Zraniteľný softvér. Manažment zraniteľnosti. Monitorovanie prítomnosti zraniteľností v informačných systémoch

Pri spustení inteligentné skenovanie Softvér Avast skontroluje v počítači nasledujúce typy problémov a potom ponúkne možnosti na ich odstránenie.

  • Vírusy: súbory obsahujúce škodlivý kód, čo môže ovplyvniť bezpečnosť a výkon vášho počítača.
  • Zraniteľný softvér: Programy, ktoré je potrebné aktualizovať a ktoré môžu útočníci použiť na získanie prístupu do vášho systému.
  • Rozšírenia prehliadača so zlou povesťou: Rozšírenia prehliadača, ktoré sa zvyčajne inštalujú bez vášho vedomia a ovplyvňujú výkon systému.
  • Slabé heslá: heslá, ktoré sa používajú na prístup k viacerým online účtom a môžu byť ľahko napadnuté alebo zneužité.
  • Sieťové hrozby: Chyby vo vašej sieti, ktoré by mohli umožniť útoky na vaše sieťové zariadenia a smerovač.
  • Problémy s výkonom: predmety ( nevyžiadané súbory a aplikácie, problémy súvisiace s nastaveniami), ktoré môžu brániť fungovaniu počítača.
  • Konfliktné antivírusy: antivírusový softvér nainštalovaný na PC s Avastom. Viacnásobné antivírusové programy spomaľuje PC a znižuje účinnosť antivírusovej ochrany.

Poznámka. Niektoré problémy zistené funkciou Smart Scan môžu vyžadovať samostatnú licenciu na vyriešenie. Detekciu nepotrebných typov problémov je možné vypnúť v .

Nájdené riešenie problémov

Zelené začiarknutie vedľa oblasti skenovania znamená, že sa nenašli žiadne súvisiace problémy. Červený krížik znamená, že skenovanie identifikovalo jeden alebo viacero súvisiacich problémov.

Ak chcete zobraziť konkrétne podrobnosti o zistených problémoch, kliknite všetko vyriešiť. Smart Scan zobrazuje podrobnosti o každom probléme a ponúka možnosť okamžite ho opraviť kliknutím na položku Rozhodnite sa alebo to urobte neskôr kliknutím Tento krok preskočte.

Poznámka. Protokoly antivírusovej kontroly si môžete pozrieť v histórii kontroly , ku ktorej sa dostanete výberom Antivírusová ochrana.

Správa nastavení inteligentného skenovania

Ak chcete zmeniť nastavenia inteligentného skenovania, vyberte Nastavenia Všeobecné Smart Scan a zadajte, pre ktorý z uvedených typov problémov chcete spustiť Smart Scan.

  • Vírusy
  • Zastaraný softvér
  • Doplnky prehliadača
  • Sieťové hrozby
  • Problémy s kompatibilitou
  • Problémy s výkonom
  • Slabé heslá

V predvolenom nastavení sú povolené všetky typy problémov. Ak chcete zastaviť kontrolu konkrétneho problému pri vykonávaní inteligentného skenovania, kliknite na posúvač Zahrnuté vedľa typu problému, aby sa zmenil stav na Vypnutý.

Kliknite nastavenie vedľa nápisu Vyhľadávanie vírusov zmeniť nastavenia skenovania.

Manažment zraniteľností je identifikácia, hodnotenie, klasifikácia a výber riešenia na elimináciu zraniteľností. Správa zraniteľností je založená na úložiskách informácií o zraniteľnostiach, z ktorých jedným je Advanced Monitoring Vulnerability Management System.

Naše riešenie kontroluje vzhľad informácií o zraniteľnostiach v operačné systémy(na báze Windows, Linux/Unix), kancelársky a aplikačný softvér, hardvérový softvér, nástroje na bezpečnosť informácií.

Zdroje dát

Databáza systému riadenia zraniteľnosti softvéru Prospective Monitoring sa automaticky dopĺňa z nasledujúcich zdrojov:

  • Data Bank of Information Security Threats (BDU BI) FSTEC Ruska.
  • Národná databáza zraniteľností (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Zoznam adries CentOS.

Na doplnenie našej databázy zraniteľností používame aj automatizovanú metódu. Vyvinuli sme webový prehľadávač a analyzátor neštruktúrovaných údajov, ktorý každý deň analyzuje viac ako sto rôznych zahraničných a ruských zdrojov pre množstvo Kľúčové slová- skupiny v sociálnych sieťach, blogy, mikroblogy, médiá venované informačné technológie a informačnej bezpečnosti. Ak tieto nástroje nájdu niečo, čo spĺňa kritériá vyhľadávania, analytik manuálne skontroluje informácie a vloží ich do databázy zraniteľností.

