Contactos
hogar

Gestión de vulnerabilidades. Identificación del software afectado en equipos cliente Software vulnerable Cómo solucionarlo

Al inicio escaneo inteligente Avast escaneará su PC en busca de los siguientes tipos de problemas y luego sugerirá soluciones.

  • Virus: archivos que contienen código malicioso que puede afectar la seguridad y el rendimiento de su PC.
  • Software vulnerable: programas que requieren actualización que pueden ser utilizados por intrusos para acceder a su sistema.
  • Extensiones de navegador de mala reputación: Extensiones de navegador que normalmente se instalan sin su conocimiento y que tienen un impacto en el rendimiento del sistema.
  • Contraseñas débiles: Contraseñas que se utilizan para acceder a más de una cuenta de Internet y que se pueden piratear o poner en peligro fácilmente.
  • Amenazas de red: vulnerabilidades en su red que podrían hacer posible ataques a su dispositivos de red y un enrutador.
  • Problemas de desempeño: objetos ( archivos innecesarios y aplicaciones, problemas relacionados con la configuración) que pueden interferir con su PC.
  • Antivirus en conflicto: Software antivirus instalado en su PC con Avast. La presencia de varios software antivirus ralentiza su PC y reduce la eficacia de la protección antivirus.

Nota... Es posible que se requiera una licencia por separado para resolver ciertos problemas encontrados durante el escaneo inteligente. La detección de tipos de problemas innecesarios se puede desactivar en.

Resolviendo los problemas encontrados

Una marca de verificación verde junto al área de escaneo indica que no se encontraron problemas con ella. Una cruz roja significa que el escaneo ha identificado uno o más problemas relacionados.

Para ver información específica sobre los problemas encontrados, haga clic en Resolver todo. Escaneo inteligente muestra detalles de cada problema y ofrece la opción de solucionarlo inmediatamente haciendo clic en el elemento Decidir, o hágalo más tarde presionando Omitir este paso.

Nota... Los registros de análisis antivirus se pueden ver en el historial de análisis, al que se puede acceder seleccionando Protección Antivirus.

Gestión de la configuración de Smart Scan

Para cambiar la configuración de escaneo inteligente, seleccione Configuración General Smart Scan e indique cuál de los tipos de problemas enumerados desea realizar un análisis inteligente.

  • Virus
  • Software desactualizado
  • Complementos del navegador
  • Amenazas de red
  • Problemas de compatibilidad
  • Problemas de desempeño
  • Contraseñas débiles

Todos los tipos de problemas están habilitados de forma predeterminada. Para dejar de buscar un problema específico mientras realiza un escaneo inteligente, haga clic en el control deslizante Incluido junto al tipo de problema para que cambie de estado a Apagado.

Hacer clic Ajustes junto a la inscripción Escaneo en busca de virus para cambiar la configuración de escaneo.

En algunos casos, la aparición de vulnerabilidades se debe al uso de herramientas de desarrollo de diversos orígenes, que aumentan el riesgo de sabotaje de defectos en el código del programa.

Las vulnerabilidades aparecen debido a la adición de componentes de terceros o código libre (fuente abierta) al software. El código extranjero a menudo se usa "tal cual" sin un análisis cuidadoso y pruebas de seguridad.

No se debe excluir la presencia de programadores internos en el equipo, que deliberadamente agregan más funciones indocumentadas o elementos.

Clasificación de vulnerabilidades de software

Las vulnerabilidades surgen de errores en la fase de diseño o redacción. código de programa.

Dependiendo de la etapa de emergencia, este tipo de amenaza se divide en vulnerabilidades de diseño, implementación y configuración.

  1. Los errores de diseño son los más difíciles de detectar y corregir. Estas son inexactitudes de algoritmos, marcadores, inconsistencias en la interfaz entre diferentes módulos o en los protocolos de interacción con el hardware, la introducción de tecnologías subóptimas. Su eliminación es un proceso que requiere mucho tiempo, también porque pueden aparecer en casos no obvios, por ejemplo, cuando se excede el volumen de tráfico especificado o cuando se conecta una gran cantidad de equipos adicionales, lo que complica la provisión de los necesarios. nivel de seguridad y conduce a la aparición de formas de eludir el firewall.
  2. Las vulnerabilidades de implementación aparecen en la etapa de escribir un programa o introducir algoritmos de seguridad en él. Esta es una organización defectuosa proceso de computación, defectos sintácticos y lógicos. Sin embargo, existe el riesgo de que la falla provoque desbordamientos del búfer u otros problemas. Encontrarlos lleva mucho tiempo y la eliminación significa corregir ciertas partes del código de la máquina.
  3. Los errores de configuración de hardware y software son comunes. Sus razones comunes son un desarrollo de calidad insuficiente y la falta de pruebas para su correcto funcionamiento. funciones adicionales... Esta categoría también se puede atribuir contraseñas simples y las cuentas predeterminadas no cambiaron.

