Sårbar programvara. Sårbarhetshantering. Övervaka förekomsten av sårbarheter i informationssystem

Vid uppstart intelligent skanning Avast programvara kommer att kontrollera din dator efter följande typer av problem och sedan erbjuda alternativ för att åtgärda dem.

  • Virus: filer som innehåller skadlig kod, vilket kan påverka din dators säkerhet och prestanda.
  • Sårbar programvara: Program som behöver uppdateras och kan användas av angripare för att få tillgång till ditt system.
  • Webbläsartillägg med dåligt rykte: Webbläsartillägg som vanligtvis installeras utan din vetskap och påverkar systemets prestanda.
  • Svaga lösenord: lösenord som används för att komma åt mer än ett onlinekonto och som enkelt kan hackas eller äventyras.
  • Nätverkshot: Sårbarheter i ditt nätverk som kan tillåta attacker på dina nätverksenheter och router.
  • Prestandaproblem: objekt ( skräpfiler och program, inställningsrelaterade problem) som kan hindra din dator från att fungera.
  • Motstridiga antivirus: antivirusprogram installerat på datorn med Avast. Flera olika antivirusprogram saktar ner datorn och minskar effektiviteten av antivirusskydd.

Notera. Vissa problem som upptäcks av Smart Scan kan kräva en separat licens för att lösas. Upptäckt av onödiga problemtyper kan inaktiveras i .

Lösande problem hittades

En grön bock bredvid skanningsområdet indikerar att inga problem hittades relaterade till det. Ett rött kryss betyder att skanningen har identifierat ett eller flera relaterade problem.

Klicka på för att se specifik information om de problem som hittades lösa allt. Smart Scan visar detaljer om varje problem och erbjuder möjligheten att åtgärda det omedelbart genom att klicka på ett objekt Besluta, eller gör det senare genom att klicka Hoppa över det här steget.

Notera. Antivirusgenomsökningsloggar kan ses i skanningshistoriken , som kan nås genom att välja Skydd Antivirus.

Hantera Smart Scan-inställningar

För att ändra Smart Scan-inställningarna, välj Inställningar Allmänt Smart Scan och ange vilka av de listade typerna av problem du vill köra en Smart Scan för.

  • Virus
  • Utdaterad mjukvara
  • Webbläsartillägg
  • Nätverkshot
  • Kompatibilitetsproblem
  • Prestandaproblem
  • Svaga lösenord

Som standard är alla typer av problem aktiverade. För att sluta leta efter ett specifikt problem när du utför en smart skanning, klicka på skjutreglaget Ingår bredvid problemtypen så att den ändrar status till Avstängd.

Klick inställningar bredvid inskriptionen Söker efter virus för att ändra skanningsinställningar.

Sårbarhetshantering är identifiering, utvärdering, klassificering och val av en lösning för att eliminera sårbarheter. Sårbarhetshantering är baserad på sårbarhetsinformationsförråd, varav ett är Advanced Monitoring Vulnerability Management System.

Vår lösning kontrollerar utseendet på information om sårbarheter i operativsystem(Windows, Linux/Unix-baserad), kontors- och applikationsmjukvara, hårdvara, verktyg för informationssäkerhet.

Datakällor

Databasen för Vulnerability Management System för Prospective Monitoring-programvaran fylls automatiskt på från följande källor:

  • Databanken för informationssäkerhetshot (BDU BI) från FSTEC i Ryssland.
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debians säkerhetsbuggspårare.
  • CentOS e-postlista.

Vi använder också en automatiserad metod för att fylla på vår databas med sårbarheter. Vi har utvecklat en webcrawler och ostrukturerad dataparser som analyserar mer än hundra olika utländska och ryska källor varje dag för ett antal nyckelord- grupper i sociala nätverk, bloggar, mikrobloggar, media dedikerade till informationsteknologi och informationssäkerhet. Om dessa verktyg hittar något som uppfyller sökkriterierna kontrollerar analytikern informationen manuellt och lägger in den i sårbarhetsdatabasen.

