ProHoster > Scanadh leochaileachta agus forbairt shlán. Cuid 1

Scanadh leochaileachta agus forbairt shlán. Cuid 1

Scanadh leochaileachta agus forbairt shlán. Cuid 1

Mar chuid dá ngníomhaíochtaí gairmiúla, caithfidh forbróirí, pentesters, agus gairmithe slándála déileáil le próisis ar nós Bainistíocht Leochaileachta (VM), (Secure) SDLC.
Faoi bhun na bhfrásaí seo tá tacair éagsúla cleachtas agus uirlisí a úsáidtear atá fite fuaite lena chéile, cé go bhfuil difríocht idir a n-úsáideoirí.

Níl an pointe bainte amach ag dul chun cinn teicneolaíochta fós inar féidir uirlis amháin a chur in ionad duine chun anailís a dhéanamh ar shlándáil bonneagair agus bogearraí.
Tá sé suimiúil a thuiscint cén fáth go bhfuil sé seo amhlaidh, agus cad iad na fadhbanna atá le sárú.

Na próisis

Tá an próiseas Bainistíochta Leochaileachta deartha chun monatóireacht leanúnach a dhéanamh ar shlándáil bonneagair agus ar bhainistíocht paiste.
Tá an próiseas Slán SDLC ("timthriall forbartha slán") deartha chun slándáil iarratais a chothabháil le linn forbartha agus oibríochta.

Cuid chomhchosúil de na próisis seo is ea an próiseas Measúnaithe Leochaileachta - measúnú leochaileachta, scanadh leochaileachta.
Is é an príomhdhifríocht idir scanadh laistigh de VM agus SDLC ná sa chéad chás, is é an sprioc ná leochaileachtaí aitheanta a aimsiú i mbogearraí tríú páirtí nó i gcumraíocht. Mar shampla, leagan as dáta de Windows nó an teaghrán pobail réamhshocraithe do SNMP.
Sa dara cás, is é an sprioc ná leochaileachtaí a bhrath, ní hamháin i gcomhpháirteanna tríú páirtí (spleáchais), ach go príomha i gcód an táirge nua.

Cruthaíonn sé seo difríochtaí in uirlisí agus cur chuige. Is é mo thuairim go bhfuil an tasc chun leochaileachtaí nua a aimsiú in iarratas i bhfad níos suimiúla, ós rud é nach dtagann sé síos go dtí méarlorgaireacht leagan, bailiú bratach, fórsa brute pasfhocal, etc.
Éilíonn scanadh uathoibrithe ardcháilíochta ar leochaileachtaí feidhmchláir halgartaim a chuireann san áireamh semantics an fheidhmchláir, a chuspóir, agus bagairtí sonracha.

Is minic is féidir lasc ama a chur in ionad an scanóir bonneagair, mar is féidir leis an abhlann. Is é an pointe atá ann ná gur féidir leat do bhonneagar a bheith leochaileach, ó thaobh staitisticí amháin, mura bhfuil sé nuashonraithe agat ar feadh míosa, abair.

Uirlisí

Is féidir scanadh, chomh maith le hanailís slándála, a dhéanamh mar bhosca dubh nó i mbosca bán.

Dubhlann

Le scanadh bosca dubh, caithfidh an uirlis a bheith in ann oibriú leis an tseirbhís trí na comhéadain chéanna trína n-oibríonn úsáideoirí leis.

Féachann scanóirí bonneagair (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, etc.) le haghaidh calafoirt líonra oscailte, bailíonn siad "meirgí", sainaithin leaganacha bogearraí suiteáilte, agus cuardaigh a mbonn eolais le haghaidh faisnéise faoi leochaileachtaí sna leaganacha seo. Déanann siad iarracht freisin earráidí cumraíochta a bhrath cosúil le pasfhocail réamhshocraithe nó rochtain phoiblí ar shonraí, simplitheoirí lag SSL, etc.

Is féidir le scanóirí feidhmchlár gréasáin (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, etc.) comhpháirteanna aitheanta agus a leaganacha a bhrath freisin (eg CMS, creataí, leabharlanna JS). Is iad na príomhchéimeanna crawling ná crawling agus doiléir.
Le linn crawling, bailíonn an crawler faisnéis faoi chomhéadain feidhmchláir atá ann cheana féin agus paraiméadair HTTP. Le linn doiléire, cuirtear sonraí sóchán nó ginte in ionad na bparaiméadar braite go léir chun earráid a spreagadh agus leochaileacht a bhrath.

