Savunmasız programlar. Akıllı tarama. Savunmasız programları kullanmanın riskleri

Şu anda geliştirildi çok sayıda Programdaki güvenlik açıklarını aramayı otomatikleştirmek için tasarlanmış araçlar. Bu makalede bunlardan bazıları tartışılacaktır.

giriiş

Statik kod analizi analizdir yazılım Programların kaynak kodunda üretilen ve incelenen programın fiili olarak yürütülmesi olmadan uygulanan.

Yazılımlar genellikle program kodundaki hatalardan dolayı çeşitli güvenlik açıkları içerir. Programların geliştirilmesi sırasında yapılan hatalar, bazı durumlarda programın başarısız olmasına neden olur ve bunun sonucunda programın normal işleyişi bozulur: bu genellikle verilerde değişiklik ve hasara, programın hatta sistemin durmasına neden olur. Güvenlik açıklarının çoğu, dışarıdan alınan verilerin yanlış işlenmesiyle veya bunların yeterince katı bir şekilde doğrulanmamasıyla ilişkilidir.

Güvenlik açıklarını belirlemek için çeşitli yöntemler kullanılır aletlerörneğin statik analizörler kaynak kodu Bu makalede genel bakışı verilen programlar.

Güvenlik açıklarının sınıflandırılması

Gereksinim olduğunda doğru işlem programın olası tüm giriş verileri ihlal edilirse, sözde güvenlik açıklarının ortaya çıkması mümkün hale gelir. Güvenlik açıkları, tek bir programın tüm sistemin güvenlik sınırlamalarını aşmak için kullanılabileceği anlamına gelebilir.

Güvenlik açıklarının yazılım hatalarına göre sınıflandırılması:

  • Arabellek taşması. Bu güvenlik açığı, programın yürütülmesi sırasında bellekteki dizi sınırlarının aşılması üzerinde denetim eksikliği nedeniyle oluşur. Çok büyük bir veri paketi sınırlı boyutlu arabelleği aştığında, yabancı bellek konumlarının içeriğinin üzerine yazılır ve bu da programın çökmesine ve programdan çıkmasına neden olur. Arabellekin işlem belleğindeki konumuna bağlı olarak, arabellek taşmaları yığında (yığın arabellek taşması), yığında (yığın arabellek taşması) ve statik veri alanında (bss arabellek taşması) ayırt edilir.
  • Kusurlu giriş güvenlik açığı. Kullanıcı girişi, yeterli kontrol olmadan bazı harici dillerin (genellikle Unix kabuğu veya SQL) yorumlayıcısına aktarıldığında bozuk giriş güvenlik açıkları ortaya çıkabilir. Bu durumda kullanıcı, giriş verilerini, başlatılan yorumlayıcının, güvenlik açığı bulunan programın yazarlarının amaçladığından tamamen farklı bir komutu yürüteceği şekilde belirtebilir.
  • Biçim dizesi güvenlik açığı. Bu tip Güvenlik açıkları, "kusurlu giriş" güvenlik açığının bir alt sınıfıdır. Bu durum, printf, fprintf, scanf vb. format G/Ç işlevlerini kullanırken yetersiz parametre kontrolü nedeniyle oluşur. standart kütüphane C dili. Bu işlevler, sonraki işlev bağımsız değişkenlerinin giriş veya çıkış biçimini belirten bir karakter dizesini parametrelerinden biri olarak alır. Kullanıcı biçimlendirme türünü belirleyebilirse, bu güvenlik açığı dize biçimlendirme işlevlerinin başarısız kullanılmasından kaynaklanabilir.
  • Senkronizasyon hatalarından (yarış koşulları) kaynaklanan güvenlik açıkları. Çoklu görevle ilgili sorunlar "yarış koşulları" olarak adlandırılan durumlara yol açar: çoklu görev ortamında çalışacak şekilde tasarlanmamış bir program, örneğin kullandığı dosyaların başka bir program tarafından değiştirilemeyeceğine inanabilir. Sonuç olarak, bu çalışma dosyalarının içeriğini zamanında değiştiren bir saldırgan, programı belirli eylemleri gerçekleştirmeye zorlayabilir.

Tabii ki, listelenenlere ek olarak başka güvenlik açıkları sınıfları da var.

Mevcut analizörlerin gözden geçirilmesi

Programlardaki güvenlik açıklarını tespit etmek için aşağıdaki araçlar kullanılır:

  • Dinamik hata ayıklayıcılar. Bir programın yürütülmesi sırasında hata ayıklamanıza olanak tanıyan araçlar.
  • Statik analizörler (statik hata ayıklayıcılar). Bir programın statik analizi sırasında biriken bilgileri kullanan araçlar.