Kontroll av sårbarhet i programvara

Med hjälp av Vulnerability Management System kan utvecklare kontrollera närvaron och statusen för upptäckta sårbarheter i tredjepartskomponenter i deras programvara.

Till exempel, i Hewlett Packard Enterprises Secure Software Developer Life Cycle-modell (SSDLC) är kontroll av tredjepartsbibliotek central.

Vårt system övervakar närvaron av sårbarheter i parallella versioner/byggen av samma mjukvaruprodukt.

Det fungerar så här:

1. Utvecklaren skickar oss en lista över tredjepartsbibliotek och komponenter som används i produkten.

2. Vi kontrollerar dagligen:

b. om det finns metoder för att eliminera tidigare upptäckta sårbarheter.

3. Vi meddelar utvecklaren om statusen eller poängsättningen för sårbarheten har ändrats, i enlighet med den angivna förebilden. Det innebär att olika utvecklingsteam inom samma företag endast kommer att meddelas och se status för sårbarheter för produkten de arbetar med.

Varningsfrekvensen för vulnerability Management System är godtyckligt konfigurerbar, men när en sårbarhet hittas med ett CVSS-värde högre än 7,5 kommer utvecklare att få en omedelbar varning.

Integration med ViPNet TIAS

ViPNet Threat Intelligence Analytics System mjukvara och hårdvarukomplex upptäcker automatiskt datorattacker och identifierar incidenter baserat på händelser som kommer från olika källor informationssäkerhet. Huvudkällan till händelser för ViPNet TIAS är ViPNet IDS, som analyserar inkommande och utgående nätverkstrafik använda grunder för beslutsregler AM-regler utvecklade av "Prospective monitoring". Vissa signaturer är skrivna för att upptäcka utnyttjande av sårbarheter.

Om ViPNet TIAS upptäcker en informationssäkerhetsincident där en sårbarhet utnyttjades, så läggs all information relaterad till sårbarheten, inklusive metoder för att eliminera eller kompensera för den negativa påverkan, automatiskt in i incidentkortet från SMS:et.

Incidenthanteringssystemet hjälper också till vid undersökningen av informationssäkerhetsincidenter genom att ge analytiker information om indikatorer på kompromisser och potentiella informationsinfrastrukturnoder som påverkas av incidenten.

Övervaka förekomsten av sårbarheter i informationssystem

Ett annat scenario för att använda ett sårbarhetshanteringssystem är skanning på begäran.

Kunden genererar självständigt en lista över system- och applikationsprogramvara och komponenter installerade på noden (arbetsstation, server, DBMS, SZI SZI, nätverksutrustning) med hjälp av inbyggda verktyg eller ett skript utvecklat av oss, överför denna lista till SMS:et och tar emot en rapport om upptäckta sårbarheter och periodiska meddelanden om deras status.

Skillnader mellan systemet och vanliga sårbarhetsskannrar:

  • Kräver inte installation av övervakningsagenter på värdar.
  • Det skapar ingen belastning på nätverket, eftersom lösningsarkitekturen i sig inte tillhandahåller agenter och skanningsservrar.
  • Skapar ingen belastning på hårdvaran, eftersom listan över komponenter skapas av systemkommandon eller ett lätt skript med öppen källkod.
  • Eliminerar möjligheten för informationsläckage. "Prospektiv övervakning" kan inte på ett tillförlitligt sätt lära sig något om den fysiska och logiska platsen eller funktionella syftet med en nod i ett informationssystem. Den enda information som lämnar kundens kontrollerade omkrets är en txt-fil med en lista över programvarukomponenter. Denna fil kontrolleras för innehåll och laddas upp till SMS av kunden själv.
  • För att systemet ska fungera behöver vi inga konton på kontrollerade noder. Information samlas in av nodadministratören för dennes räkning.
  • Säkert informationsutbyte via ViPNet VPN, IPsec eller https.

