ProHoster > Ṣiṣayẹwo ailagbara ati idagbasoke to ni aabo. Apa 1

Ṣiṣayẹwo ailagbara ati idagbasoke to ni aabo. Apa 1

Ṣiṣayẹwo ailagbara ati idagbasoke to ni aabo. Apa 1

Gẹgẹbi apakan ti awọn iṣẹ ṣiṣe alamọdaju wọn, awọn olupilẹṣẹ, awọn pentesters, ati awọn alamọja aabo ni lati koju awọn ilana bii Isakoso Ipalara (VM), (Secure) SDLC.
Nisalẹ awọn gbolohun wọnyi ni ọpọlọpọ awọn adaṣe ti awọn adaṣe ati awọn irinṣẹ ti a lo ti o ni asopọ, botilẹjẹpe awọn olumulo wọn yatọ.

Ilọsiwaju imọ-ẹrọ ko tii de aaye nibiti ọpa kan le rọpo eniyan fun itupalẹ aabo awọn amayederun ati sọfitiwia.
O jẹ iyanilenu lati ni oye idi ti eyi jẹ bẹ, ati awọn iṣoro wo ni ẹnikan ni lati koju.

Awọn ilana

Ilana Iṣakoso Ipalara jẹ apẹrẹ lati ṣe atẹle nigbagbogbo aabo amayederun ati iṣakoso alemo.
Ilana SDLC ti o ni aabo (“ọmọ idagbasoke to ni aabo”) jẹ apẹrẹ lati ṣetọju aabo ohun elo lakoko idagbasoke ati iṣẹ.

Apakan ti o jọra ti awọn ilana wọnyi ni ilana Igbelewọn Ipalara - igbelewọn ailagbara, ọlọjẹ ailagbara.
Iyatọ akọkọ laarin ọlọjẹ laarin VM ati SDLC ni pe ni ọran akọkọ, ibi-afẹde ni lati wa awọn ailagbara ti a mọ ni sọfitiwia ẹni-kẹta tabi ni atunto kan. Fun apẹẹrẹ, ẹya ti igba atijọ ti Windows tabi okun agbegbe aiyipada fun SNMP.
Ninu ọran keji, ibi-afẹde ni lati rii awọn ailagbara kii ṣe ni awọn paati ẹnikẹta nikan (awọn igbẹkẹle), ṣugbọn nipataki ni koodu ọja tuntun.

Eyi n funni ni iyatọ si awọn irinṣẹ ati awọn isunmọ. Ni ero mi, iṣẹ-ṣiṣe ti wiwa awọn ailagbara tuntun ninu ohun elo jẹ ohun ti o nifẹ diẹ sii, nitori ko wa si isalẹ si ika ika ẹya, ikojọpọ asia, agbara iro ọrọ igbaniwọle, ati bẹbẹ lọ.
Ṣiṣayẹwo adaṣe adaṣe didara giga ti awọn ailagbara ohun elo nilo awọn algoridimu ti o ṣe akiyesi awọn atunmọ ti ohun elo, idi rẹ, ati awọn irokeke kan pato.

The amayederun scanner le igba paarọ rẹ pẹlu aago, bi awọn avleonov. Koko-ọrọ ni pe ni iṣiro nikan, o le ro awọn amayederun rẹ jẹ ipalara ti o ko ba ṣe imudojuiwọn rẹ fun, sọ, oṣu kan.

Awọn irin-iṣẹ

Ṣiṣayẹwo, bakanna bi itupalẹ aabo, le ṣee ṣe bi apoti dudu tabi apoti funfun kan.

Black Box

Pẹlu ibojuwo blackbox, ọpa gbọdọ ni anfani lati ṣiṣẹ pẹlu iṣẹ naa nipasẹ awọn atọkun kanna nipasẹ eyiti awọn olumulo ṣiṣẹ pẹlu rẹ.

Awọn ọlọjẹ ohun elo (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, ati bẹbẹ lọ) wa awọn ebute oko oju omi nẹtiwọọki ṣiṣi, gba “awọn asia”, ṣe idanimọ awọn ẹya sọfitiwia ti a fi sori ẹrọ, ati wa ipilẹ oye wọn fun alaye nipa awọn ailagbara ninu awọn ẹya wọnyi. Wọn tun gbiyanju lati ṣawari awọn aṣiṣe atunto gẹgẹbi awọn ọrọ igbaniwọle aiyipada tabi iraye si gbogbo eniyan si data, awọn ciphers SSL alailagbara, ati bẹbẹ lọ.

Awọn ọlọjẹ ohun elo wẹẹbu (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, ati bẹbẹ lọ) tun le rii awọn paati ti a mọ ati awọn ẹya wọn (fun apẹẹrẹ CMS, awọn ilana, awọn ile-ikawe JS). Awọn igbesẹ jijoko akọkọ jẹ jijoko ati iruju.
Lakoko jijoko, crawler n gba alaye nipa awọn atọkun ohun elo ti o wa ati awọn paramita HTTP. Lakoko iruju, gbogbo awọn paramita ti a rii ni a rọpo pẹlu iyipada tabi data ti ipilẹṣẹ lati le ru aṣiṣe kan ati rii ailagbara kan.

