ProHoster > Schwachstelle Scannen a sécher Entwécklung. Deel 1

Schwachstelle Scannen a sécher Entwécklung. Deel 1

Schwachstelle Scannen a sécher Entwécklung. Deel 1

Als Deel vun hire berufflechen Aktivitéiten mussen Entwéckler, Pentester a Sécherheetsprofesser mat Prozesser wéi Vulnerability Management (VM), (Secure) SDLC këmmeren.
Ënnert dëse Sätze gi verschidde Sets vu Praktiken an Tools benotzt déi matenee verbonne sinn, obwuel hir Benotzer ënnerschiddlech sinn.

Den technologesche Fortschrëtt huet nach net de Punkt erreecht wou een Tool eng Persoun ersetzt fir d'Sécherheet vun der Infrastruktur a Software ze analyséieren.
Et ass interessant ze verstoen firwat dat esou ass, a wéi eng Problemer ee muss konfrontéieren.

D'Prozesser

De Vulnerability Management Prozess ass entwéckelt fir kontinuéierlech Infrastruktur Sécherheet a Patch Management ze iwwerwaachen.
De Secure SDLC Prozess ("Séchert Entwécklungszyklus") ass entwéckelt fir d'Applikatiounssécherheet während der Entwécklung an der Operatioun z'erhalen.

En ähnlechen Deel vun dëse Prozesser ass de Vulnerability Assessment Prozess - Schwachstelle Bewäertung, Schwachstelle Scannen.
Den Haaptunterschied tëscht Scannen bannent VM an SDLC ass datt am éischte Fall d'Zil ass bekannte Schwachstelle an Drëtt Partei Software oder an enger Konfiguratioun ze fannen. Zum Beispill eng al Versioun vu Windows oder d'Standard Gemeinschaftsstring fir SNMP.
Am zweete Fall ass d'Ziel fir Schwächen net nëmmen an Drëtt Partei Komponenten (Ofhängegkeeten) z'entdecken, awer virun allem am Code vum neie Produkt.

Dëst féiert zu Differenzen an Tools an Approche. Menger Meenung no ass d'Aufgab fir nei Schwächen an enger Applikatioun ze fannen vill méi interessant, well et net op Versioun Fangerofdrock, Bannersammlung, Passwuert Brute Force, etc.
Héichqualitativ automatiséiert Scannen vun Applikatiounsschwieregkeeten erfuerdert Algorithmen déi d'Semantik vun der Applikatioun, hiren Zweck a spezifesche Gefore berücksichtegen.

D'Infrastruktur Scanner kann oft mat engem Timer ersat ginn, wéi de avleonov. De Punkt ass datt reng statistesch, Dir kënnt Är Infrastruktur vulnerabel betruechten wann Dir se net fir, sot, e Mount aktualiséiert hutt.

Tools

Scannen, souwéi Sécherheetsanalyse, kënnen als schwaarz Këscht oder wäiss Këscht ausgefouert ginn.

Black Box

Mat Blackbox Scannen muss de Tool fäeg sinn mam Service duerch déiselwecht Interfaces ze schaffen, duerch déi d'Benotzer domat schaffen.

Infrastrukturscanner (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, etc.) sichen no oppene Netzwierkporten, sammelen "Banner", identifizéieren installéiert Software Versiounen, a sichen hir Wëssensbasis fir Informatiounen iwwer Schwachstelle an dëse Versiounen. Si probéieren och Konfiguratiounsfehler z'entdecken wéi Standard Passwierder oder ëffentlechen Zougang zu Daten, schwaach SSL Chifferen, etc.

Webapplikatiounsscanner (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, etc.) kënnen och bekannt Komponenten an hir Versiounen erkennen (zB CMS, Kaderen, JS Bibliothéiken). D'Haaptkraaft Schrëtt si krabbelen a fuzzelen.
Wärend dem Crawling sammelt de Crawler Informatioun iwwer existent Applikatiounsinterfaces an HTTP Parameteren. Wärend Fuzzing ginn all detektéiert Parameter mat mutéierten oder generéierten Donnéeën ersat fir e Feeler ze provozéieren an eng Schwachstelle z'entdecken.

