Program yang terdedah. Pengimbasan pintar. Pemantauan kelemahan perisian

Pada permulaan pengimbasan pintar Avast akan menyemak PC anda untuk jenis masalah berikut dan kemudian mencadangkan penyelesaian untuk mereka.

  • Virus: Fail yang mengandungi kod hasad yang boleh menjejaskan keselamatan dan prestasi PC anda.
  • Perisian yang terdedah: Program yang memerlukan pengemaskinian dan boleh digunakan oleh penyerang untuk mendapatkan akses kepada sistem anda.
  • Sambungan penyemak imbas dengan reputasi buruk: Sambungan penyemak imbas yang biasanya dipasang tanpa pengetahuan anda dan menjejaskan prestasi sistem.
  • Kata laluan yang lemah: Kata laluan yang digunakan untuk mengakses lebih daripada satu akaun dalam talian dan boleh digodam atau dikompromi dengan mudah.
  • Ancaman rangkaian: Kerentanan dalam rangkaian anda yang boleh membenarkan serangan pada peranti rangkaian dan penghala anda.
  • Isu prestasi: objek (fail dan aplikasi yang tidak diperlukan, masalah yang berkaitan dengan tetapan) yang mungkin mengganggu operasi PC.
  • Antivirus yang bercanggah: program antivirus yang dipasang pada PC anda dengan Avast. Mempunyai berbilang program antivirus memperlahankan PC anda dan mengurangkan keberkesanan perlindungan antivirus.

Catatan. Isu tertentu yang dikesan oleh Smart Scan mungkin memerlukan lesen berasingan untuk diselesaikan. Pengesanan jenis masalah yang tidak perlu boleh dilumpuhkan dalam .

Menyelesaikan masalah yang dikesan

Tanda semak hijau di sebelah kawasan imbasan menunjukkan bahawa tiada masalah ditemui dengan kawasan itu. Palang merah bermakna imbasan telah mengenal pasti satu atau lebih masalah berkaitan.

Untuk melihat butiran khusus tentang isu yang dikesan, klik Selesaikan segalanya. Imbasan Pintar menunjukkan butiran setiap isu dan menawarkan pilihan untuk membetulkannya dengan segera dengan mengklik item tersebut buat keputusan, atau lakukannya kemudian dengan mengklik Langkaui langkah ini.

Catatan. Log imbasan antivirus boleh dilihat dalam sejarah imbasan, yang boleh diakses dengan memilih Perlindungan Antivirus.

Urus Tetapan Imbasan Pintar

Untuk menukar tetapan Smart Scan, pilih Tetapan Imbasan Pintar Umum dan tentukan jenis masalah berikut yang anda ingin imbas pintar.

  • Virus
  • Perisian lapuk
  • Alat tambah penyemak imbas
  • Ancaman rangkaian
  • Isu keserasian
  • Isu prestasi
  • Kata laluan yang lemah

Secara lalai, semua jenis masalah didayakan. Untuk berhenti menyemak isu tertentu semasa menjalankan Imbasan Pintar, klik peluncur Termasuk di sebelah jenis masalah supaya ia menukar keadaan kepada Tutup.

klik tetapan sebelah tulisan Pengimbasan virus untuk menukar tetapan imbasan.

Pengurusan kerentanan ialah pengenalpastian, penilaian, klasifikasi dan pemilihan penyelesaian untuk menangani kelemahan. Asas pengurusan kelemahan ialah repositori maklumat tentang kelemahan, salah satunya ialah Sistem Pengurusan Kerentanan "Pemantauan Hadapan".

Penyelesaian kami memantau kemunculan maklumat tentang kelemahan dalam sistem pengendalian (Windows, Linux/Unix-based), perisian pejabat dan aplikasi, perisian perkakasan dan alatan keselamatan maklumat.

