ProHoster > Skennjar tal-vulnerabbiltà u żvilupp sigur. Parti 1

Skennjar tal-vulnerabbiltà u żvilupp sigur. Parti 1

Skennjar tal-vulnerabbiltà u żvilupp sigur. Parti 1

Bħala parti mill-attivitajiet professjonali tagħhom, l-iżviluppaturi, pentesters, u professjonisti tas-sigurtà għandhom jittrattaw proċessi bħall-Ġestjoni tal-Vulnerabilità (VM), SDLC (Sikur).
Taħt dawn il-frażijiet hemm diversi settijiet ta’ prattiki u għodod użati li huma marbuta ma’ xulxin, għalkemm l-utenti tagħhom huma differenti.

Il-progress teknoloġiku għadu ma laħaqx il-punt fejn għodda waħda tista' tissostitwixxi persuna għall-analiżi tas-sigurtà tal-infrastruttura u s-softwer.
Huwa interessanti li wieħed jifhem għaliex dan huwa hekk, u liema problemi wieħed irid jiffaċċja.

Proċessi

Il-proċess tal-Ġestjoni tal-Vulnerabbiltà huwa mfassal biex jimmonitorja kontinwament is-sigurtà tal-infrastruttura u l-ġestjoni tal-garża.
Il-proċess SDLC Sikur ("ċiklu ta 'żvilupp sikur") huwa ddisinjat biex iżomm is-sigurtà tal-applikazzjoni waqt l-iżvilupp u l-operat.

Parti simili minn dawn il-proċessi hija l-proċess tal-Valutazzjoni tal-Vulnerabbiltà - valutazzjoni tal-vulnerabbiltà, skanjar tal-vulnerabbiltà.
Id-differenza ewlenija bejn l-iskannjar fi ħdan VM u SDLC hija li fl-ewwel każ, l-għan huwa li jinstabu vulnerabbiltajiet magħrufa f'softwer ta 'partijiet terzi jew f'konfigurazzjoni. Pereżempju, verżjoni skaduta tal-Windows jew is-sekwenza tal-komunità default għal SNMP.
Fit-tieni każ, l-għan huwa li jinstabu vulnerabbiltajiet mhux biss f'komponenti ta 'partijiet terzi (dipendenzi), iżda primarjament fil-kodiċi tal-prodott il-ġdid.

Dan jagħti lok għal differenzi fl-għodod u l-approċċi. Fl-opinjoni tiegħi, il-kompitu li jinstabu vulnerabbiltajiet ġodda f'applikazzjoni huwa ħafna aktar interessanti, peress li ma jaqax għall-marki tas-swaba' tal-verżjoni, ġbir ta 'banners, forza bruta tal-password, eċċ.
Skennjar awtomatizzat ta 'kwalità għolja tal-vulnerabbiltajiet tal-applikazzjoni jeħtieġ algoritmi li jqisu s-semantika tal-applikazzjoni, l-iskop tagħha, u theddid speċifiku.

L-iskaner ta 'l-infrastruttura ta' spiss jista 'jiġi sostitwit bi tajmer, bħala l- avleonov. Il-punt huwa li purament statistikament, tista 'tikkunsidra l-infrastruttura tiegħek bħala vulnerabbli jekk ma tkunx aġġornatha għal, ngħidu aħna, xahar.

Għodod

L-iskannjar, kif ukoll l-analiżi tas-sigurtà, jistgħu jsiru bħala kaxxa sewda jew kaxxa bajda.

Black Box

Bl-iskannjar tal-blackbox, l-għodda trid tkun kapaċi taħdem mas-servizz permezz tal-istess interfaces li permezz tagħhom l-utenti jaħdmu miegħu.

L-iskaners tal-infrastruttura (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, eċċ.) ifittxu portijiet tan-netwerk miftuħa, jiġbru "banners", jidentifikaw verżjonijiet tas-softwer installati, u jfittxu l-bażi tal-għarfien tagħhom għal informazzjoni dwar vulnerabbiltajiet f'dawn il-verżjonijiet. Jippruvaw ukoll jiskopru żbalji ta’ konfigurazzjoni bħal passwords default jew aċċess pubbliku għad-dejta, ċifraturi SSL dgħajfa, eċċ.

Skaners tal-applikazzjoni tal-web (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, eċċ.) jistgħu wkoll jiskopru komponenti magħrufa u l-verżjonijiet tagħhom (eż. CMS, oqfsa, libreriji JS). Il-passi ewlenin tat-tkaxkir huma crawling u fuzzing.
Waqt it-tkaxkir, it-tkaxkir jiġbor informazzjoni dwar l-interfaces tal-applikazzjoni eżistenti u l-parametri HTTP. Waqt il-fuzzing, il-parametri kollha misjuba jiġu sostitwiti b'dejta mutata jew ġġenerata sabiex jipprovokaw żball u jinstabu vulnerabbiltà.

