Software vulnerable Cómo corregir. Definición de software vulnerable en computadoras cliente. Administración de configuración inteligente de escaneo

Al comenzar escaneo intelectual avast Verifique la PC para obtener la presencia de los siguientes tipos de problemas, y luego ofrezca opciones para eliminarlas.

  • Virus: Archivos que contienen código maliciosoLo que puede afectar la seguridad y el rendimiento de su PC.
  • Vulnerable a: Programas que requieren actualizaciones que pueden ser utilizadas por los atacantes para acceder a su sistema.
  • Expansión del navegador con mala reputación.: Extensiones del navegador, que generalmente se instalan sin su conocimiento y afectan el rendimiento del sistema.
  • Contraseñas poco fiables: Las contraseñas que se utilizan para acceder a más de una cuenta en Internet y pueden ser fácilmente hackeadas o comprometidas.
  • Amenazas de red : Vulnerabilidades de su red que pueden hacer posibles ataques en su dispositivos de red y enrutador.
  • Problemas con el rendimiento: Objetos ( archivos innecesarios y aplicaciones, problemas de configuración) que pueden prevenir la operación de la PC.
  • Antivirus conflictivo: Programas antivirus instalados en una PC con Avast. La presencia de varios software antivirus Retraliza el trabajo de la PC y reduce la efectividad de la protección antivirus.

Nota. La solución de ciertos problemas detectados durante el escaneo intelectual puede requerir una licencia separada. La detección de tipos innecesarios de problemas se puede desactivar.

Resolver problemas detectados

La casilla de verificación verde junto al área de escaneo muestra que los problemas asociados con ella no se detectan. Cruz Roja significa escanear reveló uno o más problemas relacionados.

Para ver información específica sobre problemas descubiertos, haga clic en Elemento Resolver todo. Escaneo inteligente muestra información sobre cada problema y ofrece la capacidad de solucionarlo inmediatamente haciendo clic en el elemento Decidiro hacerlo más tarde haciendo clic Salta este paso.

Nota. Los registros de escaneo antivirus se pueden ver en el historial de escaneo, vaya a la que pueda elegir eligiendo Protección antivirus.

Administración de configuración inteligente de escaneo

Para cambiar la configuración de escaneo inteligente, seleccione Configuraciones Common Intelligent Scanning Y especifique, por qué de los tipos de problemas enumerados que desea realizar un escaneo inteligente.

  • Virus
  • Desactualizado por
  • Complemento del navegador
  • Amenazas de red
  • Problemas de compatibilidad
  • Problemas con el rendimiento
  • Contraseñas poco fiables

Por defecto, se incluyen todos los tipos de problemas. Para detener la comprobación de un problema específico al realizar una exploración inteligente, haga clic en el control deslizante Incluido Al lado del tipo de problema para que cambie el estado a Apagado.

Hacer clic Ajustes Junto a la inscripción Escaneo de virusPara cambiar la configuración de escaneo.

Otra forma de ver este problema es que las empresas deben responder rápidamente cuando la aplicación tiene una vulnerabilidad. Requiere que el departamento de TI pueda finalmente rastrear aplicaciones instaladas, componentes y parches utilizando automatización y herramientas estándar. Hay esfuerzos sectoriales para estandarizar las etiquetas de software (19770-2), que son archivos XML instalados con una aplicación, componente y / o parche que identifican el software instalado, y en el caso de un componente o parche, que son parte. Las etiquetas tienen información de editor de buena reputación, información de la versión, lista de archivos con nombre de archivo, hash y tamaño seguro que se pueden usar para confirmar que la aplicación instalada está en el sistema, y \u200b\u200bque un tercero no ha cambiado los archivos binarios. Estas etiquetas están firmadas. firma digital editor.

Cuando se conoce una vulnerabilidad, los departamentos de TI pueden usar su software de gestión de activos para detectar inmediatamente los sistemas con software vulnerable y pueden tomar medidas para actualizar los sistemas. Las etiquetas pueden ser parte de un parche o actualización que se puede usar para verificar que el parche está instalado. Por lo tanto, los departamentos de TI pueden usar recursos, como una base de datos nacional de vulnerabilidad de NIST como un medio para administrar sus herramientas de gestión de activos, de modo que tan pronto como la compañía envíe la vulnerabilidad en NVD, el departamento de TI puede comparar inmediatamente las nuevas vulnerabilidades con su fecha.

