Ranljiva programska oprema. Upravljanje ranljivosti. Spremljanje prisotnosti ranljivosti v informacijskih sistemih

Na začetku pametno skeniranje Avast program bo v vašem računalniku preveril naslednje vrste težav in nato ponudil rešitve za njihovo rešitev.

  • Virusi: datoteke, ki vsebujejo zlonamerna koda, kar lahko vpliva na varnost in delovanje vašega računalnika.
  • Ranljiva programska oprema: Programi, ki zahtevajo posodobitev in jih lahko napadalci uporabijo za dostop do vašega sistema.
  • Razširitve brskalnika na slabem glasu: Razširitve brskalnika, ki so običajno nameščene brez vaše vednosti in vplivajo na delovanje sistema.
  • Šibka gesla: Gesla, ki se uporabljajo za dostop do več kot enega spletnega računa in jih je mogoče zlahka vdreti ali ogroziti.
  • Omrežne grožnje: ranljivosti v vašem omrežju, ki bi lahko omogočile napade na vaše omrežne naprave in usmerjevalnik.
  • Težave z zmogljivostjo: predmeti ( nepotrebne datoteke in aplikacije, težave v zvezi z nastavitvami), ki lahko motijo ​​delovanje računalnika.
  • Protivirusni programi v nasprotju: protivirusni programi, nameščeni na vašem računalniku z Avastom. Razpoložljivost več protivirusni programi upočasni vaš računalnik in zmanjša učinkovitost protivirusne zaščite.

Opomba. Za odpravo nekaterih težav, ki jih odkrije Smart Scan, bo morda potrebna ločena licenca. Zaznavanje nepotrebnih vrst težav je mogoče onemogočiti v .

Reševanje zaznanih težav

Zelena kljukica poleg območja skeniranja pomeni, da s tem območjem ni bilo najdenih težav. Rdeči križec pomeni, da je pregled odkril eno ali več povezanih težav.

Če si želite ogledati določene podrobnosti o odkritih težavah, kliknite Reši vse. Smart Scan prikazuje podrobnosti vsake težave in ponuja možnost, da jo takoj odpravite s klikom na element Odločite se ali pa to storite pozneje s klikom Preskočite ta korak.

Opomba. Dnevnike protivirusnih pregledov si lahko ogledate v zgodovini pregledov, do katere lahko dostopate z izbiro Protivirusna zaščita.

Upravljanje nastavitev Smart Scan

Če želite spremeniti nastavitve Smart Scan, izberite Nastavitve Splošno Smart Scan in določite, katero od naslednjih vrst težav želite pametno pregledati.

  • Virusi
  • Zastarela programska oprema
  • Dodatki za brskalnik
  • Omrežne grožnje
  • Težave z združljivostjo
  • Težave z zmogljivostjo
  • Šibka gesla

Privzeto so omogočene vse vrste težav. Če želite prenehati preverjati določeno težavo, ko izvajate Smart Scan, kliknite drsnik Vključeno poleg vrste težave, tako da spremeni stanje v Ugasnjen.

Kliknite nastavitve poleg napisa Iskanje virusov da spremenite nastavitve skeniranja.

Upravljanje ranljivosti je prepoznavanje, ocenjevanje, razvrščanje in izbira rešitve za odpravo ranljivosti. Temelj upravljanja ranljivosti so skladišča informacij o ranljivostih, eno od njih je sistem za upravljanje ranljivosti »Forward Monitoring«.

Naša rešitev nadzoruje pojav informacij o ranljivostih v operacijski sistemi(Windows, Linux/Unix), pisarniška in aplikativna programska oprema, programska oprema za opremo, orodja za informacijsko varnost.

Viri podatkov

Baza podatkov sistema za upravljanje ranljivosti programske opreme Perspective Monitoring se samodejno posodablja iz naslednjih virov:

  • Banka podatkov o grožnjah informacijski varnosti (BDU BI) FSTEC Rusije.
  • Nacionalna baza podatkov o ranljivosti (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • Dopisni seznam CentOS.

Uporabljamo tudi avtomatizirano metodo za posodabljanje naše baze podatkov o ranljivostih. Razvili smo spletni pajek in razčlenjevalnik nestrukturiranih podatkov, ki vsak dan analizira več kot sto različnih tujih in ruskih virov v številnih ključne besede- skupine v družbenih omrežjih, blogi, mikroblogi, mediji, namenjeni Informacijska tehnologija in zagotavljanje informacijske varnosti. Če ta orodja najdejo nekaj, kar ustreza iskalnim kriterijem, analitik ročno preveri podatke in jih vnese v bazo ranljivosti.

