ProHoster > Sganio bregusrwydd a datblygiad diogel. Rhan 1

Sganio bregusrwydd a datblygiad diogel. Rhan 1

Sganio bregusrwydd a datblygiad diogel. Rhan 1

Fel rhan o'u gweithgareddau proffesiynol, mae'n rhaid i ddatblygwyr, pentesters, a gweithwyr diogelwch proffesiynol ymdrin â phrosesau fel Rheoli Agored i Niwed (VM), (Secure) SDLC.
O dan yr ymadroddion hyn mae setiau amrywiol o arferion ac offer a ddefnyddir sydd wedi'u cydblethu, er bod eu defnyddwyr yn wahanol.

Nid yw cynnydd technolegol eto wedi cyrraedd y pwynt lle gall un offeryn ddisodli person ar gyfer dadansoddi diogelwch seilwaith a meddalwedd.
Mae'n ddiddorol deall pam mae hyn felly, a pha broblemau y mae'n rhaid i rywun eu hwynebu.

Y prosesau

Mae'r broses Rheoli Agored i Niwed wedi'i chynllunio i fonitro diogelwch seilwaith a rheoli ardaloedd yn barhaus.
Mae'r broses SDLC Diogel ("cylch datblygu diogel") wedi'i chynllunio i gynnal diogelwch cymwysiadau yn ystod datblygiad a gweithrediad.

Rhan debyg o'r prosesau hyn yw'r broses Asesu Agored i Niwed - asesiad bregusrwydd, sganio bregusrwydd.
Y prif wahaniaeth rhwng sganio o fewn VM a SDLC yw mai'r nod yn yr achos cyntaf yw dod o hyd i wendidau hysbys mewn meddalwedd trydydd parti neu mewn ffurfweddiad. Er enghraifft, fersiwn hen ffasiwn o Windows neu'r llinyn cymunedol rhagosodedig ar gyfer SNMP.
Yn yr ail achos, y nod yw canfod gwendidau nid yn unig mewn cydrannau trydydd parti (dibyniaethau), ond yn bennaf yng nghod y cynnyrch newydd.

Mae hyn yn arwain at wahaniaethau mewn offer a dulliau. Yn fy marn i, mae'r dasg o ddod o hyd i wendidau newydd mewn cymhwysiad yn llawer mwy diddorol, gan nad yw'n dibynnu ar olion bysedd fersiwn, casglu baneri, grym 'n Ysgrublaidd cyfrinair, ac ati.
Mae sganio awtomataidd o ansawdd uchel o wendidau cymwysiadau yn gofyn am algorithmau sy'n ystyried semanteg y cymhwysiad, ei ddiben, a bygythiadau penodol.

Yn aml gellir disodli'r sganiwr seilwaith ag amserydd, fel y avleonov. Y pwynt yw, yn ystadegol yn unig, y gallwch ystyried eich seilwaith yn agored i niwed os nad ydych wedi ei ddiweddaru ers, dyweder, mis.

Offer

Gellir perfformio sganio, yn ogystal â dadansoddiad diogelwch, fel blwch du neu flwch gwyn.

Box Black

Gyda sganio blwch du, rhaid i'r offeryn allu gweithio gyda'r gwasanaeth trwy'r un rhyngwynebau y mae defnyddwyr yn gweithio gydag ef.

Mae sganwyr seilwaith (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, ac ati) yn chwilio am borthladdoedd rhwydwaith agored, yn casglu "baneri", yn nodi fersiynau meddalwedd wedi'u gosod, ac yn chwilio eu sylfaen wybodaeth am wybodaeth am wendidau yn y fersiynau hyn. Maent hefyd yn ceisio canfod gwallau cyfluniad fel cyfrineiriau rhagosodedig neu fynediad cyhoeddus i ddata, seiffrau SSL gwan, ac ati.

Gall sganwyr cymwysiadau gwe (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, ac ati) hefyd ganfod cydrannau hysbys a'u fersiynau (ee CMS, fframweithiau, llyfrgelloedd JS). Y prif gamau cropian yw cropian a fuzzing.
Yn ystod cropian, mae'r ymlusgo yn casglu gwybodaeth am ryngwynebau cymhwysiad presennol a pharamedrau HTTP. Yn ystod niwlio, amnewidir yr holl baramedrau a ganfyddir â data treigledig neu ddata a gynhyrchir er mwyn ysgogi gwall a chanfod bregusrwydd.