Hay un grupo de empresas que trabajan a través de la organización sin fines de lucro IEEE / ISTO llamadas tagvault.org (www.tagvault.org) con el gobierno de los EE. UU., A la implementación estándar de ISO 19770-2, que permitirá este nivel de automatización. En algún momento, estas etiquetas correspondientes a esta implementación pueden ser obligatorias para softwareVendido por el gobierno de los Estados Unidos en algún momento de los próximos años.

Por lo tanto, al final, la buena práctica no es una publicación sobre qué aplicaciones y versiones específicas que usan, pero esto puede ser difícil, como se indica anteriormente. Desea asegurarse de que tiene un inventario de software preciso y moderno que se compara regularmente con la lista de vulnerabilidades conocidas, como NVID de NVD, y que el departamento de TI puede tomar medidas inmediatas para recordar una amenaza, está junto con Las últimas intrusiones de detección, escaneo antivirus y otros métodos de bloqueo medio, al menos, será muy difícil comprometer su entorno y, si sucede, no se detectará durante un largo período de tiempo.

En algunos casos, la aparición de vulnerabilidades se debe al uso de medios para desarrollar diversos origen, lo que aumenta el riesgo de desviar los defectos de tipo en el código del programa.

Las vulnerabilidades aparecen debido a la adición de componentes de terceros o fuente gratuita (código abierto). El código alienígena se usa a menudo "tal cual" sin análisis y pruebas cuidadosos para la seguridad.

No es necesario excluir la presencia en los comandos de información de comunicación que contribuyen intencionalmente a las funciones o elementos indocumentados adicionales del producto creado.

Clasificación de vulnerabilidades del programa.

Las vulnerabilidades surgen como resultado de errores que han surgido en el diseño o la etapa de escritura del código del programa.

Dependiendo de la etapa de aparición, este tipo de amenazas se divide en vulnerabilidades de diseño, implementación y configuración.

  1. Errores hechos en diseño, lo más difícil de detectar y eliminar. Esta es la imprecisión de algoritmos, marcadores, inconsistencias en la interfaz entre diferentes módulos o en los protocolos de interacción con el hardware, la introducción de tecnologías no óptimas. Su eliminación es un proceso que consume mucho tiempo, incluso porque pueden manifestarse en casos no obvios, por ejemplo, cuando se excede el volumen de tráfico proporcionado, o cuando se conecta una gran cantidad de equipos adicionales, lo que complica la provisión del requerido. Nivel de seguridad y conduce a la aparición de una ruta de firewall.
  2. Las vulnerabilidades de implementación aparecen en la etapa de escribir un programa o introducir algoritmos de seguridad en ella. Esta es una organización incorrecta del proceso computacional, los defectos sintácticos y lógicos. Al mismo tiempo, existe el riesgo de que la falla resulte en el desbordamiento del tampón o la apariencia de un tipo diferente de problema. Su detección lleva mucho tiempo y la eliminación implica la corrección de ciertas secciones del código de la máquina.
  3. Los errores y el software de configuración de hardware son muy a menudo. Sus causas comunes no son suficiente desarrollo de alta calidad y falta de pruebas para la operación correcta. características adicionales. También se puede tratar esta categoría. contraseñas simples Y las cuentas predeterminadas que quedan sin cambios.

Según las estadísticas, especialmente las vulnerabilidades se encuentran en productos populares y comunes: escritorio y móvil sistemas operativos, navegadores.

Riesgos a utilizar programas vulnerables.

Los programas en los que el mayor número de vulnerabilidades se encuentra casi en todas las computadoras. Desde el lado de los ciberdelincuentes, hay un interés directo para encontrar tales defectos y escribir para ellos.

Desde el momento de la detección de vulnerabilidad, hay bastante tiempo, hay una gran cantidad de oportunidades para infectar sistemas informáticos A través de barras en la seguridad del código del programa. Al mismo tiempo, el usuario es suficiente una vez que se abre, por ejemplo, un archivo PDF malicioso con una exploit, después de lo cual los atacantes recibirán el acceso a los datos.

