ProHoster > Analiz vilnerabilite ak devlopman an sekirite. Pati 1

Analiz vilnerabilite ak devlopman an sekirite. Pati 1

Analiz vilnerabilite ak devlopman an sekirite. Pati 1

Kòm yon pati nan aktivite pwofesyonèl yo, devlopè, pentesters, ak pwofesyonèl sekirite yo dwe fè fas ak pwosesis tankou Jesyon Vulnerabilite (VM), (Secure) SDLC.
Anba fraz sa yo gen plizyè seri pratik ak zouti yo itilize ki mare, byenke itilizatè yo diferan.

Pwogrè teknolojik poko rive nan pwen kote yon zouti ka ranplase yon moun pou analize sekirite enfrastrikti ak lojisyèl.
Li enteresan pou konprann poukisa sa a se konsa, ak ki pwoblèm yon moun gen pou fè fas a.

Pwosesis yo

Pwosesis Jesyon Vilnerabilite a fèt pou kontwole kontinyèlman sekirite enfrastrikti ak jesyon patch.
Pwosesis Secure SDLC ("sik devlopman sekirite") fèt pou kenbe sekirite aplikasyon an pandan devlopman ak operasyon.

Yon pati ki sanble nan pwosesis sa yo se pwosesis Evalyasyon vilnerabilite - evalyasyon vilnerabilite, eskanè vilnerabilite.
Diferans prensipal ant optik nan VM ak SDLC se ke nan premye ka a, objektif la se jwenn frajilite li te ye nan lojisyèl twazyèm pati oswa nan yon konfigirasyon. Pou egzanp, yon vèsyon demode nan Windows oswa yon seri kominote default pou SNMP.
Nan dezyèm ka a, objektif la se detekte frajilite pa sèlman nan eleman twazyèm pati (depandans), men sitou nan kòd la nan nouvo pwodwi a.

Sa a bay monte diferans nan zouti ak apwòch. Dapre mwen, travay la nan jwenn nouvo frajilite nan yon aplikasyon se pi plis enteresan, paske li pa desann nan vèsyon anprent dwèt, koleksyon banyè, modpas fòs brital, elatriye.
Gwo kalite otomatik eskanè nan frajilite aplikasyon yo mande pou algoritm ki pran an kont semantik aplikasyon an, objektif li yo, ak menas espesifik.

Scanner enfrastrikti a ka souvan ranplase ak yon revèy, kòm la avleonov. Pwen an se ke piman estatistik, ou ka konsidere enfrastrikti ou vilnerab si ou pa te mete ajou li pou, di, yon mwa.

Zouti

Scanning, osi byen ke analiz sekirite, ka fèt kòm yon bwat nwa oswa yon bwat blan.

Black Box

Avèk optik blackbox, zouti a dwe kapab travay avèk sèvis la atravè menm koòdone itilizatè yo travay avèk li.

Scanners enfrastrikti (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, elatriye) chèche pò rezo louvri, kolekte "banyèr", idantifye vèsyon lojisyèl enstale, epi chèche enfòmasyon sou vilnerabilite yo nan vèsyon sa yo. Yo eseye tou detekte erè konfigirasyon tankou modpas default oswa aksè piblik nan done, chifreman SSL fèb, elatriye.

Scanners aplikasyon entènèt (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, elatriye) kapab tou detekte konpozan li te ye ak vèsyon yo (egzanp CMS, kad, bibliyotèk JS). Etap prensipal yo rale yo rale ak fuzzing.
Pandan rale, krole a kolekte enfòmasyon sou koòdone aplikasyon ki deja egziste ak paramèt HTTP. Pandan fuzzing, tout paramèt detekte yo ranplase ak done mitasyon oswa pwodwi yo nan lòd yo pwovoke yon erè ak detekte yon vilnerabilite.

Eskanè aplikasyon sa yo fè pati klas DAST ak IAST - respektivman Tès sekirite aplikasyon dinamik ak entèaktif.

Bwat blan

Avèk optik whitebox, gen plis diferans.
Kòm yon pati nan pwosesis la VM, eskanè (Vulners, Incsecurity Couch, Vuls, Tenable Nessus, elatriye) yo souvan bay aksè nan sistèm lè yo fè yon eskanè otantifye. Kidonk, eskanè a ka telechaje vèsyon pake enstale ak paramèt konfigirasyon dirèkteman nan sistèm nan, san yo pa devine yo nan banyè sèvis rezo.
Eskanè a pi egzak ak konplè.

Si nou pale de eskanè whitebox (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, elatriye) nan aplikasyon yo, Lè sa a, anjeneral nou ap pale de analiz kòd estatik ak itilizasyon zouti klas SAST ki koresponn yo - Tès sekirite aplikasyon estatik.

Pwoblèm

Gen anpil pwoblèm ak optik! Mwen dwe fè fas ak pi fò nan yo pèsonèlman kòm yon pati nan dispozisyon an nan yon sèvis pou bilding eskanè ak pwosesis devlopman an sekirite, osi byen ke lè w ap fè travay analiz sekirite.

