ProHoster > Uchanganuzi wa hatari na maendeleo salama. Sehemu 1

Uchanganuzi wa hatari na maendeleo salama. Sehemu 1

Uchanganuzi wa hatari na maendeleo salama. Sehemu 1

Kama sehemu ya shughuli zao za kitaaluma, wasanidi programu, wapenda elimu na wataalamu wa usalama wanapaswa kushughulikia michakato kama vile Usimamizi wa Mazingira Hatarishi (VM), (Salama) SDLC.
Chini ya vishazi hivi kuna seti mbalimbali za mazoea na zana zinazotumiwa ambazo zimeunganishwa, ingawa watumiaji wake hutofautiana.

Maendeleo ya kiteknolojia bado hayajafikia hatua ambapo chombo kimoja kinaweza kuchukua nafasi ya mtu kwa ajili ya kuchambua usalama wa miundombinu na programu.
Inashangaza kuelewa kwa nini hii ni hivyo, na ni matatizo gani mtu anapaswa kukabiliana nayo.

Mchakato

Mchakato wa Usimamizi wa Mazingira Hatarishi umeundwa ili kufuatilia usalama wa miundombinu na usimamizi wa viraka.
Mchakato wa Usalama wa SDLC ("mzunguko salama wa ukuzaji") umeundwa ili kudumisha usalama wa programu wakati wa ukuzaji na utendakazi.

Sehemu sawa ya michakato hii ni mchakato wa Tathmini ya Athari - tathmini ya mazingira magumu, skanning ya kuathirika.
Tofauti kuu kati ya kutambaza ndani ya VM na SDLC ni kwamba katika kesi ya kwanza, lengo ni kupata udhaifu unaojulikana katika programu za watu wengine au katika usanidi. Kwa mfano, toleo la zamani la Windows au mfuatano chaguomsingi wa jumuiya kwa SNMP.
Katika kesi ya pili, lengo ni kuchunguza udhaifu si tu katika vipengele vya tatu (utegemezi), lakini hasa katika kanuni ya bidhaa mpya.

Hii inasababisha tofauti katika zana na mbinu. Kwa maoni yangu, kazi ya kutafuta udhaifu mpya katika programu inavutia zaidi, kwani haitoi toleo la uchapishaji wa vidole, mkusanyiko wa mabango, nguvu ya kikatili ya nenosiri, nk.
Uchanganuzi wa kiotomatiki wa hali ya juu wa udhaifu wa programu unahitaji algoriti zinazozingatia semantiki ya programu, madhumuni yake na vitisho mahususi.

Kichanganuzi cha miundombinu mara nyingi kinaweza kubadilishwa na kipima muda, kama avleonov. Jambo ni kwamba kwa takwimu tu, unaweza kuzingatia miundombinu yako kuwa hatarini ikiwa haujaisasisha kwa, tuseme, kwa mwezi.

Vyombo vya

Uchanganuzi, pamoja na uchambuzi wa usalama, unaweza kufanywa kama kisanduku cheusi au kisanduku cheupe.

Black Box

Kwa utambazaji wa kisanduku cheusi, zana lazima iweze kufanya kazi na huduma kupitia miingiliano sawa ambayo watumiaji hufanya kazi nayo.

Vichanganuzi vya miundomsingi (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, n.k.) hutafuta milango wazi ya mtandao, kukusanya "mabango", tambua matoleo ya programu zilizosakinishwa, na utafute msingi wao wa maarifa kwa maelezo kuhusu udhaifu katika matoleo haya. Pia hujaribu kugundua hitilafu za usanidi kama vile nenosiri chaguo-msingi au ufikiaji wa umma kwa data, misimbo dhaifu ya SSL, n.k.

Vichanganuzi vya programu za wavuti (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, n.k.) vinaweza pia kugundua vipengele vinavyojulikana na matoleo yake (km CMS, mifumo, maktaba ya JS). Hatua kuu za kutambaa ni kutambaa na kupapasa.
Wakati wa kutambaa, kitambazaji hukusanya taarifa kuhusu violesura vilivyopo vya programu na vigezo vya HTTP. Wakati wa kuchanganya, vigezo vyote vilivyogunduliwa hubadilishwa na data iliyobadilishwa au iliyotolewa ili kusababisha hitilafu na kugundua uwezekano.