Esou Applikatiounsscanner gehéieren zu den DAST an IAST Klassen - respektiv Dynamic an Interactive Application Security Testing.

Wäissbuch

Mat Whitebox Scannen ginn et méi Differenzen.
Als Deel vum VM-Prozess ginn Scanner (Vulners, Incsecurity Couch, Vuls, Tenable Nessus, etc.) dacks Zougang zu Systemer kritt andeems en authentifizéierte Scan ausféiert. Sou kann de Scanner installéiert Pak Versiounen an Configuratioun Parameteren direkt vum System eroflueden, ouni roden hinnen aus Reseau Service Banneren.
De Scan ass méi genau a komplett.

Wa mir iwwer Whitebox Scannen schwätzen (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, etc.) vun Uwendungen, da schwätze mir normalerweis iwwer statesch Code Analyse an d'Benotzung vun den entspriechende SAST Klass Tools - Static Application Security Testing.

Problem

Et gi vill Probleemer mam Scannen! Ech muss mat meescht vun hinnen perséinlech als Deel vun der Dispositioun vun engem Service fir Gebai Scannen a sécher Entwécklung Prozesser ze këmmeren, wéi och wann Dir Sécherheet Analyse Aarbecht.

Ech wäert 3 Haaptgrënn vu Probleemer erauszéien, déi och duerch Gespréicher mat Ingenieuren a Chefen vun Informatiounssécherheetsservicer a verschiddene Firmen bestätegt ginn.

Web Applikatioun Scannen Problemer

  1. Schwieregkeet vun der Ëmsetzung. Scanner mussen ofgesat, konfiguréiert, fir all Applikatioun personaliséiert ginn, en Testëmfeld fir Scans zougewisen an am CI / CD Prozess ëmgesat ginn fir effektiv ze sinn. Soss wäert et eng nëtzlos formell Prozedur sinn, déi nëmme falsch Positiven erausginn
  2. Scan Dauer. Scanner, och am Joer 2019, maachen eng schlecht Aarbecht fir Interfaces ze deduplizéieren a kënnen dausend Säite mat 10 Parameteren all Deeg fir Deeg scannen, wann se anescht betruecht, obwuel dee selwechte Code fir si verantwortlech ass. Zur selwechter Zäit muss d'Entscheedung fir d'Produktioun am Entwécklungszyklus z'installéieren séier gemaach ginn.
  3. Schlecht Empfehlungen. Scanner ginn zimlech allgemeng Empfehlungen, an et ass net ëmmer méiglech fir en Entwéckler séier vun hinnen ze verstoen wéi de Niveau vum Risiko reduzéiert gëtt, an am wichtegsten, ob et elo muss gemaach ginn oder et ass nach net grujeleg
  4. Destruktiven Impakt op d'Applikatioun. Scanner kënnen einfach en DoS Attack op eng Applikatioun ausféieren, a si kënnen och eng grouss Unzuel vun Entitéiten erstellen oder existéierend änneren (zum Beispill zéngdausende Kommentaren op engem Blog erstellen), also sollt Dir net ouni Gedanken e Scan an engem Produit.
  5. Schlecht Qualitéit vu Schwachheetserkennung. Scanner benotzen typesch eng fix Array vu Notzlaascht a kënne ganz einfach eng Schwachstelle verpassen, déi net an hiert bekannt Applikatiounsverhalen passt.
  6. De Scanner versteet d'Funktioune vun der Applikatioun net. Scanner selwer wëssen net wat eng "Internetbank", "Bezuelung", "Kommentar" ass. Fir si ginn et nëmme Linken a Parameteren, sou datt eng rieseg Schicht vu méigleche Geschäftslogik Schwachstelle bleift komplett opgedeckt, si wäerten net roden eng duebel Schreifweis ze maachen, aner Leit hir Donnéeën duerch ID ze pechen oder d'Gläichgewiicht duerch Ronnen opzebauen
  7. Mëssverständnis vun der Säit Semantik vum Scanner. Scanner kënnen d'FAQ net liesen, kënnen net Captchas erkennen, se wäerten net selwer roden wéi se sech registréieren an dann erëm aloggen, datt Dir net op "Logout" klickt, a wéi Dir Ufroen ënnerschreift wann Dir Parameterwäerter ännert. Als Resultat kann déi meescht vun der Applikatioun iwwerhaapt net gescannt bleiwen.

