Ohjelmiston haavoittuvuudet. Älykäs skannaus. Havaittujen ongelmien ratkaiseminen

Joissakin tapauksissa haavoittuvuuksia syntyy eri alkuperää olevien kehitystyökalujen käytöstä, mikä lisää riskiä sabotaasityyppisten vikojen ilmaantumisesta ohjelmakoodiin.

Haavoittuvuuksia ilmenee, koska ohjelmistoon on lisätty kolmannen osapuolen komponentteja tai vapaasti jaettua koodia (avoin lähdekoodi). Jonkun toisen koodia käytetään usein "sellaisenaan" ilman perusteellista analysointia ja turvatestausta.

Ei pidä sulkea pois sisäpiiriohjelmoijien läsnäoloa tiimissä, jotka tarkoituksella ottavat käyttöön lisää dokumentoimattomia toimintoja tai elementtejä.

Ohjelman haavoittuvuuksien luokitus

Haavoittuvuudet johtuvat suunnittelu- tai kirjoitusvaiheessa havaituista virheistä. ohjelmakoodi.

Esiintymisvaiheesta riippuen tämäntyyppinen uhka jaetaan suunnittelu-, toteutus- ja konfigurointihaavoittuvuuksiin.

  1. Suunnittelun aikana tehdyt virheet ovat vaikeimpia havaita ja poistaa. Nämä ovat epätarkkuuksia algoritmeissa, kirjanmerkeissä, epäjohdonmukaisuuksia eri moduulien välisissä käyttöliittymissä tai laitteiston kanssa käytettäviä vuorovaikutusprotokollia ja alioptimaalisten teknologioiden käyttöönotto. Niiden poistaminen on erittäin työläs prosessi, muun muassa siksi, että ne voivat ilmaantua epäselvissä tapauksissa - esimerkiksi silloin, kun suunniteltu liikennemäärä ylittyy tai kun liitetään suuri määrä lisälaitteita, mikä vaikeuttaa vaadittujen laitteiden toimittamista. turvallisuuden tasoa ja johtaa tapoihin ohittaa palomuuri.
  2. Toteutushaavoittuvuudet ilmenevät ohjelman kirjoittamisen tai suojausalgoritmien toteuttamisen vaiheessa. Tämä on laskentaprosessin virheellinen organisointi, syntaktisia ja loogisia virheitä. On olemassa vaara, että vika johtaa puskurin ylivuotoon tai muihin ongelmiin. Niiden havaitseminen vie paljon aikaa, ja niiden poistaminen edellyttää tiettyjen konekoodin osien korjaamista.
  3. Laitteiston ja ohjelmiston asetusvirheet ovat melko yleisiä. Niiden yleisinä syinä ovat riittämätön kehitystyö ja lisätoimintojen oikeaa toimintaa koskevien testien puute. Tämä luokka voi sisältää myös yksinkertaiset salasanat ja oletustilit jätetään ennalleen.

Tilastojen mukaan haavoittuvuuksia löytyy erityisen usein suosituista ja yleisistä tuotteista - pöytäkoneista ja mobiililaitteista. käyttöjärjestelmät, selaimet.

Haavoittuvien ohjelmien käytön riskit

Eniten haavoittuvuuksia sisältävät ohjelmat on asennettu lähes kaikkiin tietokoneisiin. Verkkorikollisilla on suora kiinnostus löytää tällaisia ​​puutteita ja kirjoittaa niille.

Koska haavoittuvuuden havaitsemisesta korjauksen (korjauksen) julkaisemiseen kuluu melko paljon aikaa, tartunnan mahdollisuuksia on melkoinen määrä. tietokonejärjestelmät ohjelmakoodin suojausaukkojen kautta. Tällöin käyttäjän tarvitsee vain avata esimerkiksi haitallinen PDF-tiedosto hyväksikäytöllä kerran, jonka jälkeen hyökkääjät pääsevät käsiksi tietoihin.