Statik analizörler programda hatanın bulunabileceği yerleri işaret eder. Bu şüpheli kod parçaları ya bir hata içerebilir ya da tamamen zararsız olabilir.

Bu makale, mevcut çeşitli statik analizörlere genel bir bakış sunmaktadır. Her birine daha yakından bakalım.

Güvenlik açığı yönetimi, güvenlik açıklarını gidermek için bir çözümün belirlenmesi, değerlendirilmesi, sınıflandırılması ve seçilmesidir. Zafiyet yönetiminin temeli, zafiyetlerle ilgili bilgi depolarıdır; bunlardan biri “İleri İzleme” Zafiyet Yönetim Sistemidir.

Çözümümüz, güvenlik açıklarıyla ilgili bilgilerin görünümünü kontrol ediyor işletim sistemleri(Windows, Linux/Unix tabanlı), ofis ve uygulama yazılımları, ekipman yazılımları, bilgi güvenliği araçları.

Veri kaynakları

Perspektif İzleme Yazılımı Güvenlik Açığı Yönetim Sisteminin veri tabanı aşağıdaki kaynaklardan otomatik olarak güncellenmektedir:

  • Bilgi Güvenliği Tehditleri Veri Bankası (BDU BI) Rusya FSTEC.
  • Ulusal Güvenlik Açığı Veritabanı (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Güvenlik Hata Takibi.
  • CentOS Posta Listesi.

Ayrıca güvenlik açığı veritabanımızı güncellemek için otomatik bir yöntem kullanıyoruz. Her gün çeşitli ülkelerde yüzden fazla farklı yabancı ve Rus kaynağı analiz eden bir web tarayıcısı ve yapılandırılmamış veri ayrıştırıcı geliştirdik. anahtar kelimeler- sosyal ağlardaki gruplar, bloglar, mikrobloglar, medyaya adanmış Bilişim teknolojisi ve bilgi güvenliğinin sağlanması. Bu araçlar, arama kriterleriyle eşleşen bir şey bulursa analist, bilgiyi manuel olarak kontrol eder ve güvenlik açığı veritabanına girer.

Yazılım güvenlik açığı izleme

Geliştiriciler, Güvenlik Açığı Yönetim Sistemini kullanarak, yazılımlarının üçüncü taraf bileşenlerinde tespit edilen güvenlik açıklarının varlığını ve durumunu izleyebilir.

Örneğin, Hewlett Packard Enterprise'ın Güvenli Yazılım Geliştirici Yaşam Döngüsü (SSDLC) modelinde, üçüncü taraf kitaplıkların kontrolü merkezidir.

Sistemimiz, aynı yazılım ürününün paralel sürümlerindeki/yapılarındaki güvenlik açıklarının varlığını izler.

Bu şekilde çalışır:

1. Geliştirici bize, üründe kullanılan üçüncü taraf kitaplıkların ve bileşenlerin bir listesini sağlar.

2. Günlük olarak kontrol ediyoruz:

B. Daha önce keşfedilen güvenlik açıklarını ortadan kaldıracak yöntemlerin ortaya çıkıp çıkmadığı.

3. Belirlenen rol modeline uygun olarak güvenlik açığının durumunda veya puanlamasında değişiklik olması durumunda geliştiriciye bilgi veririz. Bu, aynı şirketteki farklı geliştirme ekiplerinin uyarı alacağı ve yalnızca üzerinde çalıştıkları ürüne ilişkin güvenlik açığı durumunu göreceği anlamına geliyor.

Güvenlik Açığı Yönetim Sistemi uyarı sıklığı yapılandırılabilir ancak CVSS puanı 7,5'un üzerinde olan bir güvenlik açığı tespit edilirse geliştiriciler anında bir uyarı alacaktır.

ViPNet TIAS ile entegrasyon

ViPNet Tehdit İstihbaratı Analitik Sistemi yazılım ve donanım sistemi, bilgisayar saldırılarını otomatik olarak algılar ve çeşitli kaynaklardan alınan olaylara göre olayları tanımlar. bilgi Güvenliği. ViPNet TIAS için olayların ana kaynağı, gelen ve gidenleri analiz eden ViPNet IDS'dir. ağ trafiği“Geleceğe Yönelik İzleme”nin geliştirilmesi için AM Kurallarının karar kurallarının temellerinin kullanılması. Bazı imzalar güvenlik açıklarından yararlanıldığını tespit etmek için yazılır.

ViPNet TIAS, bir güvenlik açığının istismar edildiği bir bilgi güvenliği olayı tespit ederse, olumsuz etkiyi ortadan kaldırma veya telafi etme yöntemleri de dahil olmak üzere güvenlik açığıyla ilgili tüm bilgiler, yönetim sisteminden olay kartına otomatik olarak girilir.