Sumber data

Pangkalan data Sistem Pengurusan Kerentanan Perisian Pemantauan Perspektif dikemas kini secara automatik daripada sumber berikut:

  • Bank Data Ancaman Keselamatan Maklumat (BDU BI) FSTEC Rusia.
  • Pangkalan Data Kerentanan Kebangsaan (NVD) NIST.
  • Red Hat Bugzilla.
  • Penjejak Pepijat Keselamatan Debian.
  • Senarai Mel CentOS.

Kami juga menggunakan kaedah automatik untuk mengemas kini pangkalan data kerentanan kami. Kami telah membangunkan perangkak halaman web dan penghurai data tidak berstruktur yang setiap hari menganalisis lebih daripada seratus sumber asing dan Rusia yang berbeza untuk beberapa kata kunci - kumpulan di rangkaian sosial, blog, mikroblog, media yang dikhaskan untuk teknologi maklumat dan keselamatan maklumat. Jika alat ini menemui sesuatu yang sepadan dengan kriteria carian, penganalisis menyemak maklumat secara manual dan memasukkannya ke dalam pangkalan data kerentanan.

Pemantauan kelemahan perisian

Menggunakan Sistem Pengurusan Kerentanan, pembangun boleh memantau kehadiran dan status kelemahan yang dikesan dalam komponen pihak ketiga perisian mereka.

Contohnya, dalam model Kitaran Hayat Pembangun Perisian Selamat (SSDLC) Hewlett Packard Enterprise, kawalan perpustakaan pihak ketiga adalah penting.

Sistem kami memantau kehadiran kelemahan dalam versi/binaan selari produk perisian yang sama.

Ia berfungsi seperti ini:

1. Pembangun memberikan kami senarai perpustakaan dan komponen pihak ketiga yang digunakan dalam produk.

2. Kami menyemak setiap hari:

b. sama ada kaedah telah muncul untuk menghapuskan kelemahan yang ditemui sebelum ini.

3. Kami memberitahu pembangun jika status atau pemarkahan kelemahan telah berubah, mengikut model peranan yang ditentukan. Ini bermakna bahawa pasukan pembangunan yang berbeza dalam syarikat yang sama akan menerima makluman dan melihat status kerentanan hanya untuk produk yang sedang mereka usahakan.

Kekerapan makluman Sistem Pengurusan Kerentanan boleh dikonfigurasikan, tetapi jika kerentanan dengan skor CVSS lebih daripada 7.5 dikesan, pembangun akan menerima amaran segera.

Integrasi dengan ViPNet TIAS

Perisian dan sistem perkakasan Sistem Perisikan Ancaman ViPNet secara automatik mengesan serangan komputer dan mengenal pasti insiden berdasarkan peristiwa keselamatan maklumat yang diterima daripada pelbagai sumber. Sumber utama acara untuk ViPNet TIAS ialah ViPNet IDS, yang menganalisis trafik rangkaian masuk dan keluar menggunakan asas peraturan keputusan Peraturan AM yang dibangunkan oleh Pemantauan Perspektif. Beberapa tandatangan ditulis untuk mengesan eksploitasi kelemahan.

Jika ViPNet TIAS mengesan insiden keselamatan maklumat di mana kerentanan telah dieksploitasi, maka semua maklumat yang berkaitan dengan kerentanan, termasuk kaedah untuk menghapuskan atau mengimbangi kesan negatif, dimasukkan secara automatik ke dalam kad insiden daripada sistem pengurusan.

Sistem pengurusan insiden juga membantu dalam penyiasatan insiden keselamatan maklumat, memberikan penganalisis maklumat tentang penunjuk kompromi dan potensi nod infrastruktur maklumat yang terjejas oleh insiden tersebut.

Memantau kehadiran kelemahan dalam sistem maklumat

Satu lagi senario untuk menggunakan sistem pengurusan kerentanan ialah pengimbasan atas permintaan.

