Contactos
el principal

Gestión de vulnerabilidades. Escaneo inteligente Cómo identificar correctamente el software vulnerable

En algunos casos, la aparición de vulnerabilidades se debe al uso de medios para desarrollar diversos origen, lo que aumenta el riesgo de desviar los defectos de tipo en el código del programa.

Las vulnerabilidades aparecen debido a la adición de componentes de terceros o fuente gratuita (código abierto). El código alienígena se usa a menudo "tal cual" sin análisis y pruebas cuidadosos para la seguridad.

No excluir y presencia en el equipo de información de comunicación, que contribuyen intencionalmente al producto creado. funciones inoceñadas o artículos.

Clasificación de vulnerabilidades del programa.

Las vulnerabilidades surgen como resultado de errores que ocurrieron en el diseño o en la etapa de escritura. código de software.

Dependiendo de la etapa de aparición, este tipo de amenazas se divide en vulnerabilidades de diseño, implementación y configuración.

  1. Errores hechos en diseño, lo más difícil de detectar y eliminar. Esta es la imprecisión de algoritmos, marcadores, inconsistencias en la interfaz entre diferentes módulos o en los protocolos de interacción con el hardware, la introducción de tecnologías no óptimas. Su eliminación es un proceso que consume mucho tiempo, incluso porque pueden manifestarse en casos no obvios, por ejemplo, cuando se excede el volumen de tráfico proporcionado, o cuando se conecta una gran cantidad de equipos adicionales, lo que complica la provisión del requerido. Nivel de seguridad y conduce a la aparición de una ruta de firewall.
  2. Las vulnerabilidades de implementación aparecen en la etapa de escribir un programa o introducir algoritmos de seguridad en ella. Esta es una organización incorrecta del proceso computacional, los defectos sintácticos y lógicos. Al mismo tiempo, existe el riesgo de que la falla resulte en el desbordamiento del tampón o la apariencia de un tipo diferente de problema. Su detección lleva mucho tiempo y la eliminación implica la corrección de ciertas secciones del código de la máquina.
  3. Los errores y el software de configuración de hardware son muy a menudo. Las razones más comunes no son suficientes, la falta de pruebas en el funcionamiento correcto de las funciones adicionales no es suficiente. También se puede tratar esta categoría. contraseñas simples Y las cuentas predeterminadas que quedan sin cambios.

Según las estadísticas, especialmente las vulnerabilidades se encuentran en productos populares y comunes: escritorio y móvil sistemas operativos, navegadores.

Riesgos a utilizar programas vulnerables.

Los programas en los que el mayor número de vulnerabilidades se encuentra casi en todas las computadoras. Desde el lado de los ciberdelincuentes, hay un interés directo para encontrar tales defectos y escribir para ellos.

Desde el momento de la detección de vulnerabilidad, hay bastante tiempo, hay una gran cantidad de oportunidades para infectar sistemas informáticos A través de barras en la seguridad del código del programa. Al mismo tiempo, el usuario es suficiente una vez que se abre, por ejemplo, un archivo PDF malicioso con una exploit, después de lo cual los atacantes recibirán el acceso a los datos.

La infección en este último caso se produce de acuerdo con el siguiente algoritmo:

  • El usuario entra email Carta de phishing de la confianza del remitente.
  • Un archivo de explotación se invierte en la carta.
  • Si el usuario intenta abrir un archivo, entonces una computadora está infectada con un virus, un troyano (círculo) u otro programa malicioso.
  • Los ciberdelincuentes reciben acceso no autorizado al sistema.
  • Se producen datos valiosos específicos.

Los estudios realizados por varias compañías (Kaspersky Lab, Positive Technologies) muestran que hay vulnerabilidades en casi cualquier aplicación, incluidos los antivirus. Por lo tanto, la probabilidad de establecer softwareque contiene las fallas de diversos grados de criticidad es muy alto.

Para minimizar el número de cangrejos en el software, debe usar SDL (ciclo de vida seguro de desarrollo, desarrollo de ciclo de vida seguro). La tecnología SDL se utiliza para reducir la cantidad de errores en las aplicaciones en todas las etapas de su creación y soporte. Por lo tanto, al diseñar software, los especialistas y programadores de IB simulan amenazas cibernéticas para buscar lugares vulnerables. Durante la programación, el proceso incluye agentes automáticos, informando inmediatamente sobre fallas potenciales. Los desarrolladores se esfuerzan por limitar significativamente las funciones disponibles para los usuarios no fijos, lo que ayuda a reducir la superficie del ataque.

Para minimizar la influencia de las vulnerabilidades y el daño de ellos, se deben realizar algunas reglas:

  • Instale operativamente los fijadores fijos (parches) para aplicaciones o (preferiblemente) modo automático Actualizaciones.
  • Si es posible, no para establecer programas dudosos, cuya calidad y apoyo técnico Llame a preguntas.
  • Use escáneres especiales de vulnerabilidad o funciones especializadas. productos antivirusPermitiéndole buscar errores de seguridad y actualizar software si es necesario.