Mwen pral chwazi 3 gwoup prensipal pwoblèm, ki konfime tou pa konvèsasyon ak enjenyè ak chèf sèvis sekirite enfòmasyon nan divès konpayi.

Pwoblèm analiz aplikasyon entènèt

  1. Difikilte pou aplikasyon an. Scanners yo bezwen deplwaye, konfigirasyon, Customized pou chak aplikasyon, atribye ba yon anviwònman tès pou analiz ak aplike nan pwosesis CI / CD yo nan lòd yo ka efikas. Sinon, li pral yon pwosedi fòmèl initil, bay sèlman fo pozitif
  2. Scan dire. Scanners, menm nan 2019, fè yon pòv travay nan deduplication interfaces epi yo ka eskane mil paj ak 10 paramèt chak pou jou, konsidere yo diferan, byenke menm kòd la responsab pou yo. An menm tan an, desizyon an pou deplwaye nan pwodiksyon nan sik devlopman yo dwe pran byen vit.
  3. Rekòmandasyon pòv yo. Scanners bay rekòmandasyon jistis jeneral, epi li pa toujou posib pou yon pwomotè byen vit konprann nan men yo ki jan diminye nivo risk la, epi pi enpòtan, si li bezwen fè kounye a, oswa li poko fè pè.
  4. Enpak destriktif sou aplikasyon an. Scanners ka fasilman fè yon atak DoS sou yon aplikasyon, epi yo ka kreye tou yon gwo kantite antite oswa chanje sa ki deja egziste (pa egzanp, kreye dè dizèn de milye kòmantè sou yon blog), kidonk, ou pa ta dwe fè yon eskanè san reflechi nan yon aplikasyon. pwodwi.
  5. Move kalite deteksyon vilnerabilite. Anjeneral, eskanè yo itilize yon seri chaj fiks epi yo ka fasilman rate yon vilnerabilite ki pa anfòm nan konpòtman aplikasyon yo konnen yo.
  6. Scanner a pa konprann fonksyon aplikasyon an. Scanners tèt yo pa konnen ki sa yon "bank entènèt", "peman", "kòmantè" se. Pou yo, gen sèlman lyen ak paramèt, kidonk yon gwo kouch frajilite posib lojik biznis rete konplètman dekouvri, yo pa pral devine fè yon doub ekri-off, fè jefò done lòt moun pa ID oswa van moute balans lan nan awondi.
  7. Enkonpreyansyon nan semantik paj pa eskanè a. Scanners pa ka li FAQ, pa ka rekonèt captchas, yo p'ap devine poukont yo kijan pou yo anrejistre ak Lè sa a, re-konekte, ke ou pa ka klike sou "logout", ak ki jan yo siyen demann lè chanje valè paramèt. Kòm yon rezilta, pifò nan aplikasyon an ka rete unscanned ditou.

Pwoblèm pou eskane Kòd Sous

  1. Fo pozitif. Analiz estatik se yon travay konplèks ki enplike anpil konpwomi. Souvan ou oblije sakrifye presizyon, e menm chè scanner antrepriz bay yon gwo kantite fo pozitif.
  2. Difikilte pou aplikasyon an. Pou ogmante presizyon ak konplè analiz estatik, li nesesè rafine règ yo optik, epi ekri règ sa yo ka twò pran tan. Pafwa li pi fasil pou jwenn tout kote nan kòd la ak kèk kalite ensèk epi ranje yo pase ekri yon règ pou detekte ka sa yo.
  3. Mank sipò pou depandans. Gwo pwojè depann de yon gwo kantite bibliyotèk ak kad ki pwolonje kapasite langaj pwogramasyon an. Si pa gen okenn enfòmasyon sou kote danjere ("lavabo") nan kad sa yo nan baz konesans nan eskanè a, sa a pral vin yon plas avèg, ak eskanè a tou senpleman pa pral menm konprann kòd la.
  4. Scan dire. Jwenn frajilite nan kòd se yon travay difisil an tèm de algoritm tou. Se poutèt sa, pwosesis la ka byen retade epi mande pou resous enfòmatik enpòtan.
  5. Kouvèti ki ba. Malgre konsomasyon resous ak dire eskanè yo, devlopè zouti SAST yo toujou oblije fè konpwomi epi analize pa tout eta yon pwogram ka ye.
  6. Jwenn repwodibilite. Montre liy espesifik ak pil apèl ki mennen nan yon vilnerabilite se gwo, men an reyalite, souvan scanner a pa bay ase enfòmasyon yo tcheke pou yon vilnerabilite ekstèn. Apre yo tout, defo a kapab tou nan kòd la mouri, ki se inaccessible pou atakè a.