Kontrola softvérovej zraniteľnosti

Pomocou systému správy zraniteľností môžu vývojári kontrolovať prítomnosť a stav objavených zraniteľností v komponentoch softvéru tretích strán.

Napríklad v modeli Secure Software Developer Life Cycle (SSDLC) spoločnosti Hewlett Packard Enterprise je centrálna kontrola knižníc tretích strán.

Náš systém monitoruje prítomnosť zraniteľností v paralelných verziách / zostavách rovnakého softvérového produktu.

Funguje to takto:

1. Vývojár nám pošle zoznam knižníc a komponentov tretích strán, ktoré sú použité v produkte.

2. Denne kontrolujeme:

b. či existujú metódy na odstránenie predtým objavených zraniteľností.

3. V súlade so zadaným vzorom upozorníme vývojára, ak sa stav alebo hodnotenie zraniteľnosti zmenilo. To znamená, že rôzne vývojové tímy v rámci tej istej spoločnosti dostanú iba upozornenie a uvidia stav zraniteľností produktu, na ktorom pracujú.

Frekvencia výstrah systému správy zraniteľností je ľubovoľne konfigurovateľná, ale keď sa nájde zraniteľnosť so skóre CVSS vyšším ako 7,5, vývojári dostanú okamžité upozornenie.

Integrácia s ViPNet TIAS

Softvérový a hardvérový komplex ViPNet Threat Intelligence Analytics System automaticky deteguje počítačové útoky a identifikuje incidenty na základe udalostí pochádzajúcich z rôznych zdrojov. informačná bezpečnosť. Hlavným zdrojom udalostí pre ViPNet TIAS je ViPNet IDS, ktorý analyzuje prichádzajúce a odchádzajúce sieťová prevádzka pomocou základov rozhodovacích pravidiel AM Rules vyvinutých „Prospektívnym monitorovaním“. Niektoré podpisy sú napísané na zistenie zneužitia zraniteľností.

Ak ViPNet TIAS deteguje incident bezpečnosti informácií, pri ktorom bola zneužitá zraniteľnosť, potom sa všetky informácie súvisiace so zraniteľnosťou, vrátane metód na elimináciu alebo kompenzáciu negatívneho dopadu, automaticky vložia do karty incidentu z SMS.

Systém riadenia incidentov tiež pomáha pri vyšetrovaní incidentov informačnej bezpečnosti tým, že poskytuje analytikom informácie o indikátoroch ohrozenia a potenciálnych uzloch informačnej infraštruktúry ovplyvnených incidentom.

Monitorovanie prítomnosti zraniteľností v informačných systémoch

Ďalším scenárom používania systému správy zraniteľností je skenovanie na požiadanie.

Zákazník si samostatne vygeneruje zoznam systémového a aplikačného softvéru a komponentov nainštalovaných na uzle (pracovná stanica, server, DBMS, SZI SZI, sieťové zariadenia) pomocou vstavaných nástrojov alebo nami vyvinutého skriptu, prenesie tento zoznam do SMS a prijme správa o zistených zraniteľnostiach a pravidelné upozornenia o ich stave.

Rozdiely medzi systémom a bežnými skenermi zraniteľností:

  • Nevyžaduje inštaláciu monitorovacích agentov na hostiteľoch.
  • Nezaťažuje sieť, keďže samotná architektúra riešenia neposkytuje agentov a skenovacie servery.
  • Nevytvára záťaž na hardvér, pretože zoznam komponentov je vytvorený systémovými príkazmi alebo ľahkým open source skriptom.
  • Eliminuje možnosť úniku informácií. "Prospektívne monitorovanie" nemôže spoľahlivo zistiť nič o fyzickom a logickom umiestnení alebo funkčnom účele uzla v informačnom systéme. Jedinou informáciou, ktorá opúšťa kontrolovaný perimeter zákazníka, je txt súbor so zoznamom softvérových komponentov. Tento súbor skontroluje obsah a nahrá ho do SMS sám zákazník.
  • Aby systém fungoval, nepotrebujeme účty na kontrolovaných uzloch. Informácie zhromažďuje správca uzla vo svojom mene.
  • Bezpečná výmena informácií cez ViPNet VPN, IPsec alebo https.