Spremljanje ranljivosti programske opreme

S sistemom za upravljanje ranljivosti lahko razvijalci spremljajo prisotnost in status odkritih ranljivosti v komponentah svoje programske opreme tretjih oseb.

Na primer, v modelu varnega življenjskega cikla razvijalca programske opreme Hewlett Packard Enterprise (SSDLC) je nadzor nad knjižnicami tretjih oseb osrednji.

Naš sistem spremlja prisotnost ranljivosti v vzporednih različicah/zgradbah istega programskega izdelka.

Deluje takole:

1. Razvijalec nam posreduje seznam knjižnic in komponent tretjih oseb, ki se uporabljajo v izdelku.

2. Dnevno preverjamo:

b. ali so se pojavile metode za odpravo prej odkritih ranljivosti.

3. Razvijalca obvestimo, če se status ali točkovanje ranljivosti spremeni v skladu z navedenim vzornikom. To pomeni, da bodo različne razvojne ekipe znotraj istega podjetja prejemale opozorila in videle status ranljivosti samo za izdelek, na katerem delajo.

Pogostost opozoril sistema za upravljanje ranljivosti je nastavljiva, a če je zaznana ranljivost z oceno CVSS, večjo od 7,5, bodo razvijalci prejeli takojšnje opozorilo.

Integracija z ViPNet TIAS

Sistem programske in strojne opreme ViPNet Threat Intelligence Analytics System samodejno zaznava računalniške napade in identificira incidente na podlagi dogodkov, prejetih iz različnih virov. varnost informacij. Glavni vir dogodkov za ViPNet TIAS je ViPNet IDS, ki analizira dohodne in odhodne omrežni promet z uporabo podlag pravil odločanja Pravila AM za razvoj »prospektivnega spremljanja«. Nekateri podpisi so napisani za odkrivanje izkoriščanja ranljivosti.

Če ViPNet TIAS zazna informacijsko varnostni incident, v katerem je bila izkoriščena ranljivost, se vsi podatki v zvezi z ranljivostjo, vključno z metodami za odpravo ali kompenzacijo negativnega vpliva, samodejno vnesejo v kartico incidenta iz sistema za upravljanje.

Sistem za upravljanje incidentov pomaga tudi pri preiskovanju incidentov informacijske varnosti, saj analitikom zagotavlja informacije o indikatorjih ogroženosti in potencialnih vozliščih informacijske infrastrukture, ki jih incident prizadene.

Spremljanje prisotnosti ranljivosti v informacijskih sistemih

Drug scenarij za uporabo sistema za upravljanje ranljivosti je skeniranje na zahtevo.

Stranka samostojno ustvari z vgrajenimi orodji ali skripto, ki smo jo razvili, seznam tega, kar je nameščeno na vozlišču (delovna postaja, strežnik, DBMS, programski paket za informacijsko varnost, omrežno strojno opremo) sistemsko in aplikativno programsko opremo ter komponente, posreduje ta seznam nadzornemu sistemu in prejme poročilo o odkritih ranljivostih ter občasna obvestila o njihovem statusu.

Razlike med sistemom in običajnimi pregledovalniki ranljivosti:

  • Ne zahteva namestitve nadzornih agentov na vozliščih.
  • Ne ustvarja obremenitve omrežja, saj sama arhitektura rešitve ne zagotavlja agentov za skeniranje in strežnikov.
  • Ne obremenjuje opreme, saj je seznam komponent ustvarjen s sistemskimi ukazi ali lahkim odprtokodnim skriptom.
  • Odpravlja možnost uhajanja informacij. »Prospektivno spremljanje« ne more zanesljivo izvedeti ničesar o fizični in logični lokaciji ali funkcionalnem namenu vozlišča v informacijskem sistemu. Edina informacija, ki zapusti nadzorovano območje stranke, je txt datoteka s seznamom programskih komponent. Stranka sama preveri vsebino te datoteke in jo naloži v nadzorni sistem.
  • Za delovanje sistema ne potrebujemo računov na nadzorovanih vozliščih. Podatke v svojem imenu zbira skrbnik spletnega mesta.
  • Varna izmenjava informacij preko ViPNet VPN, IPsec ali https.