Baineann scanóirí feidhmchláir den sórt sin leis na haicmí DAST agus IAST - Tástáil Slándála Feidhmchláir Dinimiciúla agus Idirghníomhach faoi seach.

Bosca bán

Le scanadh bosca bán, tá níos mó difríochtaí ann.
Mar chuid den phróiseas VM, is minic a thugtar rochtain ar chórais do scanóirí (Leontóirí, Insecurity Couch, Vuls, Tenable Nessus, etc.) trí scanadh fíordheimhnithe a dhéanamh. Mar sin, is féidir leis an scanóir leaganacha suiteáilte pacáiste agus paraiméadair chumraíochta a íoslódáil go díreach ón gcóras, gan iad a thomhas ó mheirgí seirbhíse líonra.
Tá an scanadh níos cruinne agus níos iomláine.

Má labhairt linn faoi scanadh bosca bán (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, etc.) na n-iarratas, ansin táimid ag caint de ghnáth faoi anailís cód statach agus úsáid na n-uirlisí ranga SAST comhfhreagrach - Tástáil Slándála Iarratas Statach.

Fadhbanna

Tá go leor fadhbanna le scanadh! Caithfidh mé déileáil leis an gcuid is mó acu go pearsanta mar chuid de sholáthar seirbhíse chun scanadh foirgneamh agus próisis shlána forbartha a dhéanamh, chomh maith le linn obair anailíse slándála a dhéanamh.

Luafaidh mé 3 phríomhghrúpa d’fhadhbanna, atá deimhnithe freisin ag comhráite le hinnealtóirí agus le ceannairí seirbhísí slándála faisnéise i gcomhlachtaí éagsúla.

Saincheisteanna maidir le Scanadh Feidhmchláir Ghréasáin

  1. Deacracht forfheidhmithe. Ní mór scanóirí a imscaradh, a chumrú, a shaincheapadh do gach feidhmchlár, timpeallacht tástála a leithdháileadh le haghaidh scanadh agus a chur i bhfeidhm sa phróiseas CI / CD le bheith éifeachtach. Seachas sin, is nós imeachta foirmiúil gan úsáid a bheidh ann, agus ní eiseofar ach rudaí bréagacha dearfacha
  2. Fad scanadh. Déanann scanóirí, fiú in 2019, droch-phost maidir le comhéadain a dhídhúbláil agus is féidir leo míle leathanach a scanadh le 10 bparaiméadar an ceann ar feadh laethanta, ag smaoineamh go bhfuil siad difriúil, cé go bhfuil an cód céanna freagrach astu. Ag an am céanna, ní mór an cinneadh a imscaradh chuig táirgeadh laistigh den timthriall forbartha a dhéanamh go tapa.
  3. Moltaí bochta. Tugann scanóirí moltaí measartha ginearálta, agus ní bhíonn sé indéanta i gcónaí d’fhorbróir a thuiscint go tapa uathu conas an leibhéal riosca a laghdú, agus is tábhachtaí, cé acu an gá é a dhéanamh faoi láthair, nó nach bhfuil sé scanrúil fós.
  4. Tionchar millteach ar an iarratas. Is féidir le scanóirí ionsaí DoS a dhéanamh go héasca ar fheidhmchlár, agus is féidir leo líon mór eintiteas a chruthú nó na cinn atá ann cheana a athrú (mar shampla, na mílte tuairimí a chruthú ar bhlag), agus mar sin níor cheart duit scanadh a dhéanamh i dtáirge gan smaoineamh.
  5. Droch-chaighdeán braite leochaileachta. Is gnách go n-úsáideann scanóirí sraith sheasta d’ualaí pálasta agus is furasta leo leochaileacht nach dtagann lena n-iompar feidhmchlár aitheanta a chailleann.
  6. Ní thuigeann an scanóir feidhmeanna an fheidhmchláir. Níl a fhios ag na scanóirí féin cad is “banc Idirlín”, “íocaíocht”, “tuairim” ann. Ar a son, níl ach naisc agus paraiméadair ann, agus mar sin tá sraith ollmhór de leochaileachtaí féideartha loighic gnó fós nochta go hiomlán, ní bheidh siad buille faoi thuairim a dhéanamh díscríobh dúbailte, peep sonraí daoine eile trí ID nó foirceannadh an t-iarmhéid trí shlánú.
  7. Míthuiscint ar shéimeantaic leathanaigh ag an scanóir. Ní féidir le scanóirí Ceisteanna Coitianta a léamh, ní féidir leo captchas a aithint, ní dhéanfaidh siad buille faoi thuairim astu féin conas clárú agus ansin ath-logáil isteach, nach féidir leat “logáil amach” a chliceáil, agus conas iarratais a shíniú agus luachanna paraiméadar á athrú. Mar thoradh air sin, d’fhéadfadh go bhfanfadh an chuid is mó den iarratas gan scanadh ar chor ar bith.