Olay yönetimi sistemi aynı zamanda bilgi güvenliği olaylarının araştırılmasına da yardımcı olur ve analistlere risk göstergeleri ve olaydan etkilenen potansiyel bilgi altyapısı düğümleri hakkında bilgi sağlar.

Bilgi sistemlerindeki güvenlik açıklarının varlığının izlenmesi

Güvenlik açığı yönetim sisteminin kullanılmasına yönelik başka bir senaryo, isteğe bağlı taramadır.

Müşteri, yerleşik araçları veya tarafımızca geliştirilen bir komut dosyasını kullanarak, düğümde kurulu olanların (iş istasyonu, sunucu, DBMS, bilgi güvenliği yazılım paketi, ağ donanımı) sistem ve uygulama yazılım ve bileşenleri, bu listeyi kontrol sistemine iletir ve tespit edilen zafiyetlere ilişkin bir rapor ve bunların durumu hakkında periyodik bildirimler alır.

Sistem ile yaygın güvenlik açığı tarayıcıları arasındaki farklar:

  • Düğümlere izleme aracılarının yüklenmesini gerektirmez.
  • Çözüm mimarisinin kendisi tarama aracıları ve sunucuları sağlamadığından ağ üzerinde bir yük oluşturmaz.
  • Bileşenlerin listesi sistem komutları veya hafif bir açık kaynak kodlu komut dosyası tarafından oluşturulduğundan ekipman üzerinde bir yük oluşturmaz.
  • Bilgi sızıntısı olasılığını ortadan kaldırır. "İleriye yönelik izleme", bilgi sistemindeki bir düğümün fiziksel ve mantıksal konumu veya işlevsel amacı hakkında güvenilir bir şekilde hiçbir şey öğrenemez. Müşterinin kontrollü çevresinden çıkan tek bilgi, yazılım bileşenlerinin listesini içeren bir txt dosyasıdır. Bu dosyanın içeriği müşterinin kendisi tarafından kontrol edilir ve kontrol sistemine yüklenir.
  • Sistemin çalışması için kontrollü düğümlerde hesaplara ihtiyacımız yok. Bilgiler site yöneticisi tarafından kendi adına toplanır.
  • ViPNet VPN, IPsec veya https aracılığıyla güvenli bilgi alışverişi.

Perspective Monitoring güvenlik açığı yönetimi hizmetine bağlanmak, müşterinin ANZ.1 "Güvenlik açıklarının tanımlanması ve analizi" gereksinimini yerine getirmesine yardımcı olur bilgi sistemi Ve hızlı eleme Rusya FSTEC'in 17 ve 21 numaralı emirlerinin yeni tanımlanan güvenlik açıkları". Şirketimiz, gizli bilgilerin teknik korunmasına ilişkin faaliyetler için Rusya FSTEC'in lisans sahibidir.

Fiyat

Minimum maliyet - geçerli bir bağlantı sözleşmesi varsa, sisteme bağlı 50 düğüm için yılda 25.000 ruble

Bu soruna bakmanın bir başka yolu da şirketlerin bir uygulamada güvenlik açığı bulunduğunda hızlı tepki vermeleri gerektiğidir. Bu, BT departmanının kesin olarak takip edebilmesini gerektirir. yüklü uygulamalar otomasyon ve standart araçları kullanarak bileşenler ve yamalar. Yüklü yazılımı tanımlayan bir uygulama, bileşen ve/veya yama ile birlikte yüklenen XML dosyaları olan yazılım etiketlerini (19770-2) ve bir bileşen veya yama durumunda bunların hangi uygulama olduğunu standartlaştırmaya yönelik bir endüstri çabası vardır. parçası. Etiketlerde yetkili yayıncı bilgileri, sürüm bilgileri, dosya adı ile dosya listesi, güvenli dosya karması ve boyut; yüklü uygulamanın sistemde olduğunu ve ikili dosyaların üçüncü bir tarafça değiştirilmediğini doğrulamak için kullanılabilir. Bu etiketler imzalanmıştır elektronik imza Yayımcı.

Bir güvenlik açığı bilindiğinde BT departmanları, güvenlik açığı bulunan yazılımlara sahip sistemleri anında tespit etmek için varlık yönetimi yazılımlarını kullanabilir ve sistemleri güncellemek için gerekli adımları atabilir. Etiketler, yamanın yüklendiğini doğrulamak için kullanılabilecek bir yamanın veya güncellemenin parçası olabilir. Bu şekilde BT departmanları, varlık yönetimi araçlarını yönetmek için NIST Ulusal Güvenlik Açığı Veritabanı gibi kaynakları kullanabilir, böylece bir şirket tarafından NVD'ye bir güvenlik açığı gönderildiğinde BT, yeni güvenlik açıklarını hemen kendi güvenlik açıklarıyla karşılaştırabilir.