Vichanganuzi vile vya programu ni vya madarasa ya DAST na IAST - mtawalia Majaribio ya Usalama ya Maombi ya Nguvu na Maingiliano.

Sanduku nyeupe

Kwa utambazaji wa kisanduku cheupe, kuna tofauti zaidi.
Kama sehemu ya mchakato wa VM, vichanganuzi (Vulners, Insecurity Couch, Vuls, Tenable Nessus, n.k.) mara nyingi hupewa ufikiaji wa mifumo kwa kufanya uhakiki ulioidhinishwa. Kwa hivyo, skana inaweza kupakua matoleo ya vifurushi vilivyowekwa na vigezo vya usanidi moja kwa moja kutoka kwa mfumo, bila kubahatisha kutoka kwa mabango ya huduma ya mtandao.
Scan ni sahihi zaidi na kamili.

Ikiwa tunazungumza juu ya skanning ya kisanduku cheupe (CheckMarx, HP Forify, Coverity, RIPS, FindSecBugs, n.k.) ya programu, basi kwa kawaida tunazungumza juu ya uchanganuzi wa nambari tuli na utumiaji wa zana zinazolingana za darasa la SAST - Jaribio la Usalama la Utumiaji Tuli.

Shida

Kuna matatizo mengi na skanning! Lazima nishughulikie wengi wao kibinafsi kama sehemu ya utoaji wa huduma ya ujenzi wa skanning na michakato salama ya maendeleo, na vile vile wakati wa kufanya kazi ya uchambuzi wa usalama.

Nitaainisha vikundi 3 kuu vya shida, ambazo pia zinathibitishwa na mazungumzo na wahandisi na wakuu wa huduma za usalama wa habari katika kampuni mbali mbali.

Masuala ya Kuchanganua Maombi ya Wavuti

  1. Ugumu wa utekelezaji. Vichanganuzi vinahitaji kutumwa, kusanidiwa, kubinafsishwa kwa kila programu, kutengewa mazingira ya majaribio ya uchanganuzi na kutekelezwa katika mchakato wa CI/CD ili kuwa na ufanisi. Vinginevyo, itakuwa utaratibu rasmi usio na maana, kutoa tu chanya za uwongo
  2. Muda wa kuchanganua. Vichanganuzi, hata mnamo 2019, hufanya kazi duni ya kugawanya miingiliano na inaweza kuchanganua kurasa elfu moja na vigezo 10 kila moja kwa siku, zikizingatia tofauti, ingawa nambari sawa inawajibika kwao. Wakati huo huo, uamuzi wa kupeleka kwa uzalishaji ndani ya mzunguko wa maendeleo lazima ufanywe haraka.
  3. Mapendekezo duni. Vichanganuzi hutoa mapendekezo ya jumla, na si mara zote inawezekana kwa msanidi programu kuelewa haraka kutoka kwao jinsi ya kupunguza kiwango cha hatari, na muhimu zaidi, iwe inahitaji kufanywa hivi sasa, au sio ya kutisha.
  4. Athari ya uharibifu kwenye programu. Vichanganuzi vinaweza kufanya shambulio la DoS kwenye programu kwa urahisi, na vinaweza pia kuunda idadi kubwa ya huluki au kubadilisha vilivyopo (kwa mfano, kuunda makumi ya maelfu ya maoni kwenye blogi), kwa hivyo hupaswi kuchanganua bila kufikiria. bidhaa.
  5. Ubora duni wa utambuzi wa hatari. Vichanganuzi kwa kawaida hutumia safu isiyobadilika ya upakiaji na vinaweza kukosa kwa urahisi athari ambayo hailingani na tabia zao za utumaji zinazojulikana.
  6. Kichanganuzi hakielewi utendakazi wa programu. Wachunguzi wenyewe hawajui "benki ya Mtandao", "malipo", "maoni" ni nini. Kwao, kuna viungo na vigezo pekee, kwa hivyo safu kubwa ya udhaifu wa mantiki ya biashara bado haijafichuliwa kabisa, hawatakisia kuandika mara mbili, kutazama data ya watu wengine kwa kitambulisho au kumaliza salio kupitia kuzungusha.
  7. Kutoelewana kwa semantiki za ukurasa na kichanganuzi. Vichanganuzi haviwezi kusoma Maswali Yanayoulizwa Mara kwa Mara, haviwezi kutambua captcha, hawatakisia wao wenyewe jinsi ya kujiandikisha na kisha kuingia tena, kwamba huwezi kubofya "toka", na jinsi ya kusaini maombi wakati wa kubadilisha maadili ya parameta. Kwa hivyo, programu nyingi zinaweza kubaki bila kuchanganuliwa hata kidogo.