Tali skaners tal-applikazzjoni jappartjenu għall-klassijiet DAST u IAST - rispettivament Testjar tas-Sigurtà tal-Applikazzjoni Dinamika u Interattiva.

Kaxxa bajda

Bl-iskannjar tal-whitebox, hemm aktar differenzi.
Bħala parti mill-proċess tal-VM, skaners (Vulners, Incsecurity Couch, Vuls, Tenable Nessus, eċċ.) Ħafna drabi jingħataw aċċess għas-sistemi billi jwettqu skan awtentikat. Għalhekk, l-iskaner jista 'jniżżel il-verżjonijiet tal-pakketti installati u l-parametri tal-konfigurazzjoni direttament mis-sistema, mingħajr ma guessinghom minn banners tas-servizz tan-netwerk.
L-iskan huwa aktar preċiż u komplut.

Jekk nitkellmu dwar l-iskannjar tal-whitebox (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, eċċ.) ta 'applikazzjonijiet, allura ġeneralment qed nitkellmu dwar analiżi tal-kodiċi statiku u l-użu tal-għodod tal-klassi SAST korrispondenti - Ittestjar ta' Sigurtà tal-Applikazzjoni Statika.

Problemi

Hemm ħafna problemi bl-iskannjar! Ikolli nittratta l-biċċa l-kbira minnhom personalment bħala parti mill-provvista ta 'servizz għall-bini ta' skanjar u proċessi ta 'żvilupp siguri, kif ukoll meta nwettaq xogħol ta' analiżi tas-sigurtà.

Se nagħżel 3 gruppi ewlenin ta 'problemi, li huma kkonfermati wkoll minn konversazzjonijiet ma' inġiniera u kapijiet tas-servizzi tas-sigurtà tal-informazzjoni f'diversi kumpaniji.

Kwistjonijiet ta' Skanjar ta' Applikazzjoni tal-Web

  1. Diffikultà ta' implimentazzjoni. L-iskaners jeħtieġ li jiġu skjerati, konfigurati, personalizzati għal kull applikazzjoni, allokati ambjent tat-test għall-iskans u implimentati fil-proċess CI / CD sabiex ikunu effettivi. Inkella, tkun proċedura formali inutli, li toħroġ biss pożittivi foloz
  2. It-tul tal-iskannjar. L-iskaners, anke fl-2019, jagħmlu xogħol fqir biex jiddeduplikaw l-interfaces u jistgħu jiskennjaw elf paġna b'10 parametri kull wieħed għal jiem, meta jqisuhom differenti, għalkemm l-istess kodiċi huwa responsabbli għalihom. Fl-istess ħin, id-deċiżjoni li skjerament għall-produzzjoni fi ħdan iċ-ċiklu ta 'żvilupp għandha ssir malajr.
  3. Rakkomandazzjonijiet foqra. L-iskaners jagħtu rakkomandazzjonijiet pjuttost ġenerali, u mhux dejjem ikun possibbli li żviluppatur jifhem malajr mingħandhom kif inaqqas il-livell ta’ riskju, u l-aktar importanti, jekk jeħtieġx li jsir issa, jew għadux tal-biża’.
  4. Impatt distruttiv fuq l-applikazzjoni. L-iskanners jistgħu faċilment iwettqu attakk DoS fuq applikazzjoni, u jistgħu wkoll joħolqu numru kbir ta’ entitajiet jew ibiddlu dawk eżistenti (pereżempju, joħolqu għexieren ta’ eluf ta’ kummenti fuq blog), għalhekk m’għandekx tmexxi scan bla ħsieb f’ prodott.
  5. Kwalità fqira tas-sejbien tal-vulnerabbiltà. L-iskaners tipikament jużaw firxa fissa ta' payloads u jistgħu faċilment jitilfu vulnerabbiltà li ma tidħolx fl-imġiba magħrufa tagħhom fl-applikazzjoni.
  6. L-iskaner ma jifhimx il-funzjonijiet tal-applikazzjoni. L-iskaners infushom ma jafux x'inhu "bank tal-Internet", "ħlas", "kumment". Għalihom, hemm biss rabtiet u parametri, għalhekk saff kbir ta 'vulnerabbiltajiet loġika tan-negozju possibbli jibqa' kompletament mikxuf, mhux se raden li jagħmlu tħassir doppju, peep id-dejta ta 'nies oħrajn permezz tal-ID jew tistralċ il-bilanċ permezz ta' arrotondament
  7. Fehim ħażin tas-semantika tal-paġna mill-iskaner. L-iskaners ma jistgħux jaqraw il-FAQ, ma jistgħux jirrikonoxxu l-captchas, huma mhux se raden waħedhom kif jirreġistraw u mbagħad jerġgħu jidħlu, li ma tistax tikklikkja "logout", u kif tiffirma t-talbiet meta tbiddel il-valuri tal-parametri. Bħala riżultat, il-biċċa l-kbira tal-applikazzjoni tista' tibqa' mhux skanjata.