Pelanggan secara bebas menjana, menggunakan alat terbina dalam atau skrip yang dibangunkan oleh kami, senarai sistem dan perisian aplikasi dan komponen yang dipasang pada nod (stesen kerja, pelayan, DBMS, pakej perisian, peralatan rangkaian), menghantar senarai ini kepada kawalan sistem dan menerima laporan tentang kelemahan yang dikesan dan pemberitahuan berkala tentang statusnya.

Perbezaan antara Sistem dan pengimbas kerentanan biasa:

  • Tidak memerlukan pemasangan ejen pemantauan pada nod.
  • Tidak membuat beban pada rangkaian, kerana seni bina penyelesaian itu sendiri tidak menyediakan ejen dan pelayan pengimbasan.
  • Tidak membuat beban pada peralatan, kerana senarai komponen dicipta oleh arahan sistem atau skrip sumber terbuka yang ringan.
  • Menghapuskan kemungkinan kebocoran maklumat. "Pemantauan prospektif" tidak boleh mengetahui apa-apa tentang lokasi fizikal dan logik atau tujuan fungsian nod dalam sistem maklumat dengan pasti. Satu-satunya maklumat yang meninggalkan perimeter terkawal pelanggan ialah fail txt dengan senarai komponen perisian. Fail ini disemak untuk kandungan dan dimuat naik ke sistem kawalan oleh pelanggan sendiri.
  • Untuk sistem beroperasi, kami tidak memerlukan akaun pada nod terkawal. Maklumat dikumpul oleh pentadbir tapak bagi pihaknya sendiri.
  • Pertukaran maklumat selamat melalui ViPNet VPN, IPsec atau https.

Menyambung kepada perkhidmatan pengurusan kelemahan "Pemantauan prospektif" membantu pelanggan memenuhi keperluan ANZ.1 "Pengenalpastian, analisis kelemahan sistem maklumat dan penghapusan segera kelemahan yang baru dikenal pasti" pesanan FSTEC of Russia No. 17 dan 21. Syarikat kami ialah pemegang lesen FSTEC Rusia untuk aktiviti yang berkaitan dengan perlindungan teknikal maklumat sulit.

harga

Kos minimum - 25,000 rubel setahun untuk 50 nod yang disambungkan ke sistem jika terdapat kontrak yang sah untuk sambungan ke

Satu lagi cara untuk melihat masalah ini ialah syarikat mesti bertindak balas dengan cepat apabila aplikasi mempunyai kelemahan. Ini memerlukan IT untuk akhirnya dapat menjejaki aplikasi, komponen dan tampalan yang dipasang menggunakan automasi dan alatan standard. Terdapat usaha industri untuk menyeragamkan teg perisian (19770-2), iaitu fail XML yang dipasang dengan aplikasi, komponen dan/atau tampalan yang mengenal pasti perisian yang dipasang, dan dalam kes komponen atau tampung, aplikasi yang mana ia sebahagian daripada. Teg mempunyai maklumat pihak berkuasa penerbit, maklumat versi, senarai fail dengan nama fail, cincang selamat fail dan saiz, yang boleh digunakan untuk mengesahkan bahawa aplikasi yang dipasang berada pada sistem dan binari belum diubahsuai oleh pihak ketiga. Tag ini ditandatangani secara digital oleh penerbit.

Apabila kelemahan diketahui, jabatan IT boleh menggunakan perisian pengurusan aset mereka untuk segera mengenal pasti sistem dengan perisian yang terdedah dan boleh mengambil langkah untuk mengemas kini sistem. Teg boleh menjadi sebahagian daripada tampalan atau kemas kini yang boleh digunakan untuk mengesahkan bahawa tampalan telah dipasang. Dengan cara ini, jabatan IT boleh menggunakan sumber seperti Pangkalan Data Kerentanan Nasional NIST sebagai cara untuk mengurus alat pengurusan aset mereka, supaya sebaik sahaja kerentanan diserahkan kepada NVD oleh syarikat, IT boleh membandingkan dengan segera kelemahan baharu dengan kelemahan mereka.