Según las estadísticas, las vulnerabilidades se encuentran especialmente a menudo en productos populares y generalizados: computadoras de escritorio y dispositivos móviles. sistemas operativos, navegadores.

Riesgos de utilizar programas vulnerables

Los programas en los que se encuentran la mayor cantidad de vulnerabilidades están instalados en casi todos los equipos. Existe un interés directo por parte de los ciberdelincuentes en encontrar esos defectos y escribir para ellos.

Dado que pasa bastante tiempo desde el momento en que se descubre una vulnerabilidad hasta la publicación de un parche (parche), existe una gran cantidad de oportunidades para infectar sistemas informáticos a través de agujeros de seguridad en el código. En este caso, el usuario solo necesita abrir una vez, por ejemplo, un archivo PDF malicioso con un exploit, después de lo cual los atacantes obtendrán acceso a los datos.

La infección en el último caso se produce de acuerdo con el siguiente algoritmo:

  • El usuario recibe por Email un correo electrónico de phishing de un remitente creíble.
  • La carta contiene un archivo con un exploit.
  • Si el usuario intenta abrir el archivo, la computadora se infecta con un virus, troyano (ransomware) u otro programa malicioso.
  • Los ciberdelincuentes obtienen acceso no autorizado al sistema.
  • Se están robando datos valiosos.

La investigación realizada por varias empresas (Kaspersky Lab, Positive Technologies) muestra que existen vulnerabilidades en casi cualquier aplicación, incluidos los antivirus. Por tanto, la probabilidad de establecer software, que contiene defectos de diversos grados de criticidad, es muy alto.

Para minimizar el número de agujeros en el software, es necesario utilizar SDL (Security Development Lifecycle). La tecnología SDL se utiliza para reducir la cantidad de errores en las aplicaciones en todas las etapas de su creación y mantenimiento. Entonces, al diseñar software, los especialistas en seguridad de la información y los programadores simulan ciberamenazas para encontrar vulnerabilidades. Durante la programación, los medios automáticos se incluyen en el proceso, informando de inmediato las posibles fallas. Los desarrolladores buscan limitar significativamente la funcionalidad disponible para usuarios no verificados, lo que ayuda a reducir la superficie de ataque.

Para minimizar el impacto de las vulnerabilidades y el daño de ellas, es necesario seguir algunas reglas:

  • Instale rápidamente las correcciones (parches) lanzadas por el desarrollador para las aplicaciones, o (preferiblemente) habilite Modo automático actualizaciones.
  • Si es posible, no instale programas cuestionables, cuya calidad y apoyo técnico Hacer preguntas.
  • Utilice escáneres de vulnerabilidades especiales o funciones especializadas productos antivirus que le permiten buscar errores de seguridad y, si es necesario, actualizar el software.

Desarrollado actualmente un gran número de herramientas diseñadas para automatizar la búsqueda de vulnerabilidades del programa. Este artículo cubrirá algunos de ellos.

Introducción

El análisis de código estático es un análisis de software que se realiza en el código fuente de los programas y se implementa sin ejecutar realmente el programa en estudio.

El software a menudo contiene varias vulnerabilidades debido a errores en el código del programa. Los errores cometidos en el desarrollo de programas, en algunas situaciones, conducen a una falla del programa y, en consecuencia, se interrumpe el funcionamiento normal del programa: en este caso, el cambio de datos y la corrupción, el programa o incluso el sistema se detiene, a menudo ocurre . La mayoría de las vulnerabilidades están asociadas con un procesamiento incorrecto de los datos recibidos del exterior o con una verificación insuficiente de los mismos.

Para identificar vulnerabilidades, varios instrumentos p. ej., analizadores estáticos código fuente programas, de los cuales se ofrece una descripción general en este artículo.