Jälkimmäisessä tapauksessa infektio tapahtuu seuraavan algoritmin mukaisesti:

  • Käyttäjä saa sähköposti phishing-sähköposti luotettavalta lähettäjältä.
  • Kirjeeseen on liitetty tiedosto, jossa on hyväksikäyttö.
  • Jos käyttäjä yrittää avata tiedoston, tietokone saa viruksen, troijalaisen (salauksen) tai muun haittaohjelman tartunnan.
  • Kyberrikolliset pääsevät järjestelmään luvattomasti.
  • Arvokasta dataa varastetaan.

Tutkimus suoritettu erilaisia ​​yrityksiä(Kaspersky Lab, Positive Technologies) osoittavat, että haavoittuvuuksia on lähes kaikissa sovelluksissa, myös virustorjuntaohjelmissa. Siksi on erittäin todennäköistä, että asennetaan ohjelmistotuote, joka sisältää eriasteisia kriittisiä puutteita.

Ohjelmiston aukkojen määrän minimoimiseksi on tarpeen käyttää SDL:ää (Security Development Lifecycle, suojattu elinkaari kehitys). SDL-tekniikkaa käytetään vähentämään virheiden määrää sovelluksissa niiden luomisen ja tuen kaikissa vaiheissa. Suunniteltaessa siis ohjelmisto Tietoturvaasiantuntijat ja ohjelmoijat mallintavat kyberuhkia löytääkseen haavoittuvuuksia. Ohjelmoinnin aikana prosessiin sisällytetään automaattiset työkalut, jotka ilmoittavat välittömästi mahdollisista virheistä. Kehittäjät pyrkivät rajoittamaan merkittävästi epäluotettavien käyttäjien saatavilla olevia toimintoja, mikä auttaa vähentämään hyökkäyspintaa.

Minimoidaksesi haavoittuvuuksien vaikutukset ja niiden aiheuttamat vahingot sinun on noudatettava joitain sääntöjä:

  • Asenna nopeasti kehittäjien julkaisemat korjaukset (korjaukset) sovelluksiin tai (mieluiten) ota käyttöön automaattinen tila päivitykset.
  • Jos mahdollista, älä asenna kyseenalaisia ​​ohjelmia, joiden laatu ja tekninen tuki herättää kysymyksiä.
  • Käytä erityisiä haavoittuvuusskannereita tai virustorjuntatuotteiden erikoistoimintoja, joiden avulla voit etsiä tietoturvavirheitä ja tarvittaessa päivittää ohjelmistoja.

Käynnistyksessä älykäs skannaus Avast tarkistaa tietokoneesi seuraavan tyyppisten ongelmien varalta ja ehdottaa sitten ratkaisuja niihin.

  • Virukset: tiedostot, jotka sisältävät vahingoittava koodi, mikä saattaa vaikuttaa tietokoneesi turvallisuuteen ja suorituskykyyn.
  • Haavoittuva ohjelmisto: Ohjelmat, jotka vaativat päivitystä ja joita hyökkääjät voivat käyttää päästäkseen järjestelmääsi.
  • Selainlaajennukset, joilla on huono maine: Selainlaajennukset, jotka asennetaan yleensä tietämättäsi ja jotka vaikuttavat järjestelmän suorituskykyyn.
  • Heikot salasanat: Salasanat, joilla päästään useampaan kuin yhteen verkkotiliin ja jotka voidaan helposti murtautua tai vaarantua.
  • Verkkouhat: Verkkosi haavoittuvuudet, jotka voivat sallia hyökkäykset verkkolaitteitasi ja reitittimiäsi vastaan.
  • Suorituskykyongelmat: esineet ( tarpeettomia tiedostoja ja sovellukset, asetuksiin liittyvät ongelmat), jotka voivat häiritä tietokoneen toimintaa.
  • Ristiriitaiset virustorjuntaohjelmat: Avast-tietokoneellesi asennetut virustorjuntaohjelmat. Saatavuus useita virustorjuntaohjelmat hidastaa tietokonettasi ja heikentää virussuojauksen tehokkuutta.