Terdapat sekumpulan syarikat yang bekerja melalui organisasi bukan untung IEEE/ISTO yang dipanggil TagVault.org (www.tagvault.org) dengan kerajaan AS pada pelaksanaan standard ISO 19770-2 yang akan membenarkan tahap automasi ini. Pada satu ketika, teg yang sepadan dengan pelaksanaan ini mungkin akan menjadi wajib untuk perisian yang dijual kepada kerajaan AS pada satu ketika dalam beberapa tahun akan datang.

Jadi pada penghujung hari, amalan yang baik untuk tidak menyiarkan tentang aplikasi dan versi khusus perisian yang anda gunakan, tetapi ini mungkin sukar, seperti yang dinyatakan sebelum ini. Anda ingin memastikan bahawa anda mempunyai inventori perisian yang tepat dan terkini, bahawa ia selalu dibandingkan dengan senarai kelemahan yang diketahui seperti NVID daripada NVD dan bahawa IT boleh mengambil tindakan segera untuk memulihkan ancaman. Ini adalah bersama dengan pengesanan terkini Pencerobohan, pengimbasan anti-virus dan kaedah penguncian persekitaran yang lain sekurang-kurangnya akan menyukarkan persekitaran anda untuk terjejas, dan jika/apabila ia berlaku, ia tidak akan dikesan untuk jangka masa yang lama.

Pada masa ini, sebilangan besar alat telah dibangunkan untuk mengautomasikan carian untuk kelemahan program. Artikel ini akan membincangkan sebahagian daripadanya.

pengenalan

Analisis kod statik ialah analisis perisian yang dilakukan pada kod sumber program dan dilaksanakan tanpa benar-benar melaksanakan program yang dikaji.

Perisian selalunya mengandungi pelbagai kelemahan akibat ralat dalam kod program. Ralat yang dibuat semasa pembangunan program, dalam beberapa situasi, membawa kepada kegagalan program, dan akibatnya, operasi normal program terganggu: ini sering mengakibatkan perubahan dan kerosakan pada data, menghentikan program atau bahkan sistem. Kebanyakan kelemahan dikaitkan dengan pemprosesan data yang tidak betul yang diterima dari luar, atau pengesahan yang tidak cukup ketat terhadapnya.

Untuk mengenal pasti kelemahan, pelbagai alat digunakan, contohnya, penganalisis statik kod sumber program, gambaran keseluruhannya diberikan dalam artikel ini.

Klasifikasi kelemahan keselamatan

Apabila keperluan untuk program untuk beroperasi dengan betul pada semua data input yang mungkin dilanggar, kemunculan apa yang dipanggil kelemahan keselamatan menjadi mungkin. Kerentanan keselamatan boleh bermakna bahawa satu program boleh digunakan untuk mengatasi had keselamatan keseluruhan sistem.

Klasifikasi kelemahan keselamatan bergantung pada ralat perisian:

  • Limpahan penampan. Kerentanan ini berlaku disebabkan oleh kekurangan kawalan ke atas tatasusunan di luar sempadan dalam ingatan semasa pelaksanaan program. Apabila paket data yang terlalu besar melimpahi penimbal bersaiz terhad, kandungan lokasi memori luar akan ditulis ganti, menyebabkan program ranap dan keluar. Berdasarkan lokasi penimbal dalam memori proses, limpahan penimbal dibezakan pada timbunan (limpahan penimbal timbunan), timbunan (limpahan penimbal timbunan) dan kawasan data statik (limpahan penimbal bss).
  • Kerentanan input yang tercemar. Kerentanan input yang rosak boleh berlaku apabila input pengguna dihantar kepada penterjemah beberapa bahasa luaran (biasanya cangkerang Unix atau SQL) tanpa kawalan yang mencukupi. Dalam kes ini, pengguna boleh menentukan data input dengan cara yang penterjemah yang dilancarkan akan melaksanakan perintah yang sama sekali berbeza daripada yang dimaksudkan oleh pengarang program yang terdedah.
  • Format kerentanan rentetan. Kerentanan keselamatan jenis ini ialah subkelas daripada kerentanan "input rosak". Ia berlaku disebabkan oleh kawalan parameter yang tidak mencukupi apabila menggunakan format I/O fungsi printf, fprintf, scanf, dsb. pustaka standard C. Fungsi ini mengambil sebagai salah satu parameternya rentetan aksara yang menentukan format input atau output bagi argumen fungsi berikutnya. Jika pengguna boleh menentukan jenis pemformatan, kelemahan ini mungkin disebabkan oleh penggunaan fungsi pemformatan rentetan yang tidak berjaya.
  • Kerentanan akibat daripada ralat penyegerakan (keadaan perlumbaan). Masalah yang dikaitkan dengan berbilang tugas membawa kepada situasi yang dipanggil "keadaan perlumbaan": program yang tidak direka bentuk untuk dijalankan dalam persekitaran berbilang tugas mungkin percaya bahawa, sebagai contoh, fail yang digunakannya tidak boleh diubah oleh program lain. Akibatnya, penyerang yang menggantikan kandungan fail berfungsi ini tepat pada masanya boleh memaksa program untuk melakukan tindakan tertentu.