Saincheisteanna Scanadh an Chóid Fhoinsigh

  1. Rudaí dearfacha bréagacha. Is tasc casta é anailís statach a mbíonn go leor comhréitigh i gceist leis. Go minic ní mór duit cruinneas a íobairt, agus fiú scanóirí fiontair daor a thabhairt amach líon mór de dearfacha bréagach.
  2. Deacracht forfheidhmithe. Chun cruinneas agus iomláine na hanailíse statacha a mhéadú, is gá na rialacha scanadh a bheachtú, agus d'fhéadfadh go mbeadh ró-am-íditheach ag scríobh na rialacha seo. Uaireanta tá sé níos éasca na háiteanna go léir sa chód a aimsiú le fabht de shaghas éigin agus iad a shocrú ná riail a scríobh chun cásanna den sórt sin a bhrath.
  3. Easpa tacaíochta spleáchais. Braitheann tionscadail mhóra ar líon mór leabharlann agus creataí a leathnaíonn cumas na teanga ríomhchlárúcháin. Mura bhfuil aon fhaisnéis faoi áiteanna contúirteacha ("sinks") sna creataí seo i mbonn eolais an scanóir, beidh sé seo ina láthair dall, agus ní thuigfidh an scanóir fiú an cód.
  4. Fad scanadh. Is tasc deacair é leochaileachtaí a aimsiú i gcód i dtéarmaí halgartaim freisin. Mar sin, d’fhéadfadh go gcuirfí moill ar an bpróiseas agus go mbeadh acmhainní suntasacha ríomhaireachta ag teastáil.
  5. Clúdach íseal. In ainneoin ídiú acmhainní agus fad scanadh, ní mór d’fhorbróirí uirlisí SAST fós dul i muinín comhréitigh agus anailís a dhéanamh, ní deir gach duine gur féidir clár a bheith ann.
  6. In-atáirgtheacht a aimsiú. Is iontach an rud é díriú ar an líne shonrach agus ar an gcruach glaonna as a dtagann leochaileacht, ach i ndáiríre, is minic nach soláthraíonn an scanóir dóthain faisnéise chun leochaileacht sheachtrach a sheiceáil. Tar éis an tsaoil, is féidir leis an locht a bheith sa chód marbh freisin, rud nach féidir a bhaint amach don ionsaitheoir.

Saincheisteanna Scanadh Bonneagair

  1. Fardal neamhleor. I mbonneagair mhóra, go háirithe cinn atá scartha go geografach, is minic gurb é an rud is deacra a dhéanamh amach cé na hóstach le scanadh. I bhfocail eile, tá dlúthbhaint ag tasc an scanadh leis an tasc a bhaineann le bainistiú sócmhainní
  2. Drochthosaíocht. Is minic a tháirgeann scanóirí líonra go leor torthaí le lochtanna nach féidir a shaothrú go praiticiúil, ach go foirmiúil tá a leibhéal riosca ard. Faigheann an tomhaltóir tuairisc atá deacair a léirmhíniú, agus níl sé soiléir cad is gá a cheartú ar dtús
  3. Moltaí bochta. Is minic nach mbíonn sa bhunachar eolais scanóir ach faisnéis an-ghinearálta faoin leochaileacht agus conas é a réiteach, mar sin beidh ar riarthóirí iad féin a lámh le Google. Tá an scéal beagán níos fearr le scanóirí bosca bán, ar féidir leo ordú sonrach a eisiúint lena shocrú
  4. Lámhdhéanta. Is féidir go leor nóid a bheith ag bonneagair, rud a chiallaíonn go bhféadfadh go leor lochtanna a bheith ann, agus is gá tuarascálacha orthu a pharsáil agus a anailísiú de láimh ag gach atriall.
  5. Drochchlúdach. Braitheann cáilíocht scanadh bonneagair go díreach ar mhéid an bhoinn eolais faoi leochaileachtaí agus leaganacha bogearraí. Cén áit, casadh amach, níl bonn eolais cuimsitheach ag fiú na ceannairí margaidh, agus tá go leor faisnéise sna bunachair shonraí réitigh saor in aisce nach bhfuil ag na ceannairí
  6. Fadhbanna le paiste. Is minic a dhéantar leochaileachtaí bonneagair a phasáil ná pacáiste a nuashonrú nó comhad cumraíochta a athrú. Is í an fhadhb mhór anseo ná gur féidir leis an gcóras, go háirithe an córas oidhreachta, iad féin a iompar gan choinne mar thoradh ar nuashonrú. Go deimhin, beidh ort tástálacha comhtháthaithe a dhéanamh ar bhonneagar beo i dtáirgeadh.