Clasificación de vulnerabilidades de seguridad

Cuando se viola el requisito para el correcto funcionamiento del programa en todos los datos de entrada posibles, es posible que aparezcan las denominadas vulnerabilidades de seguridad. Las vulnerabilidades de seguridad pueden llevar al hecho de que un programa se puede utilizar para superar las limitaciones de seguridad de todo el sistema en su conjunto.

Clasificación de vulnerabilidades de protección según errores de software:

  • Desbordamiento de búfer. Esta vulnerabilidad se produce debido a la falta de control sobre los límites de una matriz en la memoria durante la ejecución del programa. Cuando un paquete de datos que es demasiado grande desborda un búfer de tamaño limitado, el contenido de las celdas de memoria externa se sobrescribe y el programa se bloquea y se cierra. Según la ubicación del búfer en la memoria de proceso, hay desbordamientos de búfer en la pila (desbordamiento del búfer de pila), montón (desbordamiento del búfer de pila) y área de datos estáticos (desbordamiento de búfer bss).
  • Vulnerabilidad de entrada contaminada. Pueden surgir vulnerabilidades de entrada estropeadas cuando la entrada del usuario se pasa sin suficiente control al intérprete de algún lenguaje externo (generalmente el shell de Unix o SQL). En este caso, el usuario puede especificar los datos de entrada de tal manera que el intérprete lanzado ejecutará un comando completamente diferente al que pretendían los autores del programa vulnerable.
  • Errores cadenas de formato(vulnerabilidad de cadena de formato). Este tipo La vulnerabilidad de seguridad es una subclase de la vulnerabilidad de entrada contaminada. Ocurre debido a un control de parámetros insuficiente cuando se utilizan las funciones de E / S de formato printf, fprintf, scanf, etc. biblioteca estándar Lenguaje C. Estas funciones toman como uno de los parámetros una cadena de caracteres que especifica el formato para la entrada o salida de los argumentos posteriores a la función. Si el usuario puede especificar el tipo de formateo, esta vulnerabilidad puede surgir como resultado del uso incorrecto de las funciones de formateo de cadenas.
  • Vulnerabilidades como consecuencia de errores de cronometraje (condiciones de carrera). Los problemas asociados con la multitarea conducen a situaciones llamadas "condiciones de carrera": un programa que no está diseñado para ejecutarse en un entorno multitarea puede pensar que, por ejemplo, los archivos que utiliza en su trabajo no pueden ser cambiados por otro programa. Como resultado, un atacante que reemplace el contenido de estos archivos de trabajo a tiempo puede obligar al programa a realizar ciertas acciones.

Por supuesto, además de las enumeradas, existen otras clases de vulnerabilidades de seguridad.

Resumen de analizadores existentes

Las siguientes herramientas se utilizan para detectar vulnerabilidades de seguridad en programas:

  • Depuradores dinámicos. Herramientas que le permiten depurar un programa durante su ejecución.
  • Analizadores estáticos (depuradores estáticos). Herramientas que utilizan información acumulada durante el análisis estático de un programa.

Los analizadores estáticos indican los lugares del programa donde se puede encontrar el error. Estos fragmentos de código sospechosos pueden contener un error o ser completamente seguros.

Este artículo proporciona una descripción general de varios analizadores estáticos existentes. Echemos un vistazo más de cerca a cada uno de ellos.

Otra forma de ver este problema es que las empresas deben reaccionar rápidamente cuando una aplicación tiene una vulnerabilidad. Esto requiere que el departamento de TI pueda realizar un seguimiento definitivo aplicaciones instaladas, componentes y parches que utilizan herramientas estándar y de automatización. Hay esfuerzos de la industria para estandarizar las etiquetas de software (19770-2), que son archivos XML instalados con una aplicación, componente y / o parche que identifican el software y en el caso de un componente o parche, de qué aplicación forman parte. Las etiquetas tienen información autorizada del editor, información de versión, lista de archivos con nombre de archivo, hash y tamaño de archivo seguro, que se pueden usar para confirmar que la aplicación instalada está en el sistema y que binarios no han sido modificados por un tercero. Estas etiquetas están firmadas firmado digitalmente el editor.