Al comenzar escaneo intelectual El programa Avast revisará la PC para los siguientes tipos de problemas, y luego ofrecerá opciones para eliminar.

  • Virus: Archivos que contienen código malicioso que pueden afectar la seguridad y el rendimiento de su PC.
  • Vulnerable a: Programas que requieren actualizaciones que pueden ser utilizadas por los atacantes para acceder a su sistema.
  • Expansión del navegador con mala reputación.: Extensiones del navegador, que generalmente se instalan sin su conocimiento y afectan el rendimiento del sistema.
  • Contraseñas poco fiables: Las contraseñas que se utilizan para acceder a más de una cuenta en Internet y pueden ser fácilmente hackeadas o comprometidas.
  • Amenazas de red: Vulnerabilidades de su red que pueden hacer posibles ataques en su dispositivos de red y enrutador.
  • Problemas con el rendimiento: Objetos ( archivos innecesarios y aplicaciones, problemas de configuración) que pueden prevenir la operación de la PC.
  • Antivirus conflictivo: Programas antivirus instalados en una PC con Avast. La presencia de varios software antivirus Retraliza el trabajo de la PC y reduce la efectividad de la protección antivirus.

Nota. La solución de ciertos problemas detectados durante el escaneo intelectual puede requerir una licencia separada. La detección de tipos innecesarios de problemas se puede desactivar.

Resolver problemas detectados

La casilla de verificación verde junto al área de escaneo muestra que los problemas asociados con ella no se detectan. Cruz Roja significa escanear reveló uno o más problemas relacionados.

Para ver información específica sobre problemas descubiertos, haga clic en Elemento Resolver todo. Escaneo inteligente muestra información sobre cada problema y ofrece la capacidad de solucionarlo inmediatamente haciendo clic en el elemento Decidiro hacerlo más tarde haciendo clic Salta este paso.

Nota. Los registros de escaneo antivirus se pueden ver en el historial de escaneo, vaya a la que pueda elegir eligiendo Protección antivirus.

Administración de configuración inteligente de escaneo

Para cambiar la configuración de escaneo inteligente, seleccione Configuraciones Common Intelligent Scanning Y especifique, por qué de los tipos de problemas enumerados que desea realizar un escaneo inteligente.

  • Virus
  • Desactualizado por
  • Complemento del navegador
  • Amenazas de red
  • Problemas de compatibilidad
  • Problemas con el rendimiento
  • Contraseñas poco fiables

Por defecto, se incluyen todos los tipos de problemas. Para detener la comprobación de un problema específico al realizar una exploración inteligente, haga clic en el control deslizante Incluido Al lado del tipo de problema para que cambie el estado a Apagado.

Hacer clic Ajustes Junto a la inscripción Escaneo de virusPara cambiar la configuración de escaneo.

Actualmente desarrollado un gran número de Herramientas destinadas a automatizar la búsqueda de vulnerabilidades del programa. Este artículo considerará a algunos de ellos.

Introducción

El análisis del código estático es un análisis del software que se realiza por encima del código fuente de programas y se implementa sin la ejecución real del programa en estudio.

El software a menudo contiene una variedad de vulnerabilidades debido a errores en el código del programa. Errores hechos por el desarrollo del programa, en algunas situaciones, conducen a un fracaso del programa y, por lo tanto, el funcionamiento normal del programa se viole: a menudo ocurre un cambio y daño de los datos, detenga un programa o incluso un sistema. La mayoría de las vulnerabilidades están asociadas con el procesamiento inadecuado de los datos obtenidos del exterior, o no es lo suficientemente estrictamente verificado.

Para identificar vulnerabilidades, se utilizan varias herramientas, por ejemplo, analizadores estáticos código fuente Programas cuya descripción general se proporciona en este artículo.

Clasificación de vulnerabilidades de seguridad.

Cuando se viole el requisito del funcionamiento correcto del programa sobre todos los datos de entrada posibles, se hace posible aparecer las llamadas vulnerabilidades de seguridad (vulnerabilidad de seguridad). Las vulnerabilidades de protección pueden llevar al hecho de que un programa se puede utilizar para superar las restricciones a la protección de todo el sistema en su conjunto.

