Uchanganuzi mahiri. Tambua programu hatarishi kwenye kompyuta za mteja Dhibiti mipangilio ya Smart Scan

Hivi sasa, idadi kubwa ya zana zimetengenezwa ili kubinafsisha utafutaji wa udhaifu wa programu. Makala hii itazungumzia baadhi yao.

Utangulizi

Uchanganuzi wa msimbo tuli ni uchanganuzi wa programu ambao unafanywa kwenye msimbo wa chanzo wa programu na unatekelezwa bila kutekeleza programu inayochunguzwa.

Programu mara nyingi huwa na udhaifu mbalimbali kutokana na makosa katika msimbo wa programu. Makosa yaliyofanywa wakati wa maendeleo ya programu, katika hali fulani, husababisha kushindwa kwa programu, na kwa hiyo, uendeshaji wa kawaida wa programu huvunjika: mara nyingi hii husababisha mabadiliko na uharibifu wa data, kuacha programu au hata mfumo. Udhaifu mwingi unahusishwa na uchakataji usio sahihi wa data iliyopokelewa kutoka nje, au uthibitishaji mkali usiotosha.

Ili kutambua udhaifu, zana mbalimbali hutumiwa, kwa mfano, wachambuzi wa tuli wa msimbo wa chanzo cha programu, muhtasari wa ambayo hutolewa katika makala hii.

Uainishaji wa udhaifu wa usalama

Wakati mahitaji ya programu kufanya kazi kwa usahihi kwenye data zote zinazowezekana za uingizaji inakiukwa, kuonekana kwa kile kinachoitwa udhaifu wa usalama kunawezekana. Athari za kiusalama zinaweza kumaanisha kuwa programu moja inaweza kutumika kushinda vikwazo vya usalama vya mfumo mzima.

Uainishaji wa udhaifu wa usalama kulingana na hitilafu za programu:

  • Bafa kufurika. Athari hii hutokea kwa sababu ya ukosefu wa udhibiti wa safu ya nje ya mipaka katika kumbukumbu wakati wa utekelezaji wa programu. Wakati pakiti ya data ambayo ni kubwa sana inapojaza bafa ya ukubwa mdogo, maudhui ya maeneo ya kumbukumbu ya nje hufutwa, na kusababisha programu kuvurugika na kutoka. Kulingana na eneo la bafa katika kumbukumbu ya mchakato, umiminiko wa bafa hubainishwa kwenye rafu (furiko ya bafa ya rafu), lundo (miminiko ya bafa ya lundo) na eneo la data tuli (furika ya bafa ya bss).
  • Athari mbaya ya ingizo. Athari za ingizo zilizoharibika zinaweza kutokea wakati ingizo la mtumiaji linapopitishwa kwa mkalimani wa baadhi ya lugha ya nje (kawaida ganda la Unix au SQL) bila udhibiti wa kutosha. Katika kesi hii, mtumiaji anaweza kutaja data ya pembejeo kwa njia ambayo mkalimani aliyezinduliwa atafanya amri tofauti kabisa kuliko ilivyokusudiwa na waandishi wa programu iliyo hatarini.
  • Muundo wa kuathiriwa kwa kamba. Aina hii ya athari za kiusalama ni aina ndogo ya athari ya "ingizo mbovu". Hutokea kutokana na udhibiti usiotosha wa vigezo unapotumia umbizo la vitendaji vya I/O printf, fprintf, scanf, n.k. ya maktaba ya kawaida ya C. Chaguo za kukokotoa hizi huchukua kama mojawapo ya vigezo vyake mfuatano wa herufi unaobainisha umbizo la ingizo au towe la hoja za chaguo za kukokotoa zinazofuata. Iwapo mtumiaji anaweza kubainisha aina ya uumbizaji, athari hii inaweza kutokana na kutofaulu kwa utumizi wa vipengele vya uumbizaji wa kamba.
  • Udhaifu kutokana na hitilafu za ulandanishi (hali za mbio). Matatizo yanayohusiana na kufanya kazi nyingi husababisha hali zinazoitwa "masharti ya mbio": programu ambayo haijaundwa kuendeshwa katika mazingira ya kufanya kazi nyingi inaweza kuamini kwamba, kwa mfano, faili zinazotumia haziwezi kubadilishwa na programu nyingine. Matokeo yake, mshambulizi anayechukua nafasi ya yaliyomo kwenye faili hizi za kazi kwa wakati anaweza kulazimisha programu kufanya vitendo fulani.

Bila shaka, pamoja na wale walioorodheshwa, kuna madarasa mengine ya udhaifu wa usalama.