Cur chuige

Conas is féidir sin a bheith?
Déanfaidh mé níos mó sonraí faoi shamplaí agus conas déileáil le go leor de na fadhbanna seo sna codanna seo a leanas, ach faoi láthair léireoidh mé na príomhréimsí inar féidir leat oibriú:

  1. Comhiomlánú uirlisí scanadh éagsúla. Le húsáid cheart scanóirí iolracha, is féidir méadú suntasach ar an mbonn eolais agus ar chaighdeán an bhrath a bhaint amach. Is féidir leat níos mó leochaileachtaí a fháil ná suim na scanóirí go léir a reáchtáiltear ina n-aonar, agus is féidir leat leibhéal an riosca a mheasúnú níos cruinne agus níos mó moltaí a dhéanamh
  2. comhtháthú SAST agus DAST. Is féidir clúdach DAST agus cruinneas SAST a mhéadú trí fhaisnéis a roinnt eatarthu. Ón bhfoinse is féidir leat faisnéis a fháil faoi bhealaí atá ann cheana féin, agus le cabhair ó DAST is féidir leat a sheiceáil an bhfuil an leochaileacht le feiceáil ón taobh amuigh
  3. Foghlaim Meaisín™. In 2015 I inis (agus níos mó) faoi staitisticí a úsáid le hintleacht hacker a thabhairt do scanóirí agus iad a bhrostú. Is cinnte gur bia é seo d’fhorbairt anailíse slándála uathoibrithe sa todhchaí.
  4. IAST comhtháthú le autotests agus OpenAPI. Laistigh den phíblíne CI/CD, is féidir próiseas scanadh a chruthú bunaithe ar uirlisí a oibríonn mar sheachvótálaithe HTTP agus trialacha feidhmiúla a oibríonn thar HTTP. Tabharfaidh tástálacha agus conarthaí OpenAPI/Swagger an fhaisnéis atá in easnamh ar shreabhadh sonraí don scanóir, beidh sé indéanta an feidhmchlár a scanadh i stáit éagsúla
  5. Cumraíocht cheart. I gcás gach feidhmchláir agus bonneagair, ní mór duit próifíl scanadh oiriúnach a chruthú, ag cur san áireamh líon agus nádúr na gcomhéadan, na teicneolaíochtaí a úsáidtear
  6. Saincheapadh scanóir. Go minic, ní féidir feidhmchlár a scanadh gan an scanóir a mhodhnú. Sampla is ea geata íocaíochta ina gcaithfear gach iarratas a shíniú. Gan nascóir a scríobh chuig an bprótacal geata, beidh scanóirí ag piocadh gan aigne ar iarratais a bhfuil síniú mícheart orthu. Is gá freisin scanóirí speisialaithe a scríobh le haghaidh cineál sonrach lochtanna, mar shampla Tagairt Neamhspleách Díreach Cuspóir
  7. Bainistíocht Riosca. Le húsáid scanóirí éagsúla agus comhtháthú le córais sheachtracha ar nós Bainistíocht Sócmhainní agus Bainistíocht Bagairtí beifear in ann paraiméadair iolracha a úsáid chun an leibhéal riosca a mheas, ionas gur féidir leis an mbainistíocht pictiúr leordhóthanach a fháil ar staid slándála reatha na forbartha nó an bhonneagair.

Bígí linn agus cuirimis isteach ar an scanadh leochaileachta!

Foinse: will.com

Add a comment