Att ansluta till sårbarhetshanteringstjänsten "Prospective Monitoring" hjälper kunden att uppfylla kravet i ANZ.1 "Identifiering, analys av sårbarheter i informationssystem och snabb eliminering av nyligen identifierade sårbarheter" av order från FSTEC i Ryssland nr 17 och 21. Vår företaget är licenstagare av FSTEC i Ryssland för tekniskt skydd av konfidentiell information.

Pris

Minimikostnaden är 25 000 rubel per år för 50 noder anslutna till systemet med ett giltigt kontrakt för anslutning till

För närvarande har ett stort antal verktyg utvecklats för att automatisera sökningen efter sårbarheter i programvara. Den här artikeln kommer att diskutera några av dem.

Introduktion

Statisk kodanalys är en mjukvaruanalys som utförs på källkoden för program och implementeras utan att faktiskt köra programmet som studeras.

Programvaran innehåller ofta olika sårbarheter på grund av fel i programkoden. Fel som görs i utvecklingen av program leder i vissa situationer till en krasch av programmet, och därför störs programmets normala drift: i det här fallet ändras data ofta och skadas, programmet eller till och med systemet stannar . De flesta av sårbarheterna är relaterade till felaktig behandling av data som tas emot utifrån, eller otillräckligt strikt verifiering av dem.

Olika metoder används för att identifiera sårbarheter. verktyg, till exempel statiska analysatorer av programmets källkod, en översikt över vilka ges i den här artikeln.

Klassificering av säkerhetsbrister

När kravet på korrekt drift av programmet på alla möjliga indata bryts, blir uppkomsten av så kallade säkerhetssårbarheter (säkerhetssårbarhet) möjlig. Säkerhetssårbarheter kan göra att ett program används för att övervinna säkerhetsbegränsningarna för hela systemet som helhet.

Klassificering av säkerhetsbrister beroende på programvarufel:

  • Buffer-överflöde. Denna sårbarhet uppstår på grund av bristen på kontroll över out-of-bounds-arrayen i minnet under programkörning. När ett datapaket som är för stort svämmar över den begränsade bufferten, skrivs innehållet i främmande minnesceller över och programmet kraschar och kraschar. Genom platsen för bufferten i processminnet särskiljs buffertspill på stacken (stackbuffertspill), heap (högbuffertspill) och statiskt dataområde (bss buffertspill).
  • Sårbarheter "tainted input" (tainted input vulnerability). Korrupta indatasårbarheter kan uppstå när användarinmatning skickas utan tillräcklig kontroll till en tolk av något externt språk (vanligtvis ett Unix-skal eller SQL-språk). I det här fallet kan användaren specificera indata på ett sådant sätt att den startade tolken kommer att utföra ett helt annat kommando än det som författarna till det sårbara programmet avsåg.
  • Formatsträngssårbarhet. Den här typen Säkerhetssårbarheten är en underklass av sårbarheten "korrupt indata". Det uppstår på grund av otillräcklig parameterkontroll när man använder format I/O-funktionerna printf, fprintf, scanf, etc. standardbibliotek C språk. Dessa funktioner tar som en av parametrarna en teckensträng som anger in- eller utformatet för efterföljande funktionsargument. Om användaren kan ställa in formateringstypen själv, kan denna sårbarhet bero på en misslyckad tillämpning av strängformateringsfunktioner.
  • Sårbarheter till följd av synkroniseringsfel (tävlingsförhållanden). Problem förknippade med multitasking leder till situationer som kallas "race conditions": ett program som inte är designat för att köras i en multitasking-miljö kan tro att till exempel filerna som det använder när de körs inte kan ändras av ett annat program. Som ett resultat kan en angripare som ersätter innehållet i dessa arbetsfiler i tid tvinga programmet att utföra vissa åtgärder.