Mapitio ya wachambuzi waliopo

Zana zifuatazo hutumiwa kugundua udhaifu wa usalama katika programu:

  • Vitatuzi vinavyobadilika. Zana zinazokuruhusu kutatua programu wakati wa utekelezaji wake.
  • Wachambuzi tuli (vitatuzi tuli). Zana zinazotumia taarifa zilizokusanywa wakati wa uchanganuzi tuli wa programu.

Wachanganuzi tuli huelekeza kwenye sehemu hizo kwenye programu ambapo hitilafu inaweza kupatikana. Vipande hivi vya msimbo vinavyotiliwa shaka vinaweza kuwa na hitilafu au visiwe na madhara kabisa.

Nakala hii inatoa muhtasari wa wachanganuzi kadhaa wa tuli zilizopo. Hebu tuangalie kwa karibu kila mmoja wao.

Wakati wa kuanza skanning smart Avast itaangalia Kompyuta yako kwa aina zifuatazo za shida na kisha kupendekeza suluhisho kwao.

  • Virusi: Faili zilizo na msimbo hasidi ambazo zinaweza kuathiri usalama na utendakazi wa Kompyuta yako.
  • Programu hatarishi: Programu zinazohitaji kusasishwa na zinaweza kutumiwa na washambuliaji kupata ufikiaji wa mfumo wako.
  • Viendelezi vya kivinjari vilivyo na sifa mbaya: Viendelezi vya kivinjari ambavyo kwa kawaida husakinishwa bila wewe kujua na huathiri utendaji wa mfumo.
  • Nywila dhaifu: Nywila ambazo hutumika kufikia zaidi ya akaunti moja mtandaoni na zinaweza kudukuliwa kwa urahisi au kuathiriwa.
  • Vitisho vya mtandao: Athari kwenye mtandao wako ambayo inaweza kuruhusu mashambulizi kwenye vifaa vya mtandao wako na kipanga njia.
  • Masuala ya utendaji: vitu (faili na maombi yasiyo ya lazima, matatizo yanayohusiana na mipangilio) ambayo inaweza kuingilia kati na uendeshaji wa PC.
  • Antivirus zinazokinzana: programu za antivirus zilizosakinishwa kwenye Kompyuta yako na Avast. Kuwa na programu nyingi za antivirus hupunguza kasi ya PC yako na kupunguza ufanisi wa ulinzi wa antivirus.

Kumbuka. Matatizo fulani yanayotambuliwa na Smart Scan yanaweza kuhitaji leseni tofauti ili kusuluhisha. Ugunduzi wa aina za shida zisizohitajika unaweza kuzimwa katika .

Kutatua matatizo yaliyogunduliwa

Alama ya tiki ya kijani karibu na eneo la skanisho inaonyesha kuwa hakuna matatizo yaliyopatikana na eneo hilo. Msalaba mwekundu unamaanisha kuwa uchunguzi umetambua tatizo moja au zaidi zinazohusiana.

Ili kuona maelezo mahususi kuhusu masuala yaliyotambuliwa, bofya Tatua kila kitu. Smart Scan inaonyesha maelezo ya kila suala na inatoa fursa ya kulirekebisha mara moja kwa kubofya kipengee Amua, au ifanye baadaye kwa kubofya Ruka hatua hii.

Kumbuka. Kumbukumbu za scan ya antivirus zinaweza kuonekana kwenye historia ya skanisho, ambayo inaweza kupatikana kwa kuchagua Kinga Antivirus.

Dhibiti Mipangilio ya Uchanganuzi Mahiri

Ili kubadilisha mipangilio ya Smart Scan, chagua Mipangilio Uchanganuzi Mahiri wa Jumla na ubainishe ni aina gani ya tatizo kati ya zifuatazo ungependa kuchanganua kwa njia mahiri.

  • Virusi
  • Programu iliyopitwa na wakati
  • Viongezi vya kivinjari
  • Vitisho vya mtandao
  • Masuala ya utangamano
  • Masuala ya utendaji
  • Nywila dhaifu

Kwa chaguo-msingi, aina zote za tatizo zimewezeshwa. Ili kuacha kuangalia suala mahususi unapoendesha Uchanganuzi Mahiri, bofya kitelezi Imejumuishwa karibu na aina ya shida ili ibadilishe hali kuwa Imezimwa.

Bofya Mipangilio karibu na maandishi Uchanganuzi wa virusi kubadilisha mipangilio ya skanisho.

Katika baadhi ya matukio, udhaifu hutokea kutokana na matumizi ya zana za maendeleo ya asili mbalimbali, ambayo huongeza hatari ya kasoro za aina ya hujuma zinazoonekana katika msimbo wa programu.