La infección en este último caso se produce de acuerdo con el siguiente algoritmo:

  • El usuario entra email Carta de phishing de la confianza del remitente.
  • Un archivo de explotación se invierte en la carta.
  • Si el usuario intenta abrir un archivo, entonces una computadora está infectada con un virus, un troyano (círculo) u otro programa malicioso.
  • Los ciberdelincuentes reciben acceso no autorizado al sistema.
  • Se producen datos valiosos específicos.

Los estudios realizados por varias compañías (Kaspersky Lab, Positive Technologies) muestran que hay vulnerabilidades en casi cualquier aplicación, incluidos los antivirus. Por lo tanto, la probabilidad de establecer softwareque contiene las fallas de diversos grados de criticidad es muy alto.

Para minimizar el número de cangrejos en el software, debe usar SDL (ciclo de vida seguro de desarrollo, desarrollo de ciclo de vida seguro). La tecnología SDL se utiliza para reducir la cantidad de errores en las aplicaciones en todas las etapas de su creación y soporte. Por lo tanto, al diseñar software, los especialistas y programadores de IB simulan amenazas cibernéticas para buscar lugares vulnerables. Durante la programación, el proceso incluye agentes automáticos, informando inmediatamente sobre fallas potenciales. Los desarrolladores se esfuerzan por limitar significativamente las funciones disponibles para los usuarios no fijos, lo que ayuda a reducir la superficie del ataque.

Para minimizar la influencia de las vulnerabilidades y el daño de ellos, se deben realizar algunas reglas:

  • Instale operativamente los fijadores fijos (parches) para aplicaciones o (preferiblemente) modo automático Actualizaciones.
  • Si es posible, no para establecer programas dudosos, cuya calidad y apoyo técnico Llame a preguntas.
  • Use escáneres de vulnerabilidad especiales o características de antivirus especializadas que le permitan buscar errores de seguridad y software de actualización si es necesario.

La gestión de la vulnerabilidad es la identificación, la evaluación, la clasificación y la selección de soluciones para eliminar las vulnerabilidades. El fundramento de las vulnerabilidades es el repositorio de información sobre las vulnerabilidades, una de las cuales es un sistema de gestión de vulnerabilidades de "seguimiento prospectivo".

Nuestra decisión controla la aparición de información sobre las vulnerabilidades en los sistemas operativos (Windows, Linux / Unix basado en el software, equipos, equipos, herramientas de protección de información.

Fuentes de datos

La base de datos del sistema de gestión de vulnerabilidad del "software de monitoreo prometedor" se repone automáticamente de las siguientes fuentes:

  • El Banco de Datos de las Amenazas de Seguridad de la Información (BDA BDI) FSTEC de Rusia.
  • Base de datos de vulnerabilidad nacional (NVD) NIST.
  • Bugzilla de sombrero rojo.
  • Seguridad de la seguridad de Debian.
  • Lista de correo CentOS.

También utilizamos un método automatizado para reponer nuestras vulnerabilidades. Hemos desarrollado un traigo de página web y un analizador de datos no estructurados que todos los días analizan más de cien fuentes externas y rusas diferentes para un número. indicio - Grupos en redes sociales, blogs, microblogging, medios dedicados a tecnologías de la información y garantizar la seguridad de la información. Si estas herramientas encuentran algo que satisface los términos de búsqueda, el analista revisa manualmente la información y entra en la base de vulnerabilidades.

Control de vulnerabilidades de software.

Con la ayuda del sistema de gestión de vulnerabilidad, los desarrolladores pueden monitorear la presencia y el estado de vulnerabilidades detectadas en componentes de terceros de su software.

Por ejemplo, en el ciclo de vida de Secure Software Developer (SSDLC - Secure Software Development) Hewlett Packard El control de la empresa de bibliotecas de terceros ocupa uno de los lugares centrales.

Nuestro sistema rastrea la presencia de vulnerabilidades en versiones / compilaciones paralelas de un producto de software.