Cuando se conoce una vulnerabilidad, los departamentos de TI pueden utilizar su software de gestión de activos para identificar de inmediato los sistemas con software vulnerable y pueden tomar medidas para actualizar los sistemas. Las etiquetas pueden ser parte de un parche o actualización que se puede utilizar para verificar que el parche está instalado. De esta manera, los departamentos de TI pueden utilizar recursos como la Base de Datos Nacional de Vulnerabilidades del NIST como una herramienta para administrar sus herramientas de gestión de activos, de modo que una vez que la empresa envía una vulnerabilidad a NVD, TI puede comparar inmediatamente las nuevas vulnerabilidades con las suyas. ahora.

Hay un grupo de empresas que trabajan a través de una organización sin fines de lucro IEEE / ISTO llamada TagVault.org (www.tagvault.org) con el gobierno de los EE. UU. En una implementación estándar de ISO 19770-2 que permitirá este nivel de automatización. En algún momento, es probable que estas etiquetas que coincidan con esta implementación sean obligatorias para el software vendido al gobierno de EE. UU. En algún momento de los próximos años.

Por lo tanto, al final, es una buena práctica no publicar sobre qué aplicaciones y versiones de software específicas está utilizando, pero esto puede ser difícil, como se indicó anteriormente. Desea asegurarse de tener un inventario de software actualizado y preciso, que se compara periódicamente con una lista de vulnerabilidades conocidas, como NVID de NVD, y que TI puede tomar medidas inmediatas para recordar la amenaza. con las últimas intrusiones de detección, análisis antivirus y otros métodos de bloqueo del entorno, al menos, será muy difícil comprometer su entorno y, si lo hace, no se detectará durante un largo período de tiempo.

La gestión de vulnerabilidades es la identificación, evaluación, clasificación y selección de una solución para remediar las vulnerabilidades. La administración de vulnerabilidades se basa en repositorios de información de vulnerabilidades, uno de los cuales es el Sistema de administración de vulnerabilidades de monitoreo prospectivo.

Nuestra solución controla la aparición de información sobre vulnerabilidades en sistemas operativos (basados ​​en Windows, Linux / Unix), software de oficina y aplicaciones, software de hardware, herramientas de seguridad de la información.

Fuentes de datos

La base de datos del Sistema de gestión de vulnerabilidades del software Prospective Monitoring se actualiza automáticamente a partir de las siguientes fuentes:

  • Banco de datos de amenazas a la seguridad de la información (BDU BI) FSTEC de Rusia.
  • Base de datos nacional de vulnerabilidades (NVD) NIST.
  • Red Hat Bugzilla.
  • Rastreador de errores de seguridad de Debian.
  • Lista de correo de CentOS.

También utilizamos un método automatizado para reponer nuestra base de datos de vulnerabilidades. Hemos desarrollado un rastreador de páginas web y un analizador de datos no estructurados, que son analizados todos los días por más de cien fuentes extranjeras y rusas diferentes para una serie de palabras clave- grupos en redes sociales, blogs, microblogs, medios dedicados a tecnologías de la información y garantizar la seguridad de la información. Si estas herramientas encuentran algo que coincide con los criterios de búsqueda, el analista verifica manualmente la información e ingresa a la base de datos de vulnerabilidades.

Controlar las vulnerabilidades del software

Con el sistema de administración de vulnerabilidades, los desarrolladores pueden monitorear la presencia y el estado de las vulnerabilidades detectadas en componentes de terceros de su software.

Por ejemplo, en el modelo de ciclo de vida del desarrollador de software seguro (SSDLC) de Hewlett Packard Enterprise, el control de las bibliotecas de terceros es fundamental.

Nuestro sistema monitorea vulnerabilidades en versiones paralelas/ compilaciones de un producto de software.

Funciona así:

1. El desarrollador nos proporciona una lista de bibliotecas y componentes de terceros que se utilizan en el producto.

2. Comprobamos a diario:

B. si existen métodos para eliminar vulnerabilidades previamente descubiertas.

3. Notificamos al desarrollador si el estado o la puntuación de una vulnerabilidad ha cambiado de acuerdo con el modelo a seguir especificado. Esto significa que diferentes equipos de desarrollo de la misma empresa recibirán alertas y verán el estado de las vulnerabilidades solo para el producto en el que están trabajando.