Bu düzeyde otomasyona izin verecek standart bir ISO 19770-2 uygulaması üzerinde ABD hükümetiyle birlikte TagVault.org (www.tagvault.org) adlı IEEE/ISTO kar amacı gütmeyen bir kuruluş aracılığıyla çalışan bir grup şirket bulunmaktadır. Bir noktada, bu uygulamaya karşılık gelen bu etiketler önümüzdeki birkaç yıl içerisinde ABD hükümetine satılan yazılımlar için muhtemelen zorunlu olacaktır.

Dolayısıyla günün sonunda, hangi uygulamaları ve belirli yazılım sürümlerini kullandığınızı paylaşmamak iyi bir uygulamadır, ancak daha önce de belirtildiği gibi bu zor olabilir. Doğru, güncel bir yazılım envanterine sahip olduğunuzdan, bunun NVD'nin NVID'si gibi bilinen güvenlik açıkları listesiyle düzenli olarak karşılaştırıldığından ve BT'nin tehdidi ortadan kaldırmak için anında harekete geçebildiğinden emin olmak istiyorsunuz. En son tespit ile İzinsiz girişler, anti-virüs taraması ve diğer ortam kilitleme teknikleri, en azından ortamınızın tehlikeye atılmasını çok zorlaştıracak ve bu gerçekleşirse/geçtiğinde, uzun bir süre boyunca tespit edilmeyecektir.

Başlangıçta akıllı tarama Avast programı PC'nizde aşağıdaki sorun türlerini kontrol edecek ve ardından bunları çözmek için çözümler sunacaktır.

  • Virüsler: içeren dosyalar zararlı kod Bu, bilgisayarınızın güvenliğini ve performansını etkileyebilir.
  • Savunmasız yazılım: Güncellenmesi gereken ve saldırganların sisteminize erişim sağlamak için kullanabileceği programlar.
  • Kötü bir üne sahip tarayıcı uzantıları: Genellikle bilginiz dışında yüklenen ve sistem performansını etkileyen tarayıcı uzantıları.
  • Zayıf şifreler: Birden fazla erişim için kullanılan şifreler hesapçevrimiçidir ve kolayca saldırıya uğrayabilir veya ele geçirilebilir.
  • Ağ tehditleri: ağınızdaki saldırılara izin verebilecek güvenlik açıkları ağ cihazları ve bir yönlendirici.
  • Performans sorunları: nesneler ( gereksiz dosyalar ve uygulamalar, ayarlarla ilgili sorunlar) bilgisayarın çalışmasına müdahale edebilir.
  • Çakışan antivirüsler: Avast ile bilgisayarınıza yüklenen antivirüs programları. Birkaçının mevcudiyeti antivirüs programları PC'nizi yavaşlatır ve anti-virüs korumasının etkinliğini azaltır.

Not. Smart Scan tarafından tespit edilen bazı sorunların çözülmesi için ayrı bir lisans gerekebilir. Gereksiz sorun türlerinin tespiti .

Tespit edilen sorunları çözme

Tarama alanının yanındaki yeşil onay işareti, o alanda herhangi bir sorun bulunmadığını gösterir. Kırmızı çarpı, taramanın bir veya daha fazla ilgili sorunu tanımladığı anlamına gelir.

Algılanan sorunlarla ilgili belirli ayrıntıları görüntülemek için Her şeyi çöz. Smart Scan her sorunun ayrıntılarını gösterir ve öğeye tıklanarak sorunu hemen düzeltme seçeneği sunar Karar vermek veya daha sonra tıklayarak yapın Bu adımı atla.

Not. Antivirüs tarama günlükleri, seçilerek erişilebilen tarama geçmişinde görülebilir. Koruma Antivirüs.

Smart Scan Ayarlarını Yönetin

Smart Scan ayarlarını değiştirmek için Ayarlar Genel Smart Scan ve aşağıdaki sorun türlerinden hangisi için akıllı tarama yapmak istediğinizi belirtin.

  • Virüsler
  • Güncel olmayan yazılım
  • Tarayıcı eklentileri
  • Ağ tehditleri
  • Uyumluluk sorunları
  • Performans sorunları
  • Zayıf şifreler

Varsayılan olarak tüm sorun türleri etkindir. Smart Scan çalıştırırken belirli bir sorunu kontrol etmeyi durdurmak için kaydırıcıyı tıklayın. Dahil durumu değiştirecek şekilde sorun türünün yanında Kapalı.

Tıklamak Ayarlar yazıtın yanında Virüs taraması Tarama ayarlarını değiştirmek için