Funciona así:

1. El desarrollador nos envía una lista de bibliotecas y componentes de terceros que se utilizan en el producto.

2. Revisamos diariamente:

b. Si aparecieron los métodos para eliminar las vulnerabilidades detectadas previamente.

3. Notificamos al desarrollador si el estado o la puntuación ha cambiado, de acuerdo con el modelo de rol especificado. Esto significa que los diferentes grupos de los desarrolladores de una empresa recibirán alertas y verán el estado de las vulnerabilidades solo para el producto sobre el que trabajan.

La frecuencia de alertas del sistema de control de vulnerabilidad se ajusta arbitrariamente, pero cuando se detecta vulnerabilidad con la puntuación de CVSS, más de 7.5 desarrolladores recibirán una alerta inmediata.

Integración con Tias VIPNET.

El software y el complejo de hardware, el sistema de analíticos de inteligencia de amenaza VIPNet de VIPNet detecta automáticamente ataques informáticos y revela incidentes basados \u200b\u200ben provenientes de varias fuentes de eventos seguridad de información. La principal fuente de eventos para las ID de TII de VIPNET - VIPNET, que analiza el tráfico de la red entrante y saliente utilizando las bases de datos de las reglas decisivas de las reglas de AM que desarrollan "Monitoreo prometedor". Algunas firmas están escritas para detectar la explotación de las vulnerabilidades.

Si VIPNET TIAS detecta un incidente de IB en el que se abrió la vulnerabilidad, entonces toda la información asociada con la vulnerabilidad se ingresa automáticamente en la tarjeta incidente del incidente, incluidos los métodos para eliminar o compensar el impacto negativo.

El sistema de gestión de incidentes ayuda a las investigaciones de los incidentes de IB, brindando a los analistas información sobre los indicadores de compromiso y el montaje de infraestructura de información afectada potencial.

Monitoreo de la disponibilidad de vulnerabilidades en los sistemas de información.

Otro escenario de usar el sistema de gestión de vulnerabilidades es verificar la demanda.

El cliente forma el alcance del sistema instalado en el nodo (armas, servidor, DBMS, Pak Shi, equipo de red) de software y componentes aplicados, y recibe un informe sobre las vulnerabilidades y alertas periódicas a las vulnerabilidades y alertas periódicas. sobre sus vulnerabilidades. Estado.

Diferencias del sistema de los escáneres de vulnerabación comunes:

  • No requiere la instalación de agentes de monitoreo en los nodos.
  • No crea una carga de red, ya que la arquitectura en sí no proporciona agentes y servidores de escaneo.
  • No crea una carga en equipo, ya que la lista de componentes es creada por los comandos del sistema o un script ligero de código abierto.
  • Elimina la posibilidad de información de fugas. "Monitoreo de perspectiva" no puede aprender nada a la ubicación física y lógica o el propósito funcional del nodo en el sistema de información. La única información que deja los límites del perímetro controlado del cliente es el archivo TXT con una lista de componentes de software. Este archivo se verifica para el mantenimiento y se carga en la SUU por el cliente.
  • No necesitamos trabajar en el sistema. cuentas en nodos controlados. La información es recopilada por el administrador del nodo en su propio nombre.
  • Información segura sobre VIPNET VPN, IPSEC o HTTPS.

Conexión al servicio de administración de vulnerabilidades "Monitoreo de perspectiva" ayuda al cliente a cumplir con el requisito de la detección de "detección de" ANZ.1 ", Análisis de vulnerabilidad sistema de informacion y la eliminación operativa de las vulnerabilidades recién identificadas "órdenes de la FSTEC de Rusia No. 17 y 21. Nuestra empresa es un titular de FSTEC de Rusia sobre la protección técnica de la información confidencial.

Costo

El costo mínimo es de 25,000 rublos por año para 50 nodos conectados al sistema si hay un contrato existente para conectarse a

Actualmente, se desarrollan una gran cantidad de herramientas diseñadas para automatizar la búsqueda de vulnerabilidades del programa. Este artículo considerará a algunos de ellos.

Introducción

El análisis del código estático es un análisis del software que se realiza por encima del código fuente de programas y se implementa sin la ejecución real del programa en estudio.

