir. Sonuç olarak, bu çalışma dosyalarının içeriğini derhal değiştiren bir saldırgan, programı belirli eylemleri gerçekleştirmeye zorlayabilir.

Tabii ki, listelenenlere ek olarak başka güvenlik açıkları sınıfları da var.

Mevcut analizörlerin gözden geçirilmesi

Programlardaki güvenlik açıklarını tespit etmek için aşağıdaki araçlar kullanılır:

• Dinamik hata ayıklayıcılar. Bir programın yürütülmesi sırasında hata ayıklamanıza olanak tanıyan araçlar.
• Statik analizörler (statik hata ayıklayıcılar). Bir programın statik analizi sırasında biriken bilgileri kullanan araçlar.

Statik analizörler programda hatanın bulunabileceği yerleri işaret eder. Bu şüpheli kod parçaları ya bir hata içerebilir ya da tamamen zararsız olabilir.

Bu makale, mevcut çeşitli statik analizörlere genel bir bakış sunmaktadır. Her birine daha yakından bakalım.

Başlangıçta akıllı tarama Avast, bilgisayarınızda aşağıdaki sorun türlerini kontrol edecek ve ardından bunlar için çözümler önerecektir.

• Virüsler: içeren dosyalar kötü amaçlı kod Bu, bilgisayarınızın güvenliğini ve performansını etkileyebilir.
• Savunmasız yazılım: Güncellenmesi gereken ve saldırganların sisteminize erişim sağlamak için kullanabileceği programlar.
• Kötü bir üne sahip tarayıcı uzantıları: Genellikle bilginiz dışında yüklenen ve sistem performansını etkileyen tarayıcı uzantıları.
• Zayıf şifreler: Birden fazla erişim için kullanılan şifreler hesapçevrimiçidir ve kolayca saldırıya uğrayabilir veya ele geçirilebilir.
• Ağ tehditleri: Ağınızda, ağ cihazlarınıza ve yönlendiricinize saldırılara izin verebilecek güvenlik açıkları.
• Performans sorunları: nesneler ( gereksiz dosyalar ve uygulamalar, ayarlarla ilgili sorunlar) bilgisayarın çalışmasına müdahale edebilir.
• Çakışan antivirüsler: Avast ile bilgisayarınıza yüklenen antivirüs programları. Birkaçının mevcudiyeti antivirüs programları PC'nizi yavaşlatır ve anti-virüs korumasının etkinliğini azaltır.

Not. Smart Scan tarafından tespit edilen bazı sorunların çözülmesi için ayrı bir lisans gerekebilir. Gereksiz sorun türlerinin tespiti .

Tespit edilen sorunları çözme

Tarama alanının yanındaki yeşil onay işareti, o alanda herhangi bir sorun bulunmadığını gösterir. Kırmızı çarpı, taramanın bir veya daha fazla ilgili sorunu tanımladığı anlamına gelir.

Algılanan sorunlarla ilgili belirli ayrıntıları görüntülemek için Her şeyi çöz. Akıllı Tarama her sorunun ayrıntılarını gösterir ve öğeyi tıklatarak sorunu hemen düzeltme seçeneği sunar Karar vermek veya daha sonra tıklayarak yapın Bu adımı atla.

Not. Antivirüs tarama günlükleri, seçilerek erişilebilen tarama geçmişinde görülebilir. Koruma Antivirüs.

Smart Scan Ayarlarını Yönetin

Smart Scan ayarlarını değiştirmek için Ayarlar Genel Smart Scan ve aşağıdaki sorun türlerinden hangisi için akıllı tarama yapmak istediğinizi belirtin.

• Virüsler
• Güncel olmayan yazılım
• Tarayıcı eklentileri
• Ağ tehditleri
• Uyumluluk sorunları
• Performans sorunları
• Zayıf şifreler

Varsayılan olarak tüm sorun türleri etkindir. Smart Scan çalıştırırken belirli bir sorunu kontrol etmeyi durdurmak için kaydırıcıyı tıklayın. Dahil durumu değiştirecek şekilde sorun türünün yanında Kapalı.

Tıklamak Ayarlar yazıtın yanında Virüs taraması Tarama ayarlarını değiştirmek için

Bu soruna bakmanın bir başka yolu da şirketlerin bir uygulamada güvenlik açığı bulunduğunda hızlı tepki vermeleri gerektiğidir. Bu, BT departmanının kesin olarak takip edebilmesini gerektirir. yüklü uygulamalar otomasyon ve standart araçları kullanarak bileşenler ve yamalar. Yüklü olanı tanımlayan bir uygulama, bileşen ve/veya yama ile birlikte yüklenen XML dosyaları olan yazılım etiketlerini (19770-2) standartlaştırmaya yönelik bir endüstri çabası vardır. yazılım ve bir bileşen veya yama durumunda bunların hangi uygulamanın parçası olduğu. Etiketlerde, yüklü uygulamanın sistemde olduğunu ve ikili dosyaların bulunmadığını doğrulamak için kullanılabilecek yayıncı yetki bilgisi, sürüm bilgisi, dosya adını içeren bir dosya listesi, dosyanın güvenli karması ve boyutu bulunur. üçüncü bir tarafça değiştirildi. Bu etiketler imzalanmıştır dijital imza yayıncı.

Bir güvenlik açığı bilindiğinde BT departmanları, güvenlik açığı bulunan yazılımlara sahip sistemleri anında tespit etmek için varlık yönetimi yazılımlarını kullanabilir ve sistemleri güncellemek için gerekli adımları atabilir. Etiketler, yamanın yüklendiğini doğrulamak için kullanılabilecek bir yamanın veya güncellemenin parçası olabilir. Bu şekilde BT departmanları, varlık yönetimi araçlarını yönetmek için NIST Ulusal Güvenlik Açığı Veritabanı gibi kaynakları kullanabilir; böylece bir şirket tarafından NVD'ye bir güvenlik açığı gönderildiğinde BT, yeni güvenlik açıklarını hemen kendi güvenlik açıklarıyla karşılaştırabilir.

Bu düzeyde otomasyona izin verecek standart bir ISO 19770-2 uygulaması üzerinde ABD hükümetiyle birlikte TagVault.org (www.tagvault.org) adlı IEEE/ISTO kar amacı gütmeyen bir kuruluş aracılığıyla çalışan bir grup şirket bulunmaktadır. Bir noktada, bu uygulamaya karşılık gelen bu etiketler önümüzdeki birkaç yıl içerisinde ABD hükümetine satılan yazılımlar için muhtemelen zorunlu olacaktır.

Dolayısıyla günün sonunda, hangi uygulamaları ve yazılımın belirli sürümlerini kullandığınızı paylaşmamak iyi bir uygulamadır, ancak daha önce de belirtildiği gibi bu zor olabilir. Doğru, güncel bir yazılım envanterine sahip olduğunuzdan, bunun NVD'nin NVID'si gibi bilinen güvenlik açıkları listesiyle düzenli olarak karşılaştırıldığından ve BT'nin tehdidi düzeltmek için anında harekete geçebildiğinden emin olmak istiyorsunuz. en son tespit İzinsiz girişler, anti-virüs taraması ve diğer ortam kilitleme teknikleri, en azından ortamınızın tehlikeye atılmasını çok zorlaştıracaktır ve bu gerçekleşirse/geçtiğinde, uzun bir süre boyunca tespit edilmeyecektir.