Naturligtvis, förutom de listade, finns det andra klasser av säkerhetsbrister.

Översikt över befintliga analysatorer

Följande verktyg används för att upptäcka säkerhetsbrister i program:

  • Dynamiska debuggers. Verktyg som låter dig felsöka ett program medan det körs.
  • Statiska analysatorer (statiska debuggers). Verktyg som använder informationen som samlats under den statiska analysen av programmet.

Statiska analysatorer indikerar de platser i programmet där ett fel kan hittas. Dessa misstänkta kodavsnitt kan antingen innehålla en bugg eller vara helt ofarliga.

Den här artikeln ger en översikt över flera befintliga statiska analysatorer. Låt oss ta en närmare titt på var och en av dem.

I vissa fall beror uppkomsten av sårbarheter på användning av utvecklingsverktyg av olika ursprung, vilket ökar risken för sabotageliknande defekter i programkoden.

Sårbarheter uppstår på grund av tillägg av tredjepartskomponenter eller fritt distribuerad kod (öppen källkod) till programvaran. Andras kod används ofta "som den är" utan grundlig analys och säkerhetstestning.

Det ska inte uteslutas att det finns insiderprogrammerare i teamet som medvetet introducerar ytterligare odokumenterade funktioner eller element i produkten som skapas.

Klassificering av sårbarheter i programvara

Sårbarheter uppstår till följd av fel som uppstår under design eller skrivning av programkod.

Beroende på utseendet är denna typ av hot uppdelad i design-, implementerings- och konfigurationssårbarheter.

  1. Designfel är svårast att upptäcka och rätta till. Dessa är felaktigheter i algoritmer, bokmärken, inkonsekvenser i gränssnittet mellan olika moduler eller i protokoll för att interagera med hårdvaran, införandet av suboptimala teknologier. Deras eliminering är en mycket tidskrävande process, också eftersom de kan dyka upp i icke uppenbara fall - till exempel när trafikmängden överskrids eller när en stor mängd extra utrustning är ansluten, vilket komplicerar tillhandahållandet av den erforderliga nivån av säkerhet och leder till uppkomsten av sätt att kringgå brandväggen.
  2. Implementeringssårbarheter dyker upp när du skriver ett program eller inför säkerhetsalgoritmer i det. Dessa är felaktig organisation av beräkningsprocessen, syntaktiska och logiska defekter. Det finns dock en risk att felet leder till buffertspill eller andra typer av problem. Deras upptäckt tar lång tid, och elimineringen innebär att vissa delar av maskinkoden fixas.
  3. Konfigurationsfel för hårdvara och mjukvara är mycket vanliga. Deras vanliga orsaker är otillräcklig kvalitetsutveckling och bristen på tester för rätt arbete ytterligare egenskaper. I denna kategori ingår också enkla lösenord och lämnas oförändrad konton standard.

Enligt statistiken finns sårbarheter oftast i populära och utbredda produkter - stationära och mobila operativsystem, webbläsare.

Risker med att använda sårbara program

Program som de hittar största antal sårbarheter är installerade på nästan alla datorer. Från cyberkriminellas sida finns det ett direkt intresse av att hitta sådana brister och skriva åt dem.

Eftersom det går ganska lång tid från det att en sårbarhet upptäcks till att en korrigering (patch) publiceras, finns det ett stort antal möjligheter att infektera datorsystem genom säkerhetshål i koden. I det här fallet behöver användaren bara öppna till exempel en skadlig PDF-fil med en exploatering en gång, varefter angriparna får tillgång till datan.

Infektion i det senare fallet sker enligt följande algoritm:

  • Användaren får e-post ett nätfiskemeddelande från en betrodd avsändare.
  • Filen med utnyttjandet bifogas brevet.
  • Om användaren försöker öppna en fil är datorn infekterad med virus, trojan (kryptering) eller annan skadlig kod.
  • Cyberkriminella får obehörig åtkomst till systemet.
  • Värdefull data stjäls.