Povezava s storitvijo za upravljanje ranljivosti Perspective Monitoring pomaga stranki izpolniti zahtevo ANZ.1 »Identifikacija, analiza ranljivosti informacijskega sistema in takojšnje izločanje na novo ugotovljene ranljivosti« ukazov FSTEC Rusije št. 17 in 21. Naše podjetje je imetnik licence FSTEC Rusije za dejavnosti, povezane s tehnično zaščito zaupnih informacij.

Cena

Minimalni stroški - 25.000 rubljev na leto za 50 vozlišč, povezanih s sistemom, če obstaja veljavna pogodba za povezavo z

Trenutno je bilo razvitih veliko število orodij za avtomatsko iskanje programskih ranljivosti. Ta članek bo obravnaval nekatere od njih.

Uvod

Statična analiza kode je analiza programske opreme, ki se izvaja na izvorni kodi programov in se izvaja brez dejanskega izvajanja proučevanega programa.

Programska oprema pogosto vsebuje različne ranljivosti zaradi napak v programski kodi. Napake, ki nastanejo pri razvoju programov, v nekaterih situacijah vodijo do okvare programa, posledično pa je moteno normalno delovanje programa: to pogosto povzroči spremembe in poškodbe podatkov, zaustavitev programa ali celo sistema. Večina ranljivosti je povezana z nepravilno obdelavo podatkov, prejetih od zunaj, ali nezadostno strogim preverjanjem le-teh.

Za prepoznavanje ranljivosti se uporabljajo različne metode orodja, na primer statični analizatorji izvorna koda programov, katerih pregled je podan v tem članku.

Klasifikacija varnostnih ranljivosti

Ko je kršena zahteva, da program pravilno deluje na vseh možnih vhodnih podatkih, postane možen pojav tako imenovanih varnostnih ranljivosti. Varnostne ranljivosti lahko pomenijo, da je mogoče en program uporabiti za premagovanje varnostnih omejitev celotnega sistema.

Razvrstitev varnostnih ranljivosti glede na programske napake:

  • Presežek medpomnilnika. Ta ranljivost se pojavi zaradi pomanjkanja nadzora nad izven meja polja v pomnilniku med izvajanjem programa. Ko prevelik paket podatkov preseže vmesni pomnilnik z omejeno velikostjo, se vsebina tujih pomnilniških lokacij prepiše, zaradi česar se program zruši in zapre. Glede na lokacijo medpomnilnika v pomnilniku procesa ločimo prekoračitve medpomnilnika na sklad (stack buffer overflow), kopico (heap buffer overflow) in območje statičnih podatkov (bss buffer overflow).
  • Okužena vhodna ranljivost. Pokvarjene vnosne ranljivosti se lahko pojavijo, ko se uporabniški vnos posreduje tolmaču nekega zunanjega jezika (običajno lupine Unix ali SQL) brez zadostnega nadzora. V tem primeru lahko uporabnik določi vhodne podatke tako, da bo zagnani tolmač izvedel popolnoma drugačen ukaz, kot so predvideli avtorji ranljivega programa.
  • Ranljivost formatnega niza. Ta vrsta Varnostne ranljivosti so podrazred ranljivosti "okuženega vnosa". Pojavi se zaradi nezadostnega nadzora parametrov pri uporabi formatnih V/I funkcij printf, fprintf, scanf itd. standardna knjižnica jezik C. Te funkcije vzamejo kot enega od svojih parametrov niz znakov, ki določa vhodno ali izhodno obliko naslednjih argumentov funkcije. Če lahko uporabnik določi vrsto oblikovanja, je lahko ta ranljivost posledica neuspešne uporabe funkcij za oblikovanje nizov.
  • Ranljivosti kot posledica napak pri sinhronizaciji (pogoji tekmovanja). Težave, povezane z večopravilnostjo, vodijo do situacij, imenovanih "tekmovalni pogoji": program, ki ni zasnovan za delovanje v večopravilnem okolju, lahko verjame, da na primer datotek, ki jih uporablja, ne more spremeniti drug program. Posledično lahko napadalec, ki pravočasno zamenja vsebino teh delovnih datotek, prisili program, da izvede določena dejanja.

Seveda pa poleg naštetih obstajajo še drugi razredi varnostnih ranljivosti.