Masuala ya Kuchanganua Msimbo wa Chanzo

  1. Chanya za uwongo. Uchambuzi tuli ni kazi ngumu ambayo inahusisha maelewano mengi. Mara nyingi lazima utoe dhabihu usahihi, na hata skana za gharama kubwa za biashara hutoa idadi kubwa ya chanya za uwongo.
  2. Ugumu wa utekelezaji. Ili kuongeza usahihi na ukamilifu wa uchambuzi wa tuli, ni muhimu kuboresha sheria za skanning, na kuandika sheria hizi inaweza kuwa muda mwingi. Wakati mwingine ni rahisi kupata sehemu zote kwenye msimbo na aina fulani ya mdudu na kuzirekebisha kuliko kuandika sheria ya kugundua visa kama hivyo.
  3. Ukosefu wa msaada wa utegemezi. Miradi mikubwa inategemea idadi kubwa ya maktaba na mifumo inayopanua uwezo wa lugha ya programu. Ikiwa hakuna habari kuhusu maeneo hatari ("kuzama") katika mifumo hii katika msingi wa ujuzi wa skana, hii itakuwa doa kipofu, na scanner hata haitaelewa kanuni.
  4. Muda wa kuchanganua. Kupata udhaifu katika msimbo ni kazi ngumu katika suala la algoriti pia. Kwa hivyo, mchakato unaweza kucheleweshwa na kuhitaji rasilimali muhimu za kompyuta.
  5. Chanjo ya chini. Licha ya matumizi ya rasilimali na muda wa kuchanganua, watengenezaji wa zana za SAST bado wanapaswa kuafikiana na kuchanganua sio majimbo yote ambayo programu inaweza kuwa.
  6. Kutafuta uwezo wa kuzaliana. Kuelekeza kwenye laini mahususi na mrundikano wa simu unaopelekea uwezekano wa kuathiriwa ni vizuri, lakini kwa kweli, mara nyingi kichanganuzi hakitoi maelezo ya kutosha ili kuangalia uwezekano wa kuathiriwa. Baada ya yote, kasoro inaweza pia kuwa katika nambari iliyokufa, ambayo haipatikani kwa mshambuliaji.

Masuala ya Kuchanganua Miundombinu

  1. Hesabu haitoshi. Katika miundomsingi mikubwa, hasa iliyotenganishwa kijiografia, mara nyingi huwa ni jambo gumu zaidi kubaini ni wapangishi gani wa kuchanganua. Kwa maneno mengine, kazi ya skanning inahusiana kwa karibu na kazi ya usimamizi wa mali.
  2. Uwekaji kipaumbele mbaya. Vichanganuzi vya mtandao mara nyingi hutoa matokeo mengi yenye dosari ambazo hazitumiki kimatendo, lakini rasmi kiwango chao cha hatari ni kikubwa. Mtumiaji hupokea ripoti ambayo ni ngumu kutafsiri, na haijulikani ni nini kinachohitaji kusahihishwa kwanza
  3. Mapendekezo duni. Msingi wa maarifa ya skana mara nyingi huwa na maelezo ya jumla tu kuhusu athari na jinsi ya kuirekebisha, kwa hivyo wasimamizi watalazimika kujizatiti na Google. Hali ni bora kidogo na vichanganuzi vya kisanduku cheupe, ambacho kinaweza kutoa amri maalum ya kurekebisha
  4. Imetengenezwa kwa mikono. Miundombinu inaweza kuwa na nodi nyingi, ambayo ina maana kwamba kuna uwezekano wa dosari nyingi, ripoti ambazo zinapaswa kuchanganuliwa na kuchambuliwa kwa mikono katika kila marudio.
  5. Chanjo mbaya. Ubora wa kuchanganua miundombinu moja kwa moja inategemea saizi ya msingi wa maarifa kuhusu udhaifu na matoleo ya programu. Ambapo, zinageuka, hata viongozi wa soko hawana msingi wa maarifa ya kina, na kuna habari nyingi kwenye hifadhidata za suluhisho za bure ambazo viongozi hawana.
  6. Matatizo ya kuweka viraka. Mara nyingi, kuathiriwa kwa miundombinu ni kusasisha kifurushi au kubadilisha faili ya usanidi. Shida kubwa hapa ni kwamba mfumo, haswa ule wa urithi, unaweza kuishi bila kutabirika kama matokeo ya sasisho. Kwa kweli, itabidi ufanye majaribio ya ujumuishaji kwenye miundombinu ya moja kwa moja katika uzalishaji.