Mae sganwyr cymwysiadau o'r fath yn perthyn i'r dosbarthiadau DAST ac IAST - yn y drefn honno Profi Diogelwch Cymwysiadau Dynamig a Rhyngweithiol.

Blwch Gwyn

Gyda sganio blwch gwyn, mae mwy o wahaniaethau.
Fel rhan o'r broses VM, mae sganwyr (Vulners, Incsecurity Couch, Vuls, Tenable Nessus, ac ati) yn aml yn cael mynediad i systemau trwy berfformio sgan wedi'i ddilysu. Felly, gall y sganiwr lawrlwytho fersiynau pecyn gosodedig a pharamedrau cyfluniad yn uniongyrchol o'r system, heb eu dyfalu o faneri gwasanaeth rhwydwaith.
Mae'r sgan yn fwy cywir a chyflawn.

Os byddwn yn siarad am sganio blwch gwyn (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, ac ati) o geisiadau, yna rydym fel arfer yn sôn am ddadansoddiad cod statig a defnyddio'r offer dosbarth SAST cyfatebol - Profi Diogelwch Cais Statig.

Problemau

Mae llawer o broblemau gyda sganio! Mae’n rhaid i mi ymdrin â’r rhan fwyaf ohonynt yn bersonol fel rhan o ddarparu gwasanaeth ar gyfer sganio adeiladau a phrosesau datblygu diogel, yn ogystal ag wrth gynnal gwaith dadansoddi diogelwch.

Byddaf yn nodi 3 phrif grŵp o broblemau, sydd hefyd yn cael eu cadarnhau gan sgyrsiau gyda pheirianwyr a phenaethiaid gwasanaethau diogelwch gwybodaeth mewn cwmnïau amrywiol.

Materion Sganio Cymwysiadau Gwe

  1. Anhawster gweithredu. Mae angen lleoli sganwyr, eu ffurfweddu, eu haddasu ar gyfer pob cais, dyrannu amgylchedd prawf ar gyfer sganiau a'u gweithredu yn y broses CI / CD er mwyn bod yn effeithiol. Fel arall, bydd yn weithdrefn ffurfiol ddiwerth, gan roi dim ond positif ffug
  2. Hyd y sgan. Mae sganwyr, hyd yn oed yn 2019, yn gwneud gwaith gwael o ddad-ddyblygu rhyngwynebau a gallant sganio mil o dudalennau gyda 10 paramedr yr un am ddyddiau, gan eu hystyried yn wahanol, er bod yr un cod yn gyfrifol amdanynt. Ar yr un pryd, rhaid gwneud y penderfyniad i'w ddefnyddio i gynhyrchu o fewn y cylch datblygu yn gyflym.
  3. Argymhellion gwael. Mae sganwyr yn rhoi argymhellion gweddol gyffredinol, ac nid yw bob amser yn bosibl i ddatblygwr ddeall yn gyflym ganddyn nhw sut i leihau lefel y risg, ac yn bwysicaf oll, a oes angen ei wneud ar hyn o bryd, neu nad yw'n frawychus eto.
  4. Effaith ddinistriol ar y cais. Gall sganwyr berfformio ymosodiad DoS ar raglen yn hawdd, a gallant hefyd greu nifer fawr o endidau neu newid rhai sy'n bodoli eisoes (er enghraifft, creu degau o filoedd o sylwadau ar flog), felly ni ddylech redeg sgan yn ddifeddwl mewn a cynnyrch.
  5. Ansawdd gwael o ganfod bregusrwydd. Mae sganwyr fel arfer yn defnyddio amrywiaeth sefydlog o lwythi tâl a gallant yn hawdd golli bregusrwydd nad yw'n cyd-fynd â'u hymddygiad cymhwysiad hysbys.
  6. Nid yw'r sganiwr yn deall swyddogaethau'r cymhwysiad. Nid yw'r sganwyr eu hunain yn gwybod beth yw "banc Rhyngrwyd", "taliad", "sylw". Iddynt hwy, dim ond cysylltiadau a pharamedrau sydd, felly mae haen enfawr o wendidau rhesymeg busnes posibl yn parhau i fod wedi'i datgelu'n llwyr, ni fyddant yn dyfalu i ddileu ddwywaith, peep data pobl eraill trwy ID neu ddirwyn y cydbwysedd i ben trwy dalgrynnu.
  7. Camddealltwriaeth o semanteg tudalennau gan y sganiwr. Ni all sganwyr ddarllen Cwestiynau Cyffredin, ni allant adnabod captchas, ni fyddant yn dyfalu eu hunain sut i gofrestru ac yna ail-fewngofnodi, na allwch glicio "allgofnodi", a sut i lofnodi ceisiadau wrth newid gwerthoedd paramedr. O ganlyniad, efallai na fydd y rhan fwyaf o'r cais wedi'i sganio o gwbl.