Huomautus. Tietyt Smart Scanin havaitsemat ongelmat saattavat vaatia erillisen lisenssin ratkaisemiseksi. Tarpeettomien ongelmatyyppien tunnistaminen voidaan poistaa käytöstä .

Havaittujen ongelmien ratkaiseminen

Vihreä valintamerkki skannausalueen vieressä osoittaa, että tällä alueella ei löytynyt ongelmia. Punainen risti tarkoittaa, että skannaus on tunnistanut yhden tai useamman asiaan liittyvän ongelman.

Katso tarkkoja tietoja havaituista ongelmista napsauttamalla Ratkaise kaikki. Älyskannaus näyttää kunkin ongelman tiedot ja tarjoaa mahdollisuuden korjata se välittömästi napsauttamalla kohdetta Päättää tai tee se myöhemmin napsauttamalla Ohita tämä vaihe.

Huomautus. Virustorjuntalokit näkyvät tarkistushistoriassa, johon pääset valitsemalla Suojaus Antivirus.

Hallitse Smart Scan -asetuksia

Jos haluat muuttaa Smart Scan -asetuksia, valitse Asetukset Yleiset Smart Scan ja määritä, minkä seuraavista ongelmatyypeistä haluat Smart Scan -tarkistuksen.

  • Virukset
  • Vanhentunut ohjelmisto
  • Selaimen lisäosat
  • Verkkouhat
  • Yhteensopivuusongelmat
  • Suorituskykyongelmat
  • Heikot salasanat

Oletusarvoisesti kaikki ongelmatyypit ovat käytössä. Jos haluat lopettaa tietyn ongelman tarkistamisen Smart Scan -toiminnon aikana, napsauta liukusäädintä Mukana ongelman tyypin vieressä niin, että se muuttaa tilaksi Sammutettu.

Klikkaus asetukset kirjoituksen vieressä Virustarkistus muuttaaksesi skannausasetuksia.

Haavoittuvuuksien hallinta on haavoittuvuuksien tunnistamista, arviointia, luokittelua ja ratkaisun valintaa. Haavoittuvuuksien hallinnan perusta on haavoittuvuuksia koskevien tietojen arkistot, joista yksi on "Forward Monitoring" haavoittuvuuksien hallintajärjestelmä.

Ratkaisumme valvoo haavoittuvuuksia koskevien tietojen ilmaantumista käyttöjärjestelmissä (Windows, Linux/Unix-pohjainen), toimisto- ja sovellusohjelmistoja, laitteistoohjelmistoja ja tietoturvatyökaluja.

Tietolähteet

Perspective Monitoring Software Vulnerability Management System -tietokanta päivitetään automaattisesti seuraavista lähteistä:

  • Tietoturvauhkien tietopankki (BIS) Venäjän FSTEC.
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debianin.
  • CentOS-postituslista.

Käytämme myös automaattista menetelmää haavoittuvuustietokantamme päivittämiseen. Olemme kehittäneet indeksointirobotin ja jäsentämättömän datan jäsentimen, joka analysoi päivittäin yli sata erilaista ulkomaista ja venäläistä lähdettä useista avainsanoja- ryhmät sosiaalisissa verkostoissa, blogit, mikroblogit, media, joka on omistettu tietotekniikka ja tietoturvan varmistaminen. Jos nämä työkalut löytävät jotain, joka vastaa hakuehtoja, analyytikko tarkistaa tiedot manuaalisesti ja syöttää ne haavoittuvuustietokantaan.

Ohjelmiston haavoittuvuuden seuranta

Haavoittuvuuksien hallintajärjestelmän avulla kehittäjät voivat tarkkailla havaittujen haavoittuvuuksien olemassaoloa ja tilaa ohjelmistonsa kolmannen osapuolen osissa.

Esimerkiksi Hewlett Packard Enterprisen Secure Software Developer Life Cycle (SSDLC) -mallissa kolmannen osapuolen kirjastojen hallinta on keskeistä.

Järjestelmämme tarkkailee haavoittuvuuksien esiintymistä saman ohjelmistotuotteen rinnakkaisissa versioissa/koonnuksissa.