Pwoblèm analiz enfrastrikti

  1. Envantè ensifizan. Nan gwo enfrastrikti, espesyalman jeyografik separe, se souvan bagay ki pi difisil pou konnen ki hôtes pou eskane. Nan lòt mo, travay la nan optik se byen ki gen rapò ak travay la nan jesyon byen.
  2. Move priyorite. Rezo eskanè souvan pwodui anpil rezilta ak defo ki pa eksplwate nan pratik, men fòmèlman nivo risk yo wo. Konsomatè a resevwa yon rapò ki difisil pou entèprete, epi li pa klè sa ki bezwen korije anvan
  3. Rekòmandasyon pòv yo. Baz konesans eskanè a souvan gen sèlman enfòmasyon trè jeneral sou vilnerabilite a ak fason yo ka ranje li, kidonk administratè yo pral oblije bra tèt yo ak Google. Sitiyasyon an se yon ti kras pi bon ak eskanè whitebox, ki ka bay yon lòd espesifik yo ranje
  4. Handmade. Enfrastrikti ka gen anpil nœuds, ki vle di ke gen potansyèlman anpil defo, rapò sou ki gen yo dwe analize ak analize manyèlman nan chak iterasyon.
  5. Move pwoteksyon. Bon jan kalite a nan optik enfrastrikti dirèkteman depann sou gwosè a nan baz konesans sou frajilite ak vèsyon lojisyèl. kote, vire soti, menm lidè mache yo pa gen yon baz konesans konplè, e gen anpil enfòmasyon nan baz done solisyon gratis ke lidè yo pa genyen.
  6. Pwoblèm ak patching. Pi souvan, patch frajilite enfrastrikti se mete ajou yon pake oswa chanje yon dosye konfigirasyon. Gwo pwoblèm isit la se ke sistèm nan, espesyalman yon sèl eritaj, ka konpòte enprevizib kòm yon rezilta nan yon aktyalizasyon. An reyalite, w ap oblije fè tès entegrasyon sou yon enfrastrikti vivan nan pwodiksyon an.

Apwòch

Ki jan yo dwe?
Mwen pral antre nan plis detay sou egzanp ak fason yo fè fas ak anpil nan pwoblèm sa yo nan pati sa yo, men pou kounye a mwen pral endike domèn prensipal yo nan kote ou ka travay:

  1. Agregasyon divès kalite zouti optik. Avèk itilizasyon kòrèk la nan eskanè miltip, yon ogmantasyon siyifikatif nan baz la konesans ak bon jan kalite a nan deteksyon an ka reyalize. Ou ka jwenn menm plis frajilite pase sòm tout eskanè kouri endividyèlman, pandan w ap ka evalye nivo risk ak plis presizyon epi fè plis rekòmandasyon.
  2. Entegrasyon SAST ak DAST. Li posib pou ogmante kouvèti DAST ak presizyon SAST lè yo pataje enfòmasyon yo. Soti nan sous la ou ka jwenn enfòmasyon sou wout ki egziste deja, epi avèk èd nan DAST ou ka tcheke si vilnerabilite a vizib soti nan deyò a.
  3. Machine Learning™. An 2015 mwen te di (ak plis) sou itilizasyon estatistik pou bay eskanè entwisyon yon pirate epi akselere yo. Sa a se definitivman manje pou devlopman nan analiz sekirite otomatik nan tan kap vini an.
  4. Entegrasyon IAST ak Autotests ak OpenAPI. Nan CI/CD-pipeline, li posib pou kreye yon pwosesis eskanè ki baze sou zouti ki travay kòm HTTP proxy ak tès fonksyonèl ki travay sou HTTP. Tès OpenAPI/Swagger ak kontra yo pral bay eskanè a enfòmasyon ki manke sou koule done yo, fè li posib pou eskane aplikasyon an nan plizyè eta.
  5. Konfigirasyon kòrèk. Pou chak aplikasyon ak enfrastrikti, ou bezwen kreye yon pwofil optik apwopriye, pran an kont kantite ak nati interfaces, teknoloji yo itilize.
  6. Personnalisation eskanè. Souvan, yon aplikasyon pa ka analize san yo pa modifye eskanè a. Yon egzanp se yon pòtay peman kote chak demann dwe siyen. San yo pa ekri yon konektè nan pwotokòl pòtay la, eskanè yo pral pikote san lide nan demann ak yon siyati kòrèk. Li nesesè tou pou ekri eskanè espesyalize pou yon kalite espesifik defo, tankou Referans Objè Ensekirite Dirèk
  7. Jesyon risk. Itilizasyon divès kalite eskanè ak entegrasyon ak sistèm ekstèn tankou Jesyon Byen ak Jesyon Menas pral pèmèt plizyè paramèt yo dwe itilize pou evalye nivo risk, pou jesyon ka jwenn yon foto adekwa sou eta sekirite aktyèl la nan devlopman oswa enfrastrikti.

Rete branche epi ann deranje analiz vilnerabilite a!

Sous: www.habr.com

Add nouvo kòmantè