Napojenie na službu riadenia zraniteľnosti „Prospektívne monitorovanie“ pomáha zákazníkovi splniť požiadavku ANZ.1 „Identifikácia, analýza zraniteľností informačného systému a rýchla eliminácia novo identifikovaných zraniteľností“ zákaziek FSTEC Ruska č. 17 a 21. Naša Spoločnosť je držiteľom licencie FSTEC Ruska na technickú ochranu dôverných informácií.

cena

Minimálne náklady sú 25 000 rubľov ročne za 50 uzlov pripojených k systému s platnou zmluvou o pripojení k

V súčasnosti bolo vyvinutých veľké množstvo nástrojov na automatizáciu vyhľadávania softvérových zraniteľností. Tento článok bude diskutovať o niektorých z nich.

Úvod

Statická analýza kódu je softvérová analýza, ktorá sa vykonáva na zdrojovom kóde programov a je implementovaná bez skutočného spustenia skúmaného programu.

Softvér často obsahuje rôzne zraniteľnosti spôsobené chybami v kóde programu. Chyby pri vývoji programov v niektorých situáciách vedú k zlyhaniu programu, a preto je narušená normálna prevádzka programu: v takom prípade sa údaje často menia a poškodzujú, program alebo dokonca systém sa zastaví. . Väčšina zraniteľností súvisí s nesprávnym spracovaním údajov prijatých zvonku alebo ich nedostatočne prísnym overovaním.

Na identifikáciu zraniteľností sa používajú rôzne metódy. nástrojov, napríklad statické analyzátory zdrojového kódu programu, ktorých prehľad je uvedený v tomto článku.

Klasifikácia bezpečnostných zraniteľností

Pri porušení požiadavky na správnu činnosť programu na všetkých možných vstupných dátach je možný vznik takzvaných bezpečnostných zraniteľností (bezpečnostná zraniteľnosť). Zraniteľnosť zabezpečenia môže spôsobiť, že jeden program sa použije na prekonanie bezpečnostných obmedzení celého systému ako celku.

Klasifikácia bezpečnostných chýb v závislosti od softvérových chýb:

  • Pretečenie vyrovnávacej pamäte. Táto zraniteľnosť sa vyskytuje v dôsledku nedostatočnej kontroly nad mimohraničným poľom v pamäti počas vykonávania programu. Keď dátový paket, ktorý je príliš veľký, pretečie obmedzenú vyrovnávaciu pamäť, obsah cudzích pamäťových buniek sa prepíše a program sa zrúti a zrúti. Podľa umiestnenia vyrovnávacej pamäte v procesnej pamäti sa rozlišujú pretečenia vyrovnávacej pamäte na zásobníku (pretečenie vyrovnávacej pamäte zásobníka), halde (pretečenie vyrovnávacej pamäte haldy) a oblasti statických údajov (pretečenie vyrovnávacej pamäte bss).
  • Vulnerability „tainted input“ (zraniteľnosť tainted input). Poškodené vstupné zraniteľnosti sa môžu vyskytnúť, keď je vstup používateľa odovzdaný bez dostatočnej kontroly tlmočníkovi nejakého externého jazyka (zvyčajne unixového shellu alebo jazyka SQL). V tomto prípade môže užívateľ zadať vstupné údaje tak, že spustený interpret vykoná úplne iný príkaz, než aký zamýšľali autori zraniteľného programu.
  • Chyba zabezpečenia formátovacieho reťazca. Tento typ Zraniteľnosť zabezpečenia je podtriedou zraniteľnosti „poškodený vstup“. Vzniká z dôvodu nedostatočnej kontroly parametrov pri použití formátových I/O funkcií printf, fprintf, scanf atď. štandardná knižnica jazyk C. Tieto funkcie berú ako jeden z parametrov reťazec znakov, ktorý určuje vstupný alebo výstupný formát pre nasledujúce argumenty funkcie. Ak si používateľ môže nastaviť typ formátovania sám, potom táto chyba zabezpečenia môže byť výsledkom neúspešnej aplikácie funkcií formátovania reťazcov.
  • Zraniteľnosť v dôsledku chýb synchronizácie (súčasné podmienky). Problémy spojené s multitaskingom vedú k situáciám nazývaným „rasové podmienky“: program, ktorý nie je navrhnutý na spustenie v prostredí multitaskingu, sa môže domnievať, že napríklad súbory, ktoré používa pri spustení, nemôže zmeniť iný program. Výsledkom je, že útočník, ktorý včas nahradí obsah týchto pracovných súborov, môže prinútiť program vykonať určité akcie.

Samozrejme, okrem tých, ktoré sú uvedené, existujú aj ďalšie triedy bezpečnostných zraniteľností.