Udhaifu huonekana kutokana na kuongezwa kwa vipengele vya wahusika wengine au msimbo uliosambazwa kwa uhuru (chanzo huria) kwa programu. Msimbo wa mtu mwingine mara nyingi hutumiwa "kama ulivyo" bila uchanganuzi wa kina na majaribio ya usalama.

Mtu hapaswi kutenga uwepo wa watayarishaji programu katika timu ambao kwa makusudi huanzisha vipengele au vipengele vya ziada visivyo na kumbukumbu kwenye bidhaa inayoundwa.

Uainishaji wa udhaifu wa programu

Udhaifu hutokea kama matokeo ya makosa yanayotokea wakati wa kubuni au hatua ya kuweka msimbo.

Kulingana na hatua ya tukio, aina hii ya tishio imegawanywa katika udhaifu wa kubuni, utekelezaji na usanidi.

  1. Makosa yaliyofanywa wakati wa kubuni ni ngumu zaidi kugundua na kuondoa. Haya ni makosa katika algorithms, alamisho, kutofautiana katika kiolesura kati ya moduli tofauti au katika itifaki za mwingiliano na maunzi, na kuanzishwa kwa teknolojia ndogo. Kuziondoa ni mchakato unaohitaji nguvu kazi kubwa, pamoja na kwa sababu zinaweza kuonekana katika hali zisizo wazi - kwa mfano, wakati kiasi kilichokusudiwa cha trafiki kinazidi au wakati idadi kubwa ya vifaa vya ziada vimeunganishwa, ambayo inachanganya utoaji wa mahitaji. kiwango cha usalama na inaongoza kwa kuibuka kwa njia za bypass firewall.
  2. Udhaifu wa utekelezaji huonekana katika hatua ya kuandika programu au kutekeleza kanuni za usalama ndani yake. Hili ni shirika lisilo sahihi la mchakato wa kompyuta, kasoro za kisintaksia na kimantiki. Kuna hatari kwamba dosari itasababisha kufurika kwa buffer au shida zingine. Kuzigundua huchukua muda mwingi, na kuziondoa kunahusisha kurekebisha sehemu fulani za msimbo wa mashine.
  3. Makosa ya usanidi wa vifaa na programu ni ya kawaida sana. Sababu zao za kawaida ni maendeleo duni ya hali ya juu na ukosefu wa vipimo kwa uendeshaji sahihi wa kazi za ziada. Manenosiri ambayo ni rahisi sana na akaunti chaguo-msingi zilizoachwa bila kubadilishwa zinaweza pia kuanguka katika aina hii.

Kwa mujibu wa takwimu, udhaifu mara nyingi hugunduliwa katika bidhaa maarufu na zinazoenea - mifumo ya uendeshaji ya kompyuta na simu, vivinjari.

Hatari za kutumia programu zilizo hatarini

Programu ambazo zina idadi kubwa ya udhaifu zimewekwa karibu na kompyuta zote. Kwa upande wa wahalifu wa mtandao, kuna nia ya moja kwa moja ya kutafuta dosari hizo na kuwaandikia.

Kwa kuwa muda mwingi hupita kutoka wakati udhaifu unapogunduliwa hadi uchapishaji wa kurekebisha (kiraka), kuna idadi sawa ya fursa za kuambukiza mifumo ya kompyuta kupitia mapungufu katika usalama wa nambari ya programu. Katika kesi hii, mtumiaji anahitaji tu kufungua, kwa mfano, faili mbaya ya PDF na unyonyaji mara moja, baada ya hapo washambuliaji watapata data.

Katika kesi ya mwisho, maambukizi hutokea kulingana na algorithm ifuatayo:

  • Mtumiaji hupokea barua pepe ya ulaghai kutoka kwa mtumaji anayeaminika.
  • Faili iliyo na unyonyaji imeambatanishwa na barua.
  • Ikiwa mtumiaji anajaribu kufungua faili, kompyuta inaambukizwa na virusi, Trojan (encryptor) au programu nyingine mbaya.
  • Wahalifu wa mtandao hupata ufikiaji usioidhinishwa kwa mfumo.
  • Data ya thamani inaibiwa.

Utafiti uliofanywa na makampuni mbalimbali (Kaspersky Lab, Positive Technologies) unaonyesha kuwa udhaifu upo karibu na programu yoyote, ikiwa ni pamoja na antivirus. Kwa hiyo, uwezekano wa kusakinisha bidhaa ya programu iliyo na dosari za viwango tofauti vya uhakiki ni mkubwa sana.