El software a menudo contiene una variedad de vulnerabilidades debido a errores en el código del programa. Errores hechos por el desarrollo del programa, en algunas situaciones, conducen a un fracaso del programa y, por lo tanto, el funcionamiento normal del programa se viole: a menudo ocurre un cambio y daño de los datos, detenga un programa o incluso un sistema. La mayoría de las vulnerabilidades están asociadas con el procesamiento inadecuado de los datos obtenidos del exterior, o no es lo suficientemente estrictamente verificado.

Para identificar las vulnerabilidades, se utilizan varias herramientas, por ejemplo, analizadores estáticos del código fuente del programa, cuyo artículo se da en este artículo.

Clasificación de vulnerabilidades de seguridad.

Cuando se rompe el requisito de la correcta operación del programa en todos los datos de entrada posibles, se convierte en posible apariencia Llamadas vulnerabilidades de seguridad (vulnerabilidad de seguridad). Las vulnerabilidades de protección pueden llevar al hecho de que un programa se puede utilizar para superar las restricciones a la protección de todo el sistema en su conjunto.

Clasificación de las vulnerabilidades de protección según los errores del programa:

  • Desbordamiento de tampón (desbordamiento de tampón). Esta vulnerabilidad surge debido a la falta de control sobre la salida de la matriz en la memoria durante la ejecución del programa. Cuando un paquete de datos grande desborda un búfer limitado, el contenido de las células de memoria extranjeras se sobrescribe, y falla y salida de emergencia del programa. En la ubicación del búfer en el proceso del proceso, el búfer se desborda en la pila (desbordamiento de tampón de montón) y el área de datos estáticos (desbordamiento de búfer BSS) se distinguen.
  • Vulnerabilidad de entrada contaminada (vulnerabilidad de entrada contaminada). La vulnerabilidad de la "entrada estropeada" puede ocurrir en los casos en que los datos ingresados \u200b\u200bpor el usuario sin control de suficiente control se transmiten al intérprete de algún idioma externo (generalmente se trata de una concha de UNIX o un lenguaje SQL). En este caso, el usuario puede configurar los datos de entrada que el intérprete lanzado cumplirá el comando incorrecto que fue asumido por los autores del programa vulnerable.
  • Errores cadena de formato Formato de vulnerabilidad de cadena). Este tipo Las vulnerabilidades de protección son una subclase de la vulnerabilidad de la "entrada mimada". Ocurre debido a un control insuficiente de los parámetros cuando se usa las funciones de Formato E / S de la Printf, FPRINTF, SCANF, etc. Biblioteca de idiomas estándar. Estas funciones se toman como uno de los parámetros una cadena de caracteres que especifica el formato de entrada o la salida de los argumentos de la función posterior. Si el usuario en sí puede establecer el tipo de formato, esta vulnerabilidad puede ocurrir como resultado de la aplicación fallida de las funciones de formato de fila.
  • Vulnerabilidades como resultado de errores de sincronización (condiciones de carrera). Los problemas multitarea conducen a situaciones llamadas "estado de carrera": un programa que no está diseñado para realizar en un entorno de multitarea, puede asumir que, por ejemplo, los archivos utilizados por ella no pueden cambiar el otro programa. Como resultado, un atacante, a tiempo, reemplazando los contenidos de estos archivos de trabajo, puede imponer un programa para realizar ciertas acciones.

Por supuesto, además de los listados, hay otras clases de vulnerabilidades de protección.

Descripción general de los analizadores existentes

Las siguientes herramientas se aplican para detectar vulnerabilidades de protección en programas:

  • Depuradores dinámicos. Herramientas que le permiten depurar el programa en el proceso de ejecución.
  • Analizadores estáticos (depuradores estáticos). Herramientas que utilizan la información acumulada durante el análisis estático del programa.

Los analizadores estáticos indican aquellos lugares en el programa en el que es posible el error. Estos fragmentos sospechosos del código pueden, ambos contienen un error y resultan ser completamente seguros.

Este artículo propone una visión general de varios analizadores estáticos existentes. Considera más cada uno de ellos.