La frecuencia de las alertas del Sistema de gestión de vulnerabilidades se puede personalizar, pero si se encuentra una vulnerabilidad con una puntuación CVSS superior a 7,5, los desarrolladores recibirán alertas inmediatas.

Integración con ViPNet TIAS

El complejo de hardware y software del sistema de análisis de inteligencia de amenazas ViPNet detecta automáticamente los ataques informáticos y los incidentes según los eventos recibidos de diversas fuentes. seguridad de información... La principal fuente de eventos para ViPNet TIAS es ViPNet IDS, que analiza el tráfico de red entrante y saliente utilizando las bases de reglas de decisión AM Rules desarrolladas por "Perspective Monitoring". Algunas firmas están escritas para detectar la explotación de vulnerabilidades.

Si ViPNet TIAS detecta un incidente de seguridad de la información en el que se explotó una vulnerabilidad, toda la información relacionada con la vulnerabilidad se ingresa automáticamente en la tarjeta de incidentes del CMS, incluidos los métodos para eliminar o compensar el impacto negativo.

El sistema de gestión de incidentes también ayuda en la investigación de incidentes de seguridad de la información, proporcionando a los analistas información sobre indicadores de compromiso y posibles nodos de infraestructura de información afectados por el incidente.

Seguimiento de vulnerabilidades en sistemas de información

Otro caso de uso del sistema de gestión de vulnerabilidades es el análisis bajo demanda.

El cliente genera de forma independiente una lista de instalados en el nodo (AWP, servidor, DBMS, PAK SZI, hardware de red) software y componentes del sistema y la aplicación, transfiere esta lista al CMS y recibe un informe sobre las vulnerabilidades detectadas y notificaciones periódicas sobre su estado.

Diferencias entre el sistema y los escáneres de vulnerabilidades comunes:

  • No requiere la instalación de agentes de monitoreo en los nodos.
  • No crea una carga en la red, ya que la propia arquitectura de la solución no proporciona agentes ni servidores de escaneo.
  • No crea una carga en el equipo, ya que se crea la lista de componentes comandos del sistema o un script de código abierto ligero.
  • Elimina la posibilidad de fuga de información. El “monitoreo prospectivo” no puede saber nada de manera confiable sobre la ubicación física y lógica o el propósito funcional de un nodo en un sistema de información. La única información que sale del perímetro controlado del cliente es un archivo txt con una lista de componentes de software. El propio cliente comprueba el contenido de este archivo y lo carga en el CMS.
  • Para que el sistema funcione, no necesitamos Cuentas en sitios controlados. El administrador del sitio recopila información en su propio nombre.
  • Intercambio seguro información sobre ViPNet VPN, IPsec o https.

La conexión con el servicio de administración de vulnerabilidades de monitoreo prospectivo ayuda al cliente a cumplir con el requisito ANZ.1 “Identificación y análisis de vulnerabilidades sistema de informacion y la pronta eliminación de las vulnerabilidades recientemente identificadas "de los pedidos de FSTEC de Rusia Nº 17 y 21. Nuestra empresa es licenciataria de FSTEC de Rusia para actividades relacionadas con proteccion tecnica información confidencial.

Precio

El costo mínimo es de 25,000 rublos por año para 50 nodos conectados al sistema con un contrato válido para conectarse a



¿Te gustó el artículo? Compártelo
Artículos relacionados recomendados
Descarga la nueva versión del archivo zip archiver 7Descarga la nueva versión del archivo zip archiver 7
Configuración de Mozilla Thunderbird: CómoConfiguración de Mozilla Thunderbird: Cómo
OL PORTAL: todas las redes sociales y mensajería en una sola aplicaciónOL PORTAL: todas las redes sociales y mensajería en una sola aplicación
Los visitantes ahora están discutiendo
Programas de comunicación en juegosProgramas de comunicación en juegos TP-Link
Descarga gratuita de XnView para Windows (versión rusa) Ayuda de Xnview en rusoDescarga gratuita de XnView para Windows (versión rusa) Ayuda de Xnview en ruso Inalámbrico
Se bloquea al instalar o ejecutar DirectX en determinadas aplicacionesSe bloquea al instalar o ejecutar DirectX en determinadas aplicaciones Androide
Navegadores sin conexión (sin Internet) para Android: revisión de calificaciónNavegadores sin conexión (sin Internet) para Android: revisión de calificación Androide