Kwistjonijiet ta' Skanjar tal-Kodiċi Sors

  1. Pożittivi foloz. L-analiżi statika hija kompitu kumpless li jinvolvi ħafna kompromessi. Ħafna drabi trid tissagrifika l-eżattezza, u anke skaners tal-intrapriżi għaljin jagħtu numru kbir ta 'pożittivi foloz.
  2. Diffikultà ta' implimentazzjoni. Biex tiżdied l-eżattezza u l-kompletezza tal-analiżi statika, huwa meħtieġ li jiġu rfinati r-regoli tal-iskannjar, u l-kitba ta 'dawn ir-regoli tista' tieħu wisq ħin. Xi drabi huwa aktar faċli li ssib il-postijiet kollha fil-kodiċi b'xi tip ta 'bug u tirranġahom milli tikteb regola biex tiskopri każijiet bħal dawn.
  3. Nuqqas ta' appoġġ għad-dipendenza. Proġetti kbar jiddependu fuq numru kbir ta 'libreriji u oqfsa li jestendu l-kapaċitajiet tal-lingwa ta' programmar. Jekk ma jkun hemm l-ebda informazzjoni dwar postijiet perikolużi ("sink") f'dawn l-oqfsa fil-bażi tal-għarfien tal-iskaner, dan isir blind spot, u l-iskaner sempliċement lanqas biss se jifhem il-kodiċi.
  4. It-tul tal-iskannjar. Is-sejba ta 'vulnerabbiltajiet fil-kodiċi hija biċċa xogħol diffiċli f'termini ta' algoritmi wkoll. Għalhekk, il-proċess jista 'jittardja u jeħtieġ riżorsi tal-kompjuter sinifikanti.
  5. Kopertura baxxa. Minkejja l-konsum tar-riżorsi u t-tul tal-iskannjar, l-iżviluppaturi tal-għodod SAST xorta jridu jirrikorru għal kompromessi u janalizzaw mhux l-istati kollha li programm jista 'jkun fihom.
  6. Tfittxija riproduċibbiltà. Li tipponta lejn il-linja speċifika u l-munzell tas-sejħiet li twassal għal vulnerabbiltà hija kbira, iżda fil-fatt, ħafna drabi l-iskaner ma jipprovdix biżżejjed informazzjoni biex jiċċekkja għal vulnerabbiltà esterna. Wara kollox, id-difett jista 'jkun ukoll fil-kodiċi mejjet, li ma jistax jintlaħaq għall-attakkant.

Kwistjonijiet ta' Skanjar ta' Infrastruttura

  1. Inventarju insuffiċjenti. F'infrastrutturi kbar, speċjalment dawk separati ġeografikament, ħafna drabi hija l-aktar ħaġa diffiċli li wieħed jifhem liema hosts tiskennja. Fi kliem ieħor, il-kompitu tal-iskannjar huwa relatat mill-qrib mal-kompitu tal-ġestjoni tal-assi.
  2. Prijoritizzazzjoni ħażina. L-iskaners tan-netwerk ħafna drabi jipproduċu ħafna riżultati b'difetti li mhumiex sfruttabbli fil-prattika, iżda formalment il-livell ta' riskju tagħhom huwa għoli. Il-konsumatur jirċievi rapport li huwa diffiċli biex jiġi interpretat, u mhux ċar x'għandu jiġi kkoreġut l-ewwel
  3. Rakkomandazzjonijiet foqra. Il-bażi tal-għarfien tal-iskaner ħafna drabi jkun fiha biss informazzjoni ġenerali ħafna dwar il-vulnerabbiltà u kif tirranġaha, għalhekk l-amministraturi jkollhom armar ruħhom ma 'Google. Is-sitwazzjoni hija kemmxejn aħjar bi skaners tal-whitebox, li jistgħu joħorġu kmand speċifiku biex jiffissaw
  4. Magħmul bl-idejn. L-infrastrutturi jista' jkollhom ħafna nodi, li jfisser li potenzjalment hemm ħafna difetti, rapporti li dwarhom iridu jiġu analizzati u analizzati manwalment f'kull iterazzjoni
  5. Kopertura ħażina. Il-kwalità tal-iskannjar tal-infrastruttura tiddependi direttament fuq id-daqs tal-bażi tal-għarfien dwar il-vulnerabbiltajiet u l-verżjonijiet tas-softwer. Fejn, jirriżulta, Anki l-mexxejja tas-suq m'għandhomx bażi ta 'għarfien komprensiva, u hemm ħafna informazzjoni fid-databases ta' soluzzjonijiet ħielsa li l-mexxejja m'għandhomx
  6. Problemi bil-patching. Ħafna drabi, il-patching tal-vulnerabbiltajiet tal-infrastruttura huwa li jaġġorna pakkett jew jibdel fajl tal-konfigurazzjoni. Il-problema kbira hawnhekk hija li s-sistema, speċjalment dik tal-wirt, tista 'tġib ruħha b'mod imprevedibbli bħala riżultat ta' aġġornament. Fil-fatt, ser ikollok twettaq testijiet ta 'integrazzjoni fuq infrastruttura ħaj fil-produzzjoni.