Quelltext Scannen Problemer

  1. Falsch Positiver. Statesch Analyse ass eng komplex Aufgab déi vill Kompromëss involvéiert. Dacks musst Dir d'Genauegkeet opferen, a souguer deier Enterprise Scanner ginn eng riesech Unzuel vu falsche Positiver eraus.
  2. Schwieregkeet vun der Ëmsetzung. Fir d'Genauegkeet an d'Vollständegkeet vun der statescher Analyse z'erhéijen, ass et néideg d'Scannenreegelen ze verfeineren, an dës Regelen ze schreiwen kënnen ze laangwiereg sinn. Heiansdo ass et méi einfach all d'Plazen am Code mat enger Aart vu Feeler ze fannen an se ze fixéieren wéi eng Regel ze schreiwen fir esou Fäll z'entdecken.
  3. Mangel un Ofhängegkeet Ënnerstëtzung. Grouss Projeten hänke vun enger grousser Zuel vu Bibliothéiken a Kaderen of, déi d'Fäegkeete vun der Programmiersprache verlängeren. Wann et keng Informatioun iwwer geféierlech Plazen ("Sinks") an dëse Kaderen an der Wëssensbasis vum Scanner gëtt, gëtt dëst e blann Fleck, an de Scanner wäert einfach de Code net verstoen.
  4. Scan Dauer. Schwächen am Code ze fannen ass eng schwiereg Aufgab och a punkto Algorithmen. Dofir kann de Prozess gutt verspéit ginn a bedeitend Rechenressourcen erfuerderen.
  5. Niddereg Ofdeckung. Trotz Ressourceverbrauch a Scan Dauer, mussen SAST Tools Entwéckler nach ëmmer op Kompromësser zréckgräifen an net all Staaten analyséieren an deem e Programm ka sinn.
  6. Reproducibilitéit ze fannen. Op déi spezifesch Linn ze weisen an de Ruffstack deen zu enger Schwachstelle féiert ass super, awer tatsächlech liwwert de Scanner dacks net genuch Informatioun fir no enger externer Schwachstelle ze kontrolléieren. No allem kann de Mängel och am doudege Code sinn, wat fir den Ugräifer net erreechbar ass.

Infrastruktur Scannen Problemer

  1. Net genuch Inventar. A groussen Infrastrukturen, besonnesch geographesch getrennten, ass et dacks am schwéiersten erauszefannen, wéi eng Hosten ze scannen. An anere Wierder, d'Aufgab vum Scannen ass enk mat der Aufgab vum Asset Management verbonnen
  2. Schlecht Prioritéit. Netzwierkscanner produzéieren dacks vill Resultater mat Mängel déi an der Praxis net exploitéierbar sinn, awer formell ass hiren Risiko héich. De Konsument kritt e Rapport, dee schwéier ze interpretéieren ass, an et ass net kloer, wat fir d'éischt korrigéiert muss ginn
  3. Schlecht Empfehlungen. D'Scanner Wëssensbasis enthält dacks nëmme ganz allgemeng Informatioun iwwer d'Schwachheet a wéi se se fixéieren, sou datt d'Administrateure sech mat Google bewaffne mussen. D'Situatioun ass liicht besser mat Whitebox Scanner, déi e spezifesche Kommando ausginn fir ze fixéieren
  4. Handgemaach. Infrastrukture kënne vill Noden hunn, dat heescht datt et potenziell vill Mängel sinn, Berichter iwwer déi musse bei all Iteratioun manuell analyséiert ginn
  5. Schlecht Ofdeckung. D'Qualitéit vum Infrastrukturscannen hänkt direkt vun der Gréisst vun der Wëssensbasis iwwer Schwachstelle a Softwareversioune of. Woubäi, et huet sech erausgestallt, souguer d'Maartleader hunn net eng ëmfaassend Wëssensbasis, an et gëtt vill Informatioun an den Datenbanken vu gratis Léisungen, déi d'Leader net hunn
  6. Problemer mat Patching. Am meeschten, patching Infrastruktur Schwachstelle ass e Package ze aktualiséieren oder eng Konfiguratiounsdatei z'änneren. De grousse Problem hei ass datt de System, besonnesch de Legacy, onberechenbar kann behuelen als Resultat vun engem Update. Tatsächlech musst Dir Integratiounstester op enger Live Infrastruktur an der Produktioun maachen.