Clasificación de las vulnerabilidades de protección según los errores del programa:

  • Desbordamiento de tampón (desbordamiento de tampón). Esta vulnerabilidad surge debido a la falta de control sobre la salida de la matriz en la memoria durante la ejecución del programa. Cuando se abriene un tampón de tamaño limitado, se sobrescriben los contenidos de las células de memoria extranjeras y se produce la salida de emergencia del programa. En la ubicación del búfer en el proceso del proceso, el búfer se desborda en la pila (desbordamiento de tampón de montón) y el área de datos estáticos (desbordamiento de búfer BSS) se distinguen.
  • Vulnerabilidad de entrada contaminada (vulnerabilidad de entrada contaminada). La vulnerabilidad de la "entrada estropeada" puede ocurrir en los casos en que los datos ingresados \u200b\u200bpor el usuario sin control de suficiente control se transmiten al intérprete de algún idioma externo (generalmente se trata de una concha de UNIX o un lenguaje SQL). En este caso, el usuario puede configurar los datos de entrada que el intérprete lanzado cumplirá el comando incorrecto que fue asumido por los autores del programa vulnerable.
  • Errores cadena de formato Formato de vulnerabilidad de cadena). Este tipo Las vulnerabilidades de protección son una subclase de la vulnerabilidad de la "entrada mimada". Ocurre debido a un control insuficiente de los parámetros cuando se utiliza el formato de salida-salida-salida, FPRINTF, SCANF, etc. biblioteca estándar Idioma SI. Estas funciones se toman como uno de los parámetros una cadena de caracteres que especifica el formato de entrada o la salida de los argumentos de la función posterior. Si el usuario en sí puede establecer el tipo de formato, esta vulnerabilidad puede ocurrir como resultado de la aplicación fallida de las funciones de formato de fila.
  • Vulnerabilidades como resultado de errores de sincronización (condiciones de carrera). Los problemas multitarea conducen a situaciones llamadas "estado de carrera": un programa que no está diseñado para realizar en un entorno de multitarea, puede asumir que, por ejemplo, los archivos utilizados por ella no pueden cambiar el otro programa. Como resultado, un atacante, a tiempo, reemplazando los contenidos de estos archivos de trabajo, puede imponer un programa para realizar ciertas acciones.

Por supuesto, además de los listados, hay otras clases de vulnerabilidades de protección.

Descripción general de los analizadores existentes

Las siguientes herramientas se aplican para detectar vulnerabilidades de protección en programas:

  • Depuradores dinámicos. Herramientas que le permiten depurar el programa en el proceso de ejecución.
  • Analizadores estáticos (depuradores estáticos). Herramientas que utilizan la información acumulada durante el análisis estático del programa.

Los analizadores estáticos indican aquellos lugares en el programa en el que es posible el error. Estos fragmentos sospechosos del código pueden, ambos contienen un error y resultan ser completamente seguros.

Este artículo propone una visión general de varios analizadores estáticos existentes. Considera más cada uno de ellos.

La gestión de la vulnerabilidad es la identificación, la evaluación, la clasificación y la selección de soluciones para eliminar las vulnerabilidades. El fundramento de las vulnerabilidades es el repositorio de información sobre las vulnerabilidades, una de las cuales es un sistema de gestión de vulnerabilidades de "seguimiento prospectivo".

Nuestra decisión controla la aparición de información sobre las vulnerabilidades en los sistemas operativos (Windows, Linux / Unix basado en el software, equipos, equipos, herramientas de protección de información.

Fuentes de datos

La base de datos del sistema de gestión de vulnerabilidad del "software de monitoreo prometedor" se repone automáticamente de las siguientes fuentes:

  • El Banco de Datos de las Amenazas de Seguridad de la Información (BDA BDI) FSTEC de Rusia.
  • Base de datos de vulnerabilidad nacional (NVD) NIST.
  • Bugzilla de sombrero rojo.
  • Seguridad de la seguridad de Debian.
  • Lista de correo CentOS.

También utilizamos un método automatizado para reponer nuestras vulnerabilidades. Hemos desarrollado un traigo de página web y un analizador de datos no estructurados que todos los días analizan más de cien fuentes externas y rusas diferentes para un número. indicio - Grupos en redes sociales, blogs, microblogging, medios dedicados a tecnologías de la información y garantizar la seguridad de la información. Si estas herramientas encuentran algo que satisface los términos de búsqueda, el analista revisa manualmente la información y entra en la base de vulnerabilidades.

Control de vulnerabilidades de software.

Con la ayuda del sistema de gestión de vulnerabilidad, los desarrolladores pueden monitorear la presencia y el estado de vulnerabilidades detectadas en componentes de terceros de su software.

Por ejemplo, en el ciclo de vida del desarrollador de software seguro (SSDLC - desarrollo de software seguro) de Hewlett Packard Enterprise, los controles de terceros son una de las ubicaciones centrales.

Nuestro sistema rastrea la presencia de vulnerabilidades en versiones paralelas / Bilda de un producto de software.

Funciona así:

1. El desarrollador nos envía una lista de bibliotecas y componentes de terceros que se utilizan en el producto.

2. Revisamos diariamente:

b. Si aparecieron los métodos para eliminar las vulnerabilidades detectadas previamente.