Sudah tentu, sebagai tambahan kepada yang disenaraikan, terdapat kelas kelemahan keselamatan yang lain.

Semakan penganalisis sedia ada

Alat berikut digunakan untuk mengesan kelemahan keselamatan dalam program:

  • Penyahpepijat dinamik. Alat yang membolehkan anda menyahpepijat atur cara semasa pelaksanaannya.
  • Penganalisis statik (penyahpepijat statik). Alat yang menggunakan maklumat terkumpul semasa analisis statik program.

Penganalisis statik menunjuk ke tempat-tempat dalam program yang mungkin terdapat ralat. Cebisan kod yang mencurigakan ini mungkin mengandungi ralat atau tidak berbahaya sama sekali.

Artikel ini memberikan gambaran keseluruhan beberapa penganalisis statik sedia ada. Mari kita lihat lebih dekat setiap daripada mereka.

Dalam sesetengah kes, kelemahan timbul disebabkan oleh penggunaan alat pembangunan pelbagai asal, yang meningkatkan risiko kecacatan jenis sabotaj yang muncul dalam kod program.

Kerentanan muncul disebabkan penambahan komponen pihak ketiga atau kod yang diedarkan secara bebas (sumber terbuka) kepada perisian. Kod orang lain sering digunakan "seadanya" tanpa analisis menyeluruh dan ujian keselamatan.

Seseorang tidak seharusnya mengecualikan kehadiran pengaturcara dalaman dalam pasukan yang dengan sengaja memperkenalkan fungsi atau elemen tidak berdokumen tambahan ke dalam produk yang dicipta.

Klasifikasi kelemahan program

Kerentanan timbul akibat daripada ralat yang berlaku semasa peringkat reka bentuk atau pengekodan.

Bergantung pada peringkat kejadian, jenis ancaman ini dibahagikan kepada kelemahan reka bentuk, pelaksanaan dan konfigurasi.

  1. Ralat yang dibuat semasa reka bentuk adalah yang paling sukar untuk dikesan dan dihapuskan. Ini adalah ketidaktepatan dalam algoritma, penanda halaman, ketidakkonsistenan dalam antara muka antara modul yang berbeza atau dalam protokol untuk interaksi dengan perkakasan, dan pengenalan teknologi suboptimum. Menghapuskannya adalah proses yang sangat intensif buruh, termasuk kerana ia boleh muncul dalam kes yang tidak jelas - contohnya, apabila jumlah lalu lintas yang dimaksudkan melebihi atau apabila sejumlah besar peralatan tambahan disambungkan, yang merumitkan penyediaan yang diperlukan tahap keselamatan dan membawa kepada kemunculan cara untuk memintas tembok api.
  2. Kerentanan pelaksanaan muncul pada peringkat menulis program atau melaksanakan algoritma keselamatan ke dalamnya. Ini adalah organisasi yang salah bagi proses pengkomputeran, kecacatan sintaksis dan logik. Terdapat risiko bahawa kecacatan itu akan membawa kepada limpahan penampan atau masalah lain. Mengesannya memerlukan banyak masa, dan menghapuskannya melibatkan pembetulan bahagian tertentu kod mesin.
  3. Ralat konfigurasi perkakasan dan perisian adalah perkara biasa. Sebab biasa mereka adalah pembangunan yang tidak berkualiti tinggi dan kekurangan ujian untuk pengendalian fungsi tambahan yang betul. Kata laluan yang terlalu mudah dan akaun lalai dibiarkan tidak berubah juga mungkin termasuk dalam kategori ini.