Forskning utförd av olika företag (Kaspersky Lab, Positive Technologies) visar att det finns sårbarheter i nästan alla program, inklusive antivirus. Därför är sannolikheten för att installera en mjukvaruprodukt som innehåller brister av varierande grad av kritik mycket stor.

För att minimera antalet luckor i programvaran är det nödvändigt att använda SDL (Security Development Lifecycle, säker utvecklingslivscykel). SDL-teknik används för att minska antalet buggar i applikationer i alla skeden av deras skapande och support. Sålunda, när de designar programvara, modellerar informationssäkerhetsspecialister och programmerare cyberhot för att hitta sårbarheter. Under programmeringen ingår automatiska verktyg i processen som omedelbart rapporterar potentiella brister. Utvecklare siktar på att avsevärt begränsa de funktioner som är tillgängliga för overifierade användare, vilket hjälper till att minska attackytan.

För att minimera effekten av sårbarheter och skador från dem måste du följa några regler:

  • Installera snabbt utvecklarsläppta korrigeringar (patchar) för applikationer eller (helst) aktivera automatiskt läge uppdateringar.
  • Om möjligt, installera inte tvivelaktiga program vars kvalitet och teknisk support ställa frågor.
  • Använd speciella sårbarhetsskannrar eller specialiserade funktioner i antivirusprodukter som låter dig söka efter säkerhetsfel och uppdatera programvara vid behov.

Ett annat sätt att se på detta problem är att företag måste reagera snabbt när en applikation har en sårbarhet. Detta kräver att IT-avdelningen definitivt kan spåra installerade applikationer, komponenter och patchar med automationsverktyg och standardverktyg. Det finns en industriansträngning för att standardisera programvarutaggar (19770-2), som är XML-filer installerade med en applikation, komponent och/eller patch som identifierar den installerade programvara, och i fallet med en komponent eller patch, vilken applikation de är en del av. Taggar har auktoritativ utgivarinformation, versionsinformation, lista över filer med filnamn, säker filhash och storlek, som kan användas för att bekräfta att det installerade programmet finns på systemet och att binärfilerna inte har modifierats av en tredje part. Dessa etiketter är digitalt signerade av utgivaren.

När en sårbarhet är känd kan IT-avdelningar använda sina tillgångshanteringsprogram för att omedelbart identifiera system med sårbar programvara och kan vidta åtgärder för att uppdatera systemen. Taggar kan vara en del av en patch eller uppdatering som kan användas för att verifiera att en patch har installerats. På detta sätt kan IT-avdelningar använda resurser som NIST National Vulnerability Database som ett sätt att hantera sina tillgångshanteringsverktyg så att när en sårbarhet väl har skickats in av ett företag till NVD, kan IT omedelbart jämföra nya sårbarheter med deras.

Det finns en grupp företag som arbetar genom en IEEE/ISTO ideell organisation som heter TagVault.org (www.tagvault.org) med den amerikanska regeringen på en standardimplementering av ISO 19770-2 som kommer att möjliggöra denna nivå av automatisering. Vid någon tidpunkt kommer dessa taggar som motsvarar denna implementering med största sannolikhet att vara obligatoriska för programvara som säljs till den amerikanska regeringen någon gång under de närmaste åren.

Så i slutändan är det bra att inte posta vilka appar och specifika programversioner du använder, men det kan vara svårt, som tidigare nämnts. Du vill försäkra dig om att du har en korrekt, uppdaterad programvaruinventering, att den regelbundet jämförs med en lista över kända sårbarheter som NVD:s NVID, och att IT-avdelningen kan vidta omedelbara åtgärder för att åtgärda hotet. tillsammans med den senaste upptäckten Intrång, antivirusskanning och andra medelblockeringsmetoder kommer åtminstone att göra det mycket svårt att äventyra din miljö, och om/när det gör det kommer det inte att upptäckas under en lång tidsperiod .