Materion Sganio Cod Ffynhonnell

  1. Pwyntiau positif ffug. Mae dadansoddiad statig yn dasg gymhleth sy'n cynnwys llawer o gyfaddawdau. Yn aml mae'n rhaid i chi aberthu cywirdeb, ac mae hyd yn oed sganwyr menter drud yn rhoi nifer enfawr o bethau cadarnhaol ffug.
  2. Anhawster gweithredu. Er mwyn cynyddu cywirdeb a chyflawnrwydd dadansoddiad statig, mae angen mireinio'r rheolau sganio, a gall ysgrifennu'r rheolau hyn gymryd gormod o amser. Weithiau mae'n haws dod o hyd i'r holl leoedd yn y cod gyda rhyw fath o fyg a'u trwsio nag i ysgrifennu rheol i ganfod achosion o'r fath.
  3. Diffyg cefnogaeth dibyniaeth. Mae prosiectau mawr yn dibynnu ar nifer fawr o lyfrgelloedd a fframweithiau sy'n ymestyn galluoedd yr iaith raglennu. Os nad oes unrhyw wybodaeth am leoedd peryglus ("sinciau") yn y fframweithiau hyn yng nghronfa wybodaeth y sganiwr, bydd hyn yn dod yn fan dall, ac ni fydd y sganiwr hyd yn oed yn deall y cod.
  4. Hyd y sgan. Mae dod o hyd i wendidau mewn cod yn dasg anodd o ran algorithmau hefyd. Felly, mae’n bosibl iawn y bydd oedi yn y broses a bod angen adnoddau cyfrifiadurol sylweddol.
  5. Cwmpas isel. Er gwaethaf y defnydd o adnoddau a hyd y sgan, mae'n rhaid i ddatblygwyr offer SAST droi at gyfaddawdau o hyd a dadansoddi nid yw pob un yn datgan y gall rhaglen fod ynddi.
  6. Dod o hyd i atgenhedlu. Mae pwyntio at y llinell benodol a'r pentwr galwadau sy'n arwain at fregusrwydd yn wych, ond mewn gwirionedd, yn aml nid yw'r sganiwr yn darparu digon o wybodaeth i wirio am wendid allanol. Wedi'r cyfan, gall y diffyg hefyd fod yn y cod marw, sy'n anghyraeddadwy i'r ymosodwr.

Materion Sganio Isadeiledd

  1. Stocrestr annigonol. Mewn seilweithiau mawr, yn enwedig rhai sydd wedi'u gwahanu'n ddaearyddol, yn aml dyma'r peth anoddaf i ddarganfod pa westeion i'w sganio. Mewn geiriau eraill, mae'r dasg o sganio yn gysylltiedig yn agos â'r dasg o reoli asedau
  2. Blaenoriaethu gwael. Mae sganwyr rhwydwaith yn aml yn cynhyrchu llawer o ganlyniadau gyda diffygion na ellir eu hecsbloetio yn ymarferol, ond yn ffurfiol mae lefel eu risg yn uchel. Mae'r defnyddiwr yn derbyn adroddiad sy'n anodd ei ddehongli, ac nid yw'n glir beth sydd angen ei gywiro yn gyntaf
  3. Argymhellion gwael. Mae sylfaen wybodaeth y sganiwr yn aml yn cynnwys gwybodaeth gyffredinol iawn am y bregusrwydd a sut i'w drwsio, felly bydd yn rhaid i weinyddwyr arfogi eu hunain â Google. Mae'r sefyllfa ychydig yn well gyda sganwyr blwch gwyn, a all roi gorchymyn penodol i'w drwsio
  4. Wedi'i wneud â llaw. Gall seilwaith fod â llawer o nodau, sy'n golygu y gallai fod llawer o ddiffygion, y mae'n rhaid dosrannu adroddiadau arnynt a'u dadansoddi â llaw ym mhob iteriad.
  5. Sylw drwg. Mae ansawdd sganio seilwaith yn dibynnu'n uniongyrchol ar faint y sylfaen wybodaeth am wendidau a fersiynau meddalwedd. Lle, yn troi allan, nid oes gan hyd yn oed arweinwyr y farchnad sylfaen wybodaeth gynhwysfawr, ac mae llawer o wybodaeth yn y cronfeydd data o atebion rhad ac am ddim nad oes gan yr arweinwyr
  6. Problemau gyda chlytio. Yn fwyaf aml, clytio gwendidau seilwaith yw diweddaru pecyn neu newid ffeil ffurfweddu. Y broblem fawr yma yw y gall y system, yn enwedig yr un etifeddiaeth, ymddwyn yn anrhagweladwy o ganlyniad i ddiweddariad. Mewn gwirionedd, bydd yn rhaid i chi gynnal profion integreiddio ar seilwaith byw mewn cynhyrchu.