Ili kupunguza idadi ya mapungufu katika programu, ni muhimu kutumia SDL (Mzunguko wa Maisha ya Maendeleo ya Usalama, mzunguko wa maisha ya maendeleo salama). Teknolojia ya SDL hutumiwa kupunguza idadi ya hitilafu katika programu katika hatua zote za uundaji na usaidizi wao. Kwa hivyo, wakati wa kuunda programu, wataalamu wa usalama wa habari na wapangaji wa programu huiga vitisho vya mtandao ili kupata udhaifu. Wakati wa programu, zana za kiotomatiki zinajumuishwa katika mchakato ili kuripoti mara moja dosari zinazowezekana. Wasanidi programu hujitahidi kupunguza kwa kiasi kikubwa utendakazi unaopatikana kwa watumiaji wasioaminika, ambayo husaidia kupunguza eneo la mashambulizi.

Ili kupunguza athari za udhaifu na uharibifu unaosababishwa nao, lazima ufuate sheria kadhaa:

  • Sakinisha mara moja marekebisho yaliyotolewa na msanidi programu (viraka) kwa programu au (ikiwezekana) uwashe hali ya kusasisha kiotomatiki.
  • Ikiwezekana, usisakinishe programu zenye shaka ambazo ubora na usaidizi wa kiufundi huzua maswali.
  • Tumia scanners maalum za mazingira magumu au kazi maalum za bidhaa za antivirus zinazokuwezesha kutafuta makosa ya usalama na, ikiwa ni lazima, kusasisha programu.

Usimamizi wa mazingira magumu ni utambuzi, tathmini, uainishaji na uteuzi wa suluhisho la kushughulikia udhaifu. Msingi wa usimamizi wa mazingira magumu ni hazina za taarifa kuhusu udhaifu, mojawapo ikiwa ni Mfumo wa Kudhibiti Athari za "Ufuatiliaji Mbele".

Suluhisho letu hufuatilia mwonekano wa maelezo kuhusu udhaifu katika mifumo ya uendeshaji (Windows, Linux/Unix-based), programu ya ofisi na programu, programu ya maunzi na zana za usalama wa taarifa.

Vyanzo vya data

Hifadhidata ya Mfumo wa Kudhibiti Athari za Programu ya Ufuatiliaji wa Mtazamo inasasishwa kiotomatiki kutoka kwa vyanzo vifuatavyo:

  • Benki ya Data ya Vitisho vya Usalama wa Taarifa (BDU BI) FSTEC ya Urusi.
  • Hifadhidata ya Kitaifa ya Hatari (NVD) NIST.
  • Red Hat Bugzilla.
  • Kifuatiliaji cha Mdudu wa Usalama wa Debian.
  • Orodha ya Barua ya CentOS.

Pia tunatumia mbinu ya kiotomatiki kusasisha hifadhidata yetu ya athari. Tumeunda kitambazaji cha ukurasa wa wavuti na kichanganuzi cha data kisicho na muundo ambacho kila siku huchanganua zaidi ya vyanzo mia moja tofauti vya kigeni na Kirusi kwa idadi ya maneno muhimu - vikundi kwenye mitandao ya kijamii, blogi, blogu ndogo, media zinazojitolea kwa teknolojia ya habari na usalama wa habari. Zana hizi zikipata kitu kinacholingana na vigezo vya utafutaji, mchanganuzi hukagua taarifa mwenyewe na kuiingiza kwenye hifadhidata ya uwezekano wa kuathiriwa.

Ufuatiliaji wa kuathirika kwa programu

Kwa kutumia Mfumo wa Kudhibiti Athari, wasanidi programu wanaweza kufuatilia uwepo na hali ya udhaifu uliotambuliwa katika vipengele vya wahusika wengine wa programu zao.

Kwa mfano, katika muundo wa Mzunguko wa Maisha ya Msanidi Programu Salama (SSDLC). Salama Maendeleo ya Programu) ya Hewlett Packard Enterprise, udhibiti wa maktaba za watu wengine ni moja wapo ya sehemu kuu.

Mfumo wetu hufuatilia uwepo wa udhaifu katika matoleo/miundo sambamba ya bidhaa ya programu sawa.

Inafanya kazi kama hii:

1. Msanidi hutupatia orodha ya maktaba za watu wengine na vipengee vinavyotumika katika bidhaa.

2. Tunaangalia kila siku:

b. ikiwa mbinu zimeonekana kuondoa udhaifu uliogunduliwa hapo awali.

3. Tunamjulisha msanidi programu ikiwa hali au alama ya athari imebadilika, kwa mujibu wa mfano maalum uliobainishwa. Hii inamaanisha kuwa timu tofauti za uendelezaji ndani ya kampuni moja zitapokea arifa na kuona hali ya kuathirika kwa bidhaa wanazofanyia kazi pekee.