Approċċi

Kif jista 'jkun?
Se nidħol f'aktar dettall dwar eżempji u kif tittratta ħafna minn dawn il-problemi fil-partijiet li ġejjin, iżda għalissa se nindika l-oqsma ewlenin li fihom tista 'taħdem:

  1. Aggregazzjoni ta 'diversi għodod ta' skanjar. Bl-użu korrett ta 'skaners multipli, tista' tinkiseb żieda sinifikanti fil-bażi ta 'għarfien u l-kwalità tas-sejbien. Tista' ssib saħansitra aktar vulnerabbiltajiet mis-somma tal-iskaners kollha mħaddma individwalment, filwaqt li tista' tivvaluta b'mod aktar preċiż il-livell ta' riskju u tagħmel aktar rakkomandazzjonijiet
  2. Integrazzjoni ta' SAST u DAST. Huwa possibbli li tiżdied il-kopertura DAST u l-eżattezza SAST billi taqsam l-informazzjoni bejniethom. Mis-sors tista 'tikseb informazzjoni dwar rotot eżistenti, u bl-għajnuna ta' DAST tista 'tiċċekkja jekk il-vulnerabbiltà hijiex viżibbli minn barra
  3. Machine Learning™. Fl-2015 I qal (u iktar) dwar l-użu tal-istatistika biex tagħti lill-iskaners intuwizzjoni ta' hacker u tħaffefhom. Dan żgur huwa ikel għall-iżvilupp ta 'analiżi tas-sigurtà awtomatizzata fil-futur.
  4. Integrazzjoni IAST ma 'awtotests u OpenAPI. Fi ħdan is-CI/CD-pipeline, huwa possibbli li jinħoloq proċess ta 'skanjar ibbażat fuq għodod li jaħdmu bħala prokuri HTTP u testijiet funzjonali li jaħdmu fuq HTTP. It-testijiet u l-kuntratti OpenAPI/Swagger se jagħtu lill-iskaner l-informazzjoni nieqsa dwar il-flussi tad-dejta, jagħmluha possibbli li tiskennja l-applikazzjoni f'diversi stati
  5. Konfigurazzjoni korretta. Għal kull applikazzjoni u infrastruttura, trid toħloq profil tal-iskannjar xieraq, filwaqt li tqis in-numru u n-natura tal-interfaces, it-teknoloġiji użati
  6. Personalizzazzjoni tal-iskaner. Ħafna drabi, applikazzjoni ma tistax tiġi skennjata mingħajr ma jiġi mmodifikat l-iskaner. Eżempju huwa gateway tal-ħlas fejn kull talba trid tiġi ffirmata. Mingħajr ma tikteb konnettur għall-protokoll tal-portal, l-iskaners se jaqtgħu bla ħsieb it-talbiet b'firma mhux korretta. Huwa wkoll meħtieġ li tikteb skaners speċjalizzati għal tip speċifiku ta 'difetti, bħal Referenza ta' Oġġett Dirett mhux Sikur
  7. Ġestjoni tar-riskju. L-użu ta’ diversi skaners u l-integrazzjoni ma’ sistemi esterni bħall-Immaniġġjar tal-Assi u l-Ġestjoni tat-Theddid se jippermettu li jintużaw parametri multipli biex jiġi vvalutat il-livell ta’ riskju, sabiex il-ġestjoni tkun tista’ tikseb stampa adegwata tal-istat attwali tas-sigurtà tal-iżvilupp jew tal-infrastruttura.

Ibqa' sintonizzat u ejja nfixklu l-iskannjar tal-vulnerabbiltà!

Sors: www.habr.com

Żid kumment