Pregled obstoječih analizatorjev

Za odkrivanje varnostnih ranljivosti v programih se uporabljajo naslednja orodja:

  • Dinamični razhroščevalniki. Orodja, ki vam omogočajo odpravljanje napak v programu med njegovim izvajanjem.
  • Statični analizatorji (statični razhroščevalniki). Orodja, ki uporabljajo informacije, zbrane med statično analizo programa.

Statični analizatorji kažejo na tista mesta v programu, kjer se lahko nahaja napaka. Ti sumljivi deli kode lahko vsebujejo napako ali pa so popolnoma neškodljivi.

Ta članek ponuja pregled več obstoječih statičnih analizatorjev. Oglejmo si vsakega od njih podrobneje.

V nekaterih primerih se pojavijo ranljivosti zaradi uporabe razvojnih orodij različnega izvora, ki povečajo tveganje za pojav napak sabotažnega tipa v programski kodi.

Ranljivosti se pojavijo zaradi dodajanja komponent tretjih oseb ali prosto distribuirane kode (odprte kode) v programsko opremo. Koda nekoga drugega se pogosto uporablja »takšna, kot je«, brez temeljite analize in varnostnega testiranja.

Ne smemo izključiti prisotnosti notranjih programerjev v ekipi, ki namerno uvajajo ustvarjen izdelek dodatne nedokumentirane funkcije ali elementi.

Razvrstitev programskih ranljivosti

Ranljivosti nastanejo kot posledica napak, do katerih pride v fazi načrtovanja ali kodiranja.

Glede na stopnjo pojavljanja se ta vrsta grožnje deli na konstrukcijske, implementacijske in konfiguracijske ranljivosti.

  1. Napake pri projektiranju je najtežje odkriti in odpraviti. To so netočnosti v algoritmih, zaznamkih, nedoslednosti v vmesniku med različnimi moduli ali v protokolih za interakcijo s strojno opremo ter uvajanje neoptimalnih tehnologij. Njihovo odpravljanje je zelo delovno intenziven proces, tudi zato, ker se lahko pojavijo v neočitnih primerih - na primer, ko je predvideni obseg prometa presežen ali pri povezovanju velika količina dodatna oprema, ki otežuje zagotavljanje zahtevane ravni varnosti in vodi do pojava načinov za obhod požarnega zidu.
  2. Implementacijske ranljivosti se pojavijo v fazi pisanja programa ali implementacije varnostnih algoritmov vanj. Gre za nepravilno organizacijo računalniškega procesa, sintaktične in logične napake. Obstaja tveganje, da bo napaka povzročila prepolnitev medpomnilnika ali druge težave. Njihovo odkrivanje zahteva veliko časa, njihova odprava pa vključuje popravljanje določenih delov strojne kode.
  3. Napake pri konfiguraciji strojne in programske opreme so precej pogoste. Njihovi pogosti razlogi so premalo kakovosten razvoj in pomanjkanje testov za pravilno delovanje dodatne funkcije. Ta kategorija lahko vključuje tudi preprosta gesla in ostalo nespremenjeno Računi privzeto.

Po statističnih podatkih so ranljivosti še posebej pogosto odkrite v priljubljenih in razširjenih izdelkih - namiznih in mobilnih operacijskih sistemih, brskalnikih.

Tveganja uporabe ranljivih programov

Programi, ki najdejo največje število ranljivosti so nameščene na skoraj vseh računalnikih. S strani kiberkriminalcev obstaja neposreden interes za iskanje takšnih napak in pisanje zanje.

Ker od trenutka, ko je ranljivost odkrita, do objave popravka (popravka) preteče precej časa, je možnosti za okužbo kar nekaj. računalniški sistemi skozi vrzeli v varnosti programske kode. V tem primeru mora uporabnik samo enkrat odpreti na primer zlonamerno PDF datoteko z exploitom, nato pa bodo napadalci pridobili dostop do podatkov.

V slednjem primeru pride do okužbe po naslednjem algoritmu:

  • Uporabnik prejme E-naslov e-poštno sporočilo z lažnim predstavljanjem od verodostojnega pošiljatelja.
  • Pismu je priložena datoteka z exploitom.
  • Če uporabnik poskuša odpreti datoteko, se računalnik okuži z virusom, trojancem (šifrirjem) ali drugim zlonamernim programom.
  • Kibernetski kriminalci pridobijo nepooblaščen dostop do sistema.
  • Ukradeni so dragoceni podatki.