Dulliau

Sut i fod?
Byddaf yn mynd i fwy o fanylion am enghreifftiau a sut i ddelio â llawer o'r problemau hyn yn y rhannau canlynol, ond am y tro byddaf yn nodi'r prif feysydd y gallwch weithio ynddynt:

  1. Cydgasglu amrywiol offer sganio. Gyda'r defnydd cywir o sganwyr lluosog, gellir cyflawni cynnydd sylweddol yn y sylfaen wybodaeth ac ansawdd y canfod. Gallwch ddod o hyd i hyd yn oed mwy o wendidau na chyfanswm yr holl sganwyr sy'n cael eu rhedeg yn unigol, tra gallwch chi asesu lefel y risg yn fwy cywir a gwneud mwy o argymhellion
  2. Integreiddio SAST a DAST. Mae'n bosibl cynyddu cwmpas DAST a chywirdeb SAST trwy rannu gwybodaeth rhyngddynt. O'r ffynhonnell gallwch gael gwybodaeth am lwybrau presennol, a gyda chymorth DAST gallwch wirio a yw'r bregusrwydd yn weladwy o'r tu allan.
  3. Dysgu Peiriannau™. Yn 2015 dwi meddai (a mwy) am ddefnyddio ystadegau i roi greddf haciwr i sganwyr a'u cyflymu. Mae hyn yn bendant yn fwyd ar gyfer datblygu dadansoddiad diogelwch awtomataidd yn y dyfodol.
  4. Integreiddio IAST ag awtobrofion ac OpenAPI. O fewn y biblinell CI/CD, mae'n bosibl creu proses sganio yn seiliedig ar offer sy'n gweithio fel dirprwy HTTP a phrofion swyddogaethol sy'n gweithio dros HTTP. Bydd profion a chontractau OpenAPI/Swagger yn rhoi'r wybodaeth goll i'r sganiwr am lif data, gan ei gwneud hi'n bosibl sganio'r cymhwysiad mewn gwahanol daleithiau
  5. Cyfluniad cywir. Ar gyfer pob cais a seilwaith, mae angen i chi greu proffil sganio addas, gan ystyried nifer a natur y rhyngwynebau, y technolegau a ddefnyddir
  6. Addasu sganiwr. Yn aml, ni ellir sganio cais heb addasu'r sganiwr. Enghraifft yw porth talu lle mae'n rhaid llofnodi pob cais. Heb ysgrifennu cysylltydd i'r protocol porth, bydd sganwyr yn pigo'n ddifeddwl ar geisiadau gyda llofnod anghywir. Mae hefyd angen ysgrifennu sganwyr arbenigol ar gyfer math penodol o ddiffygion, megis Cyfeirnod Gwrthrych Uniongyrchol Ansicr
  7. Rheoli risg. Bydd defnyddio sganwyr amrywiol ac integreiddio â systemau allanol megis Rheoli Asedau a Rheoli Bygythiadau yn caniatáu i baramedrau lluosog gael eu defnyddio i asesu lefel y risg, fel y gall rheolwyr gael darlun digonol o gyflwr diogelwch presennol y datblygiad neu'r seilwaith.

Cadwch draw a gadewch i ni amharu ar y sganio bregusrwydd!

Ffynhonnell: hab.com

Ychwanegu sylw