Se toimii näin:

1. Kehittäjä toimittaa meille luettelon tuotteessa käytetyistä kolmannen osapuolen kirjastoista ja komponenteista.

2. Tarkistamme päivittäin:

b. onko menetelmiä näyttänyt poistavan aiemmin löydetyt haavoittuvuudet.

3. Ilmoitamme kehittäjälle, jos haavoittuvuuden tila tai pisteytys on muuttunut määritellyn roolimallin mukaisesti. Tämä tarkoittaa, että saman yrityksen eri kehitystiimit saavat hälytyksiä ja näkevät haavoittuvuuden tilan vain sen tuotteen osalta, jonka parissa he työskentelevät.

Haavoittuvuuden hallintajärjestelmän hälytystiheys on konfiguroitavissa, mutta jos haavoittuvuus, jonka CVSS-pistemäärä on yli 7,5, havaitaan, kehittäjät saavat välittömän hälytyksen.

Integrointi ViPNet TIAS:iin

ViPNet Threat Intelligence Analytics System -ohjelmisto- ja laitteistojärjestelmä havaitsee automaattisesti tietokonehyökkäykset ja tunnistaa tapaukset eri lähteistä saatujen tapahtumien perusteella. tietoturva. ViPNet TIAS:n pääasiallinen tapahtumalähde on ViPNet IDS, joka analysoi tulevaa ja lähtevää verkkoliikennettä käyttämällä Perspective Monitoringin kehittämää AM Rules -päätössääntöpohjaa. Jotkut allekirjoitukset on kirjoitettu havaitsemaan haavoittuvuuksien hyväksikäyttö.

Jos ViPNet TIAS havaitsee tietoturvahäiriön, jossa haavoittuvuutta on käytetty hyväksi, niin kaikki haavoittuvuuteen liittyvät tiedot, mukaan lukien menetelmät negatiivisen vaikutuksen poistamiseksi tai kompensoimiseksi, syötetään automaattisesti tapahtumakorttiin hallintajärjestelmästä.

Tapahtumien hallintajärjestelmä auttaa myös tietoturvapoikkeamien tutkinnassa tarjoamalla analyytikoille tietoa vaaratilanteista ja mahdollisista tietoinfrastruktuurisolmuista, joihin tapahtuma vaikuttaa.

Tietojärjestelmien haavoittuvuuksien seuranta

Toinen skenaario haavoittuvuuksien hallintajärjestelmän käyttämiselle on pyynnöstä tehtävä tarkistus.

Asiakas luo itsenäisesti sisäänrakennetuilla työkaluilla tai kehittämällämme skriptillä listan solmuun asennetuista (työasema, palvelin, DBMS, tietoturvaohjelmistopaketti, verkkolaitteisto).

Erot järjestelmän ja yleisten haavoittuvuustarkistajien välillä:

  • Ei vaadi valvontaagenttien asentamista solmuihin.
  • Ei kuormita verkkoa, koska ratkaisuarkkitehtuuri itsessään ei tarjoa skannausagentteja ja palvelimia.
  • Ei kuormita laitetta, koska komponenttiluettelo luodaan järjestelmän komennot tai kevyt avoimen lähdekoodin skripti.
  • Poistaa tiedon vuotamisen mahdollisuuden. "Prospektiivinen seuranta" ei voi luotettavasti oppia mitään solmun fyysisestä ja loogisesta sijainnista tai toiminnallisesta tarkoituksesta tietojärjestelmässä. Ainoa tieto, joka poistuu asiakkaan hallinnasta, on txt-tiedosto luetteloineen ohjelmistokomponentit. Asiakas itse tarkistaa tämän tiedoston sisällön ja lataa sen valvontajärjestelmään.
  • Emme tarvitse, jotta järjestelmä toimisi Tilit ohjatuissa solmuissa. Sivuston ylläpitäjä kerää tiedot omasta puolestaan.
  • Suojattu tiedonvaihto ViPNet VPN:n, IPsecin tai https:n kautta.