Menurut statistik, kelemahan terutamanya sering ditemui dalam produk yang popular dan meluas - sistem pengendalian desktop dan mudah alih, pelayar.

Risiko menggunakan program yang terdedah

Program yang mengandungi bilangan kelemahan terbesar dipasang pada hampir semua komputer. Di pihak penjenayah siber, terdapat minat langsung untuk mencari kelemahan tersebut dan menulis untuk mereka.

Memandangkan agak banyak masa berlalu dari saat kelemahan ditemui kepada penerbitan pembetulan (tampalan), terdapat banyak peluang untuk menjangkiti sistem komputer melalui jurang dalam keselamatan kod program. Dalam kes ini, pengguna hanya perlu membuka, sebagai contoh, fail PDF berniat jahat dengan eksploitasi sekali, selepas itu penyerang akan mendapat akses kepada data.

Dalam kes kedua, jangkitan berlaku mengikut algoritma berikut:

  • Seorang pengguna menerima e-mel pancingan data daripada pengirim yang dipercayai.
  • Fail dengan eksploitasi dilampirkan pada surat itu.
  • Jika pengguna cuba membuka fail, komputer akan dijangkiti virus, Trojan (penyulit) atau program berniat jahat yang lain.
  • Penjenayah siber mendapat akses tanpa kebenaran kepada sistem.
  • Data berharga sedang dicuri.

Penyelidikan yang dijalankan oleh pelbagai syarikat (Kaspersky Lab, Positive Technologies) menunjukkan bahawa kelemahan wujud dalam hampir mana-mana aplikasi, termasuk antivirus. Oleh itu, kemungkinan memasang produk perisian yang mengandungi kecacatan tahap kritikal yang berbeza-beza adalah sangat tinggi.

Untuk meminimumkan bilangan jurang dalam perisian, adalah perlu untuk menggunakan SDL (Kitaran Hayat Pembangunan Keselamatan, kitaran hayat pembangunan selamat). Teknologi SDL digunakan untuk mengurangkan bilangan pepijat dalam aplikasi pada semua peringkat penciptaan dan sokongan mereka. Oleh itu, apabila mereka bentuk perisian, pakar keselamatan maklumat dan pengaturcara memodelkan ancaman siber untuk mencari kelemahan. Semasa pengaturcaraan, alat automatik disertakan dalam proses untuk segera melaporkan potensi kelemahan. Pembangun berusaha untuk mengehadkan dengan ketara kefungsian yang tersedia kepada pengguna yang tidak dipercayai, yang membantu mengurangkan permukaan serangan.

Untuk meminimumkan kesan kelemahan dan kerosakan yang disebabkan olehnya, anda mesti mengikuti beberapa peraturan:

  • Pasang pembetulan (tampalan) yang dikeluarkan pembangun dengan segera untuk aplikasi atau (sebaik-baiknya) dayakan mod kemas kini automatik.
  • Jika boleh, jangan pasang program yang meragukan yang kualiti dan sokongan teknikalnya menimbulkan persoalan.
  • Gunakan pengimbas kerentanan khas atau fungsi khusus produk antivirus yang membolehkan anda mencari ralat keselamatan dan, jika perlu, mengemas kini perisian.


ARTIKEL BERKAITAN