Masafa ya arifa ya Mfumo wa Kudhibiti Athari zinaweza kusanidiwa, lakini ikiwa athari iliyo na alama za CVSS zaidi ya 7.5 itatambuliwa, wasanidi watapokea arifa mara moja.

Kuunganishwa na ViPNet TIAS

Mfumo wa maunzi na programu ya ViPNet Threat Intelligence Analytics System hutambua kiotomati mashambulizi ya kompyuta na kubainisha matukio kulingana na matukio ya usalama wa taarifa yaliyopokelewa kutoka vyanzo mbalimbali. Chanzo kikuu cha matukio ya ViPNet TIAS ni ViPNet IDS, ambayo inachambua trafiki ya mtandao inayoingia na kutoka kwa kutumia misingi ya maamuzi kanuni AM Kanuni maendeleo ya "Ufuatiliaji Unaotarajiwa". Baadhi ya sahihi zimeandikwa ili kugundua unyonyaji wa udhaifu.

Iwapo ViPNet TIAS itatambua tukio la usalama wa taarifa ambapo athari ilitumiwa, basi maelezo yote yanayohusiana na athari, ikiwa ni pamoja na mbinu za kuondoa au kufidia athari mbaya, huwekwa kiotomatiki kwenye kadi ya tukio kutoka kwa mfumo wa usimamizi.

Mfumo usimamizi wa matukio husaidia katika uchunguzi wa matukio ya usalama wa habari, kuwapa wachambuzi habari kuhusu viashiria vya maelewano na nodi za miundombinu ya habari zinazoweza kuathiriwa na tukio hilo.

Kufuatilia uwepo wa udhaifu katika mifumo ya habari

Hali nyingine ya kutumia mfumo wa kudhibiti uwezekano wa kuathiriwa ni kuchanganua unapohitaji.

Mteja hutengeneza kwa kujitegemea, kwa kutumia zana zilizojengwa ndani au hati iliyotengenezwa na sisi, orodha ya mfumo na programu ya programu na vifaa vilivyowekwa kwenye nodi (kituo cha kazi, seva, DBMS, kifurushi cha programu, vifaa vya mtandao), hupitisha orodha hii kwa udhibiti. mfumo na hupokea ripoti kuhusu udhaifu uliotambuliwa na arifa za mara kwa mara kuhusu hali yao.

Tofauti kati ya Mfumo na vichanganuzi vya kawaida vya hatari:

  • Haihitaji ufungaji wa mawakala wa ufuatiliaji kwenye nodes.
  • Haifanyi mzigo kwenye mtandao, kwani usanifu wa suluhisho yenyewe haitoi mawakala wa skanning na seva.
  • Haiunda mzigo kwenye vifaa, kwani orodha ya vipengele imeundwa na amri za mfumo au hati nyepesi ya chanzo wazi.
  • Huondoa uwezekano wa uvujaji wa habari. "Ufuatiliaji unaotarajiwa" hauwezi kujifunza chochote kwa uhakika kuhusu eneo halisi na la kimantiki au madhumuni ya utendaji ya nodi katika mfumo wa habari. Taarifa pekee ambayo inaacha mzunguko unaodhibitiwa wa mteja ni faili ya txt yenye orodha ya vipengele vya programu. Faili hii huangaliwa ili kuona maudhui na kupakiwa kwenye mfumo wa udhibiti na mteja mwenyewe.
  • Ili mfumo ufanye kazi, hatuhitaji akaunti kwenye nodi zinazodhibitiwa. Taarifa inakusanywa na msimamizi wa tovuti kwa niaba yake mwenyewe.
  • Salama kubadilishana habari kupitia ViPNet VPN, IPsec au https.

Kuunganisha kwenye "Ufuatiliaji Unaotarajiwa" wa huduma ya usimamizi wa athari humsaidia mteja kutimiza mahitaji ya ANZ.1 "Utambuaji, uchambuzi wa udhaifu wa mfumo wa habari na kuondoa mara moja udhaifu mpya uliotambuliwa" wa maagizo ya FSTEC ya Urusi Na. 17 na 21. Kampuni yetu - leseni ya FSTEC ya Urusi kwa shughuli zinazohusiana na ulinzi wa kiufundi wa habari za siri.

Bei

Gharama ya chini - rubles 25,000 kwa mwaka kwa nodi 50 zilizounganishwa kwenye mfumo ikiwa kuna mkataba halali wa unganisho.



MAKALA INAYOHUSIANA