Mbinu

Jinsi ya kuwa?
Nitaenda kwa undani zaidi juu ya mifano na jinsi ya kushughulikia shida nyingi katika sehemu zifuatazo, lakini kwa sasa nitaonyesha maeneo kuu ambayo unaweza kufanya kazi:

  1. Mkusanyiko wa zana mbalimbali za skanning. Kwa matumizi sahihi ya skana nyingi, ongezeko kubwa la msingi wa maarifa na ubora wa ugunduzi unaweza kupatikana. Unaweza kupata udhaifu zaidi kuliko jumla ya vichanganuzi vyote vinavyoendeshwa kibinafsi, huku unaweza kutathmini kwa usahihi kiwango cha hatari na kutoa mapendekezo zaidi.
  2. Ushirikiano wa SAST na DAST. Inawezekana kuongeza chanjo ya DAST na usahihi wa SAST kwa kushiriki habari kati yao. Kutoka kwa chanzo unaweza kupata habari kuhusu njia zilizopo, na kwa kutumia DAST unaweza kuangalia ikiwa udhaifu unaonekana kutoka nje.
  3. Kujifunza kwa Mashineβ„’. Mnamo 2015 I aliiambia (na zaidi) kuhusu kutumia takwimu ili kuwapa vichanganuzi angalizo la mdukuzi na kuharakisha. Hakika hiki ni chakula kwa ajili ya maendeleo ya uchanganuzi otomatiki wa usalama katika siku zijazo.
  4. Ujumuishaji wa IAST na majaribio ya kiotomatiki na OpenAPI. Ndani ya CI/CD-pipeline, inawezekana kuunda mchakato wa kuchanganua kulingana na zana zinazofanya kazi kama proksi za HTTP na majaribio ya utendaji yanayofanya kazi kupitia HTTP. Majaribio na mikataba ya OpenAPI/Swagger itaipa kichanganuzi taarifa zinazokosekana kuhusu mtiririko wa data, kuwezesha kuchanganua programu katika majimbo mbalimbali.
  5. Usanidi sahihi. Kwa kila programu na miundombinu, unahitaji kuunda wasifu unaofaa wa skanning, kwa kuzingatia idadi na asili ya miingiliano, teknolojia zinazotumiwa.
  6. Ubinafsishaji wa skana. Mara nyingi, programu haiwezi kuchanganuliwa bila kurekebisha kichanganuzi. Mfano ni lango la malipo ambapo kila ombi lazima lisainiwe. Bila kuandika kiunganishi kwa itifaki ya lango, vichanganuzi vitapekua maombi bila saini sahihi. Inahitajika pia kuandika skana maalum kwa aina fulani ya dosari, kama vile Rejea ya Kitu cha Moja kwa Moja isiyo salama
  7. Usimamizi wa hatari. Matumizi ya vichanganuzi mbalimbali na kuunganishwa na mifumo ya nje kama vile Usimamizi wa Mali na Usimamizi wa Vitisho itaruhusu vigezo vingi kutumika kutathmini kiwango cha hatari, ili usimamizi uweze kupata picha ya kutosha ya hali ya usalama ya sasa ya maendeleo au miundombinu.

Endelea kufuatilia na tuvuruge uchanganuzi wa uwezekano wa kuathiriwa!

Chanzo: mapenzi.com

Kuongeza maoni