Raziskave, ki so jih opravila različna podjetja (Kaspersky Lab, Positive Technologies), kažejo, da so ranljivosti v skoraj vseh aplikacijah, vključno z antivirusi. Zato je verjetnost namestitve programskega izdelka, ki vsebuje napake različnih stopenj kritičnosti, zelo velika.

Da bi zmanjšali število vrzeli v programski opremi, je treba uporabiti SDL (Security Development Lifecycle, življenjski cikel varnega razvoja). Tehnologija SDL se uporablja za zmanjšanje števila hroščev v aplikacijah v vseh fazah njihovega ustvarjanja in podpore. Tako strokovnjaki za informacijsko varnost in programerji pri oblikovanju programske opreme modelirajo kibernetske grožnje, da bi našli ranljivosti. Med programiranjem so v proces vključena samodejna orodja za takojšnje poročanje o morebitnih napakah. Razvijalci si prizadevajo znatno omejiti funkcionalnost, ki je na voljo nezaupljivim uporabnikom, kar pomaga zmanjšati površino napada.

Če želite zmanjšati vpliv ranljivosti in škodo, ki jo povzročijo, morate upoštevati nekaj pravil:

  • Takoj namestite popravke (popravke), ki so jih izdali razvijalci, za aplikacije ali (po možnosti) omogočite samodejni način posodobitve.
  • Če je mogoče, ne nameščajte dvomljivih programov, katerih kakovost in tehnična podpora postavljati vprašanja.
  • Uporabite posebne pregledovalnike ranljivosti ali specializirane funkcije protivirusnih izdelkov, ki vam omogočajo iskanje varnostnih napak in po potrebi posodobitev programske opreme.

Drugi pogled na to težavo je, da se morajo podjetja hitro odzvati, ko ima aplikacija ranljivost. To zahteva, da lahko oddelek IT dokončno sledi nameščene aplikacije, komponente in popravki z avtomatizacijo in standardnimi orodji. Industrija si prizadeva standardizirati oznake programske opreme (19770-2), ki so datoteke XML, nameščene z aplikacijo, komponento in/ali popravkom, ki identificira nameščeno programsko opremo, in v primeru komponente ali popravka, katere aplikacije so del. Oznake imajo verodostojne informacije o založniku, informacije o različici, seznam datotek z imenom datoteke, varno zgoščena datoteka datoteke in velikost, ki ju je mogoče uporabiti za potrditev, da je nameščena aplikacija v sistemu in da binarnih datotek ni spremenila tretja oseba. Te oznake so podpisane digitalni podpis založnik.

Ko je ranljivost znana, lahko IT oddelki uporabijo svojo programsko opremo za upravljanje sredstev, da takoj identificirajo sisteme z ranljivo programsko opremo in lahko sprejmejo ukrepe za posodobitev sistemov. Oznake so lahko del popravka ali posodobitve, s katero lahko preverite, ali je bil popravek nameščen. Na ta način lahko oddelki IT uporabljajo vire, kot je nacionalna zbirka podatkov o ranljivosti NIST, kot sredstvo za upravljanje svojih orodij za upravljanje sredstev, tako da lahko IT takoj primerja nove ranljivosti z njihovimi.

Obstaja skupina podjetij, ki prek neprofitne organizacije IEEE/ISTO, imenovane TagVault.org (www.tagvault.org), sodeluje z vlado ZDA pri standardnem izvajanju standarda ISO 19770-2, ki bo omogočil to raven avtomatizacije. Na neki točki bodo te oznake, ki ustrezajo tej izvedbi, v naslednjih nekaj letih verjetno obvezne za programsko opremo, prodano vladi ZDA.

Na koncu dneva je torej dobra praksa, da ne objavljate o tem, katere aplikacije in določene različice programske opreme uporabljate, vendar je to lahko težavno, kot smo že omenili. Zagotoviti želite, da imate natančen, posodobljen popis programske opreme, da se redno primerja s seznamom znanih ranljivosti, kot je NVID iz NVD, in da lahko IT takoj ukrepa za odpravo grožnje z najnovejšim zaznavanjem Vdori, protivirusno skeniranje in druge tehnike zaklepanja okolja bodo vsaj zelo otežili ogrožanje vašega okolja, in če/ko se to zgodi, ne bo zaznano dolgo časa.