Yhteyden muodostaminen Perspective Monitoring -haavoittuvuuksien hallintapalveluun auttaa asiakasta täyttämään ANZ.1-vaatimuksen "Haavoittuvuuksien tunnistaminen ja analysointi tietojärjestelmä ja äskettäin havaittujen haavoittuvuuksien nopea poistaminen" Venäjän FSTEC:n tilauksista nro 17 ja 21. Yrityksemme on Venäjän FSTEC:n toimiluvan haltija tekninen suojaus luottamuksellista tietoa.

Hinta

Vähimmäiskustannukset - 25 000 ruplaa vuodessa 50 järjestelmään liitetylle solmulle, jos liittämisestä on voimassa oleva sopimus

Toinen tapa tarkastella tätä ongelmaa on se, että yritysten on reagoitava nopeasti, kun sovelluksessa on haavoittuvuus. Tämä edellyttää IT-osaston kykyä seurata lopullisesti asennetut sovellukset, komponentit ja korjaustiedostot automaatiolla ja vakiotyökaluilla. Teollisuus pyrkii standardisoimaan ohjelmistotunnisteita (19770-2), jotka ovat XML-tiedostoja, jotka on asennettu sovelluksen, komponentin ja/tai korjaustiedoston kanssa ja jotka tunnistavat asennetun ohjelmiston, ja jos kyseessä on komponentti tai korjaustiedosto, mikä sovellus ne ovat. osa. Tunnisteilla on julkaisijan auktoriteettitiedot, versiotiedot, tiedostoluettelo tiedostonimineen, tiedoston suojattu hajautusarvo ja koko, joiden avulla voidaan varmistaa, että asennettu sovellus on järjestelmässä ja että binaaritiedostoja ei ole kolmannen osapuolen muuttama. Julkaisija on allekirjoittanut nämä tunnisteet digitaalisesti.

Kun haavoittuvuus on tiedossa, IT-osastot voivat käyttää omaisuudenhallintaohjelmistoaan tunnistaakseen välittömästi järjestelmät, joissa on haavoittuvia ohjelmistoja, ja ryhtyä toimenpiteisiin järjestelmien päivittämiseksi. Tunnisteet voivat olla osa korjaustiedostoa tai päivitystä, jonka avulla voidaan varmistaa, että korjaustiedosto on asennettu. Tällä tavalla IT-osastot voivat käyttää resursseja, kuten NIST National Vulnerability Database -tietokantaa, keinona hallita omaisuudenhallintatyökalujaan, joten kun yritys on toimittanut haavoittuvuuden NVD:lle, IT voi välittömästi verrata uusia haavoittuvuuksia omaansa.

Ryhmä yrityksiä työskentelee IEEE/ISTOn voittoa tavoittelemattoman järjestön nimeltä TagVault.org (www.tagvault.org) kautta Yhdysvaltain hallituksen kanssa ISO 19770-2:n standarditoteutuksen parissa, joka mahdollistaa tämän tason automatisoinnin. Jossain vaiheessa nämä tätä toteutusta vastaavat tunnisteet ovat todennäköisesti pakollisia Yhdysvaltain hallitukselle myytäville ohjelmistoille jossain vaiheessa seuraavien parin vuoden aikana.

Joten loppujen lopuksi on hyvä käytäntö olla julkaisematta käyttämiäsi sovelluksia ja ohjelmistoversioita, mutta tämä voi olla vaikeaa, kuten aiemmin todettiin. Haluat varmistaa, että sinulla on tarkka ja ajan tasalla oleva ohjelmistotietokanta, että sitä verrataan säännöllisesti tunnettujen haavoittuvuuksien luetteloon, kuten NVD:n NVIDiin, ja että IT voi ryhtyä välittömiin toimiin uhan poistamiseksi. uusimmalla havainnolla Tunkeukset, virustentorjunta ja muut ympäristön lukitustekniikat tekevät ympäristösi vaarantumisen ainakin erittäin vaikeaksi, ja jos/kun se tapahtuu, sitä ei havaita pitkään aikaan.