Prehľad existujúcich analyzátorov

Nasledujúce nástroje sa používajú na detekciu bezpečnostných zraniteľností v programoch:

  • Dynamické debuggery. Nástroje, ktoré vám umožňujú ladiť program, keď je spustený.
  • Statické analyzátory (statické debuggery). Nástroje, ktoré využívajú informácie nazhromaždené počas statickej analýzy programu.

Statické analyzátory indikujú miesta v programe, kde sa môže vyskytnúť chyba. Tieto podozrivé útržky kódu môžu obsahovať chybu alebo byť úplne neškodné.

Tento článok poskytuje prehľad niekoľkých existujúcich statických analyzátorov. Pozrime sa bližšie na každý z nich.

V niektorých prípadoch je výskyt zraniteľností spôsobený používaním vývojových nástrojov rôzneho pôvodu, ktoré zvyšujú riziko defektov sabotážneho typu v programovom kóde.

Zraniteľnosť sa objavuje v dôsledku pridávania komponentov tretích strán alebo voľne distribuovaného kódu (open source) do softvéru. Kód iných ľudí sa často používa „tak, ako je“ bez dôkladnej analýzy a testovania bezpečnosti.

Netreba vylúčiť, že v tíme sú zasvätení programátori, ktorí zámerne zavádzajú do vytváraného produktu ďalšie nezdokumentované funkcie alebo prvky.

Klasifikácia softvérových zraniteľností

Zraniteľnosť vznikajú v dôsledku chýb, ktoré sa vyskytnú pri návrhu alebo písaní programového kódu.

V závislosti od štádia výskytu sa tento typ hrozby delí na zraniteľnosti týkajúce sa návrhu, implementácie a konfigurácie.

  1. Chyby v návrhu sú najťažšie odhaliť a opraviť. Ide o nepresnosti algoritmov, záložiek, nezrovnalosti v rozhraní medzi rôznymi modulmi alebo v protokoloch pre interakciu s hardvérom, zavádzanie suboptimálnych technológií. Ich odstraňovanie je časovo veľmi náročný proces, a to aj preto, že sa môžu objaviť aj v nie celkom samozrejmých prípadoch – napríklad pri prekročení objemu prevádzky alebo pri pripojení veľkého množstva prídavných zariadení, čo komplikuje zabezpečenie požadovanej úrovne. bezpečnosti a vedie k objaveniu spôsobov, ako obísť firewall.
  2. Chyby pri implementácii sa objavujú vo fáze písania programu alebo zavádzania bezpečnostných algoritmov do neho. Ide o nesprávnu organizáciu výpočtového procesu, syntaktické a logické chyby. Existuje však riziko, že chyba povedie k pretečeniu vyrovnávacej pamäte alebo iným druhom problémov. Ich objavenie trvá dlho a eliminácia zahŕňa opravu určitých častí strojového kódu.
  3. Chyby konfigurácie hardvéru a softvéru sú veľmi časté. Ich spoločnými príčinami je nedostatočný kvalitný vývoj a nedostatok testov na správna práca pridané vlastnosti. Do tejto kategórie patria aj jednoduché heslá a zostal nezmenený účty predvolená.

Podľa štatistík sa zraniteľnosti najčastejšie nachádzajú v obľúbených a rozšírených produktoch – desktopové a mobilné operačné systémy, prehliadače.

Riziká používania zraniteľných programov

Programy, v ktorých nájdu najväčší počet zraniteľnosti sú nainštalované takmer na všetkých počítačoch. Zo strany kyberzločincov je priamy záujem takéto nedostatky nájsť a písať za nich.

Keďže od objavenia zraniteľnosti po zverejnenie opravy (záplaty) uplynie pomerne dlhý čas, existuje množstvo príležitostí na infekciu počítačové systémy cez bezpečnostné diery v kóde. Používateľovi v tomto prípade stačí jedenkrát otvoriť napríklad škodlivý PDF súbor s exploitom, po ktorom útočníci získajú prístup k dátam.

Infekcia v druhom prípade nastáva podľa nasledujúceho algoritmu:

  • Používateľ dostane e-mail phishingový e-mail od dôveryhodného odosielateľa.
  • Súbor s exploitom je priložený k listu.
  • Ak sa používateľ pokúsi otvoriť súbor, počítač je infikovaný vírusom, trójskym koňom (šifrovač) alebo iným škodlivým softvérom.
  • Kyberzločinci získajú neoprávnený prístup do systému.
  • Cenné dáta sa kradnú.