3. Notificamos al desarrollador si el estado o la puntuación ha cambiado, de acuerdo con el modelo de rol especificado. Esto significa que los diferentes grupos de los desarrolladores de una empresa recibirán alertas y verán el estado de las vulnerabilidades solo para el producto sobre el que trabajan.

La frecuencia de alertas del sistema de control de vulnerabilidad se ajusta arbitrariamente, pero cuando se detecta vulnerabilidad con la puntuación de CVSS, más de 7.5 desarrolladores recibirán una alerta inmediata.

Integración con Tias VIPNET.

El software de inteligencia de amenazas de la amenaza de VIPNET, el software y el complejo de hardware detectan automáticamente los ataques informáticos y revelan incidentes basados \u200b\u200ben diferentes fuentes de eventos. seguridad de información. La principal fuente de eventos para las ID de TII de VIPNET - VIPNET, que analiza el tráfico de la red entrante y saliente utilizando las bases de datos de las reglas decisivas de las reglas de AM que desarrollan "Monitoreo prometedor". Algunas firmas están escritas para detectar la explotación de las vulnerabilidades.

Si VIPNET TIAS detecta un incidente de IB en el que se abrió la vulnerabilidad, entonces toda la información asociada con la vulnerabilidad se ingresa automáticamente en la tarjeta incidente del incidente, incluidos los métodos para eliminar o compensar el impacto negativo.

El sistema de gestión de incidentes ayuda a las investigaciones de los incidentes de IB, brindando a los analistas información sobre los indicadores de compromiso y el montaje de infraestructura de información afectada potencial.

Monitoreo de la disponibilidad de vulnerabilidades en los sistemas de información.

Otro escenario de usar el sistema de gestión de vulnerabilidades es verificar la demanda.

El cliente forma independientemente las herramientas incorporadas o el script desarrollado por nosotros la lista de instalada en el nodo (brazos, servidor, dbms, pak szi, hardware de red) El software y los componentes del sistema y la aplicación, transfieren esta lista a la SUU y recibe un informe sobre las vulnerabilidades detectadas y las alertas periódicas en su estado.

Diferencias del sistema de los escáneres de vulnerabación comunes:

  • No requiere la instalación de agentes de monitoreo en los nodos.
  • No crea una carga de red, ya que la arquitectura en sí no proporciona agentes y servidores de escaneo.
  • No crea una carga en el equipo, ya que se crea la lista de componentes equipos del sistema o un script ligero de código abierto.
  • Elimina la posibilidad de información de fugas. "Monitoreo de perspectiva" no puede aprender nada a la ubicación física y lógica o el propósito funcional del nodo en el sistema de información. La única información que deja los límites del perímetro controlado del cliente es el archivo TXT con una lista de componentes de software. Este archivo se verifica para el mantenimiento y se carga en la SUU por el cliente.
  • No necesitamos trabajar en el sistema. cuentas en nodos controlados. La información es recopilada por el administrador del nodo en su propio nombre.
  • Información segura sobre VIPNET VPN, IPSEC o HTTPS.

Conexión al servicio de administración de vulnerabilidades "Monitoreo de perspectiva" ayuda al cliente a cumplir con el requisito de la detección de "detección de" ANZ.1 ", Análisis de vulnerabilidad sistema de informacion y la eliminación operativa de las vulnerabilidades recién identificadas "órdenes de la FSTEC de Rusia No. 17 y 21. Nuestra empresa es un titular de FSTEC de Rusia sobre la protección técnica de la información confidencial.

Costo

El costo mínimo es de 25,000 rublos por año para 50 nodos conectados al sistema si hay un contrato existente para conectarse a



¿Te gustó el artículo? Compártelo
Artículos recomendados sobre el tema.
Celular: lo que es en el iPad y cuál es la diferencia.Celular: lo que es en el iPad y cuál es la diferencia.
Ir a la televisión digital: ¿Qué hacer y cómo prepararse?Ir a la televisión digital: ¿Qué hacer y cómo prepararse?
Encuestas sociales trabajan en internet.Encuestas sociales trabajan en internet.
Los visitantes ahora están discutiendo
Savin grabó un mensaje de video a los Tyuments.Savin grabó un mensaje de video a los Tyuments. Tenda.
Menú de mesas soviéticas, ¿cuál fue el nombre del jueves en cantinas soviéticas?Menú de mesas soviéticas, ¿cuál fue el nombre del jueves en cantinas soviéticas? Asus
Cómo hacer B.Cómo hacer en la lista "Palabra" alfabéticamente: consejos útiles Androide
¿Cómo ver compañeros de clase que se retiran de amigos?¿Cómo ver compañeros de clase que se retiran de amigos? Asus