Approchen

Wéi soll et sinn?
Ech ginn méi detailléiert iwwer Beispiller a wéi Dir vill vun dëse Probleemer an de folgenden Deeler këmmert, awer fir de Moment wäert ech d'Haaptgebidder uginn an deenen Dir schaffe kënnt:

  1. Aggregatioun vu verschiddene Scanner Tools. Mat der korrekter Notzung vu Multiple Scanner kann eng bedeitend Erhéijung vun der Wëssensbasis an der Qualitéit vun der Detektioun erreecht ginn. Dir kënnt nach méi Schwachstelle fannen wéi d'Zomm vun alle Scanner individuell lafen, während Dir den Niveau vum Risiko méi präzis beurteelt a méi Empfehlungen maacht
  2. SAST an DAST Integratioun. Et ass méiglech DAST Ofdeckung an SAST Genauegkeet ze erhéijen andeems Dir Informatioun tëscht hinnen deelt. Vun der Quell kënnt Dir Informatiounen iwwer existéierend Strecken kréien, a mat der Hëllef vun DAST kënnt Dir kontrolléieren ob d'Vulnerabilitéit vu baussen ze gesinn ass
  3. Machine Learning™. Am Joer 2015 hunn ech erzielt (an méi) iwwer d'Benotzung vun Statistiken fir Scanner d'Intuition vun engem Hacker ze ginn a se ze beschleunegen. Dëst ass definitiv Liewensmëttel fir d'Entwécklung vun automatiséierter Sécherheetsanalyse an Zukunft.
  4. IAST Integratioun mat Autotester an OpenAPI. Bannent der CI/CD-Pipeline ass et méiglech e Scannprozess ze kreéieren op Basis vun Tools déi als HTTP-Proxyen a funktionell Tester funktionnéieren déi iwwer HTTP funktionnéieren. OpenAPI / Swagger Tester a Kontrakter ginn dem Scanner déi fehlend Informatioun iwwer Datefloss, maachen et méiglech d'Applikatioun a verschiddene Staaten ze scannen
  5. Korrekt Konfiguratioun. Fir all Applikatioun an Infrastruktur musst Dir e passende Scannprofil erstellen, andeems Dir d'Zuel an d'Natur vun den Interfaces berücksichtegt, d'Technologien benotzt
  6. Scanner Personnalisatioun. Dacks kann eng Applikatioun net gescannt ginn ouni de Scanner z'änneren. E Beispill ass e Bezuelungspaart wou all Ufro muss ënnerschriwwe ginn. Ouni e Connector zum Gateway Protokoll ze schreiwen, wäerten d'Scanneren sënnlos op Ufroe mat enger falscher Ënnerschrëft pecken. Et ass och noutwendeg fir spezialiséiert Scanner fir eng spezifesch Zort vu Mängel ze schreiwen, wéi z Onsécher Direct Objet Referenz
  7. Risiko Gestioun. D'Benotzung vu verschiddene Scanner an Integratioun mat externe Systemer wéi Asset Management an Threat Management erlaabt verschidde Parameteren ze benotzen fir den Niveau vum Risiko ze bewäerten, sou datt d'Gestioun en adäquat Bild vum aktuellen Sécherheetszoustand vun der Entwécklung oder Infrastruktur kritt.

Bleift ofgeschloss a loosst eis d'Schwachheetsscannen stéieren!

Source: will.com

Setzt e Commentaire