Výskum uskutočnený rôznymi spoločnosťami (Kaspersky Lab, Positive Technologies) ukazuje, že takmer každá aplikácia, vrátane antivírusov, má zraniteľné miesta. Preto je pravdepodobnosť inštalácie softvérového produktu obsahujúceho chyby rôzneho stupňa kritickosti veľmi vysoká.

Pre minimalizáciu počtu medzier v softvéri je potrebné použiť SDL (Security Development Lifecycle, bezpečný vývojový životný cyklus). Technológia SDL sa používa na zníženie počtu chýb v aplikáciách vo všetkých fázach ich tvorby a podpory. Špecialisti na informačnú bezpečnosť a programátori teda pri navrhovaní softvéru modelujú kybernetické hrozby, aby našli zraniteľné miesta. Počas programovania sú do procesu zahrnuté automatické nástroje, ktoré okamžite hlásia prípadné chyby. Vývojári sa snažia výrazne obmedziť funkcie dostupné pre neoverených používateľov, čo pomáha zmenšiť plochu útoku.

Aby ste minimalizovali dopad zraniteľností a škôd spôsobených nimi, musíte dodržiavať niektoré pravidlá:

  • Rýchlo nainštalujte vývojárom vydané opravy (záplaty) pre aplikácie alebo (najlepšie) povoľte automatický režim aktualizácie.
  • Ak je to možné, neinštalujte pochybné programy, ktorých kvalita a technická podpora vyvolávať otázky.
  • Používajte špeciálne skenery zraniteľnosti alebo špecializované funkcie antivírusových produktov, ktoré vám umožnia vyhľadať chyby zabezpečenia a v prípade potreby aktualizovať softvér.

Ďalším spôsobom, ako sa na tento problém pozrieť, je, že spoločnosti musia rýchlo reagovať, keď má aplikácia zraniteľné miesto. To si vyžaduje, aby IT oddelenie bolo schopné definitívne sledovať nainštalované aplikácie komponenty a opravy pomocou automatizačných nástrojov a štandardných nástrojov. V odvetví existuje snaha o štandardizáciu softvérových značiek (19770-2), čo sú súbory XML nainštalované s aplikáciou, komponentom a/alebo opravou, ktorá identifikuje nainštalované softvér a v prípade komponentu alebo opravy, ktorej aplikácie sú súčasťou. Značky majú autoritatívne informácie o vydavateľovi, informácie o verzii, zoznam súborov s názvom súboru, zabezpečené hash súboru a veľkosť, pomocou ktorej možno potvrdiť, že nainštalovaná aplikácia je v systéme a že binárne súbory neboli upravené treťou stranou. Tieto štítky sú digitálne podpísané vydavateľom.

Keď je známa zraniteľnosť, IT oddelenia môžu použiť svoj softvér na správu aktív na okamžitú identifikáciu systémov so zraniteľným softvérom a môžu podniknúť kroky na aktualizáciu systémov. Značky môžu byť súčasťou opravy alebo aktualizácie, ktorú možno použiť na overenie, či bola oprava nainštalovaná. Týmto spôsobom môžu IT oddelenia využívať zdroje, ako je národná databáza zraniteľností NIST, ako prostriedok na správu nástrojov na správu aktív, takže keď spoločnosť predloží zraniteľnosť spoločnosti NVD, IT môže okamžite porovnať nové zraniteľnosti so svojimi.

Existuje skupina spoločností, ktoré spolupracujú prostredníctvom neziskovej organizácie IEEE/ISTO s názvom TagVault.org (www.tagvault.org) s vládou USA na štandardnej implementácii normy ISO 19770-2, ktorá umožní túto úroveň automatizácie. V určitom bode budú tieto značky zodpovedajúce tejto implementácii s najväčšou pravdepodobnosťou povinné pre softvér predávaný vláde USA v priebehu niekoľkých nasledujúcich rokov.

Takže nakoniec je dobrým zvykom nezverejňovať, aké aplikácie a konkrétne verzie softvéru používate, ale to môže byť ťažké, ako už bolo uvedené. Chcete sa uistiť, že máte presný a aktuálny inventár softvéru, ktorý sa pravidelne porovnáva so zoznamom známych zraniteľností, ako je NVID spoločnosti NVD, a aby oddelenie IT mohlo okamžite podniknúť kroky na nápravu hrozby. Najnovší objav Narušenie, antivírusové skenovanie a iné metódy blokovania médií prinajmenšom veľmi sťažia kompromitáciu vášho prostredia, a ak sa tak stane, nebude to detekované po dlhú dobu.