Iru awọn aṣayẹwo ohun elo jẹ ti awọn kilasi DAST ati IAST - lẹsẹsẹ Yiyiyi ati Idanwo Aabo Ohun elo Interactive.

Apoti funfun

Pẹlu ibojuwo whitebox, awọn iyatọ diẹ sii wa.
Gẹgẹbi apakan ti ilana VM, awọn aṣayẹwo (Vulners, Couch Incsecurity, Vuls, Tenable Nessus, ati bẹbẹ lọ) nigbagbogbo fun ni iraye si awọn eto nipasẹ ṣiṣe ọlọjẹ ti o jẹri. Nitorinaa, ọlọjẹ le ṣe igbasilẹ awọn ẹya package ti a fi sori ẹrọ ati awọn aye atunto taara lati inu eto, laisi lafaimo wọn lati awọn asia iṣẹ nẹtiwọki.
Awọn ọlọjẹ jẹ diẹ deede ati ki o pari.

Ti a ba sọrọ nipa ọlọjẹ apoti funfun (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, bbl) ti awọn ohun elo, lẹhinna a nigbagbogbo n sọrọ nipa itupalẹ koodu aimi ati lilo awọn irinṣẹ kilasi SAST ti o baamu - Idanwo Aabo Ohun elo Static.

Isoro

Awọn iṣoro pupọ wa pẹlu ọlọjẹ! Mo ni lati ṣe pẹlu pupọ julọ wọn tikalararẹ gẹgẹbi apakan ti ipese iṣẹ kan fun ṣiṣe ayẹwo ile ati awọn ilana idagbasoke to ni aabo, ati nigba ṣiṣe iṣẹ itupalẹ aabo.

Emi yoo ṣe iyasọtọ awọn ẹgbẹ 3 akọkọ ti awọn iṣoro, eyiti o tun jẹrisi nipasẹ awọn ibaraẹnisọrọ pẹlu awọn onimọ-ẹrọ ati awọn olori awọn iṣẹ aabo alaye ni awọn ile-iṣẹ lọpọlọpọ.

Awọn ọran Ṣiṣayẹwo Ohun elo Ayelujara

  1. Iṣoro imuse. Awọn aṣayẹwo nilo lati gbe lọ, tunto, ṣe adani fun ohun elo kọọkan, pin agbegbe idanwo fun awọn iwoye ati imuse ni ilana CI / CD lati le munadoko. Bibẹẹkọ, yoo jẹ ilana ti ko wulo, ti o funni ni awọn idaniloju eke nikan
  2. Ayewo iye akoko. Awọn aṣayẹwo, paapaa ni ọdun 2019, ṣe iṣẹ ti ko dara ti awọn itọka iyasọtọ ati pe o le ṣe ọlọjẹ awọn oju-iwe ẹgbẹrun kan pẹlu awọn aye mẹwa 10 fun awọn ọjọ, ni akiyesi wọn yatọ, botilẹjẹpe koodu kanna jẹ iduro fun wọn. Ni akoko kanna, ipinnu lati gbe lọ si iṣelọpọ laarin ọmọ idagbasoke gbọdọ ṣee ṣe ni iyara.
  3. Awọn iṣeduro ti ko dara. Awọn aṣayẹwo fun awọn iṣeduro gbogbogbo ni deede, ati pe ko ṣee ṣe nigbagbogbo fun idagbasoke lati ni oye lati ọdọ wọn bi o ṣe le dinku ipele eewu, ati ni pataki julọ, boya o nilo lati ṣee ṣe ni bayi, tabi ko ṣe idẹruba sibẹsibẹ.
  4. Ipa iparun lori ohun elo. Awọn aṣayẹwo le ni irọrun ṣe ikọlu DoS kan lori ohun elo kan, ati pe wọn tun le ṣẹda nọmba nla ti awọn nkan tabi yi awọn ti o wa tẹlẹ (fun apẹẹrẹ, ṣẹda ẹgbẹẹgbẹrun awọn asọye lori bulọọgi kan), nitorinaa o yẹ ki o ko ni airotẹlẹ ṣiṣe ọlọjẹ ni a ọja.
  5. Didara ti ko dara ti wiwa ailagbara. Awọn aṣayẹwo ni igbagbogbo lo ọpọlọpọ awọn ẹru isanwo ti o wa titi ati pe o le ni irọrun padanu ailagbara kan ti ko baamu ihuwasi ohun elo wọn ti a mọ.
  6. Scanner ko loye awọn iṣẹ ti ohun elo naa. Awọn aṣayẹwo funrara wọn ko mọ kini “banki Intanẹẹti”, “sanwo”, “ọrọ asọye” jẹ. Fun wọn, awọn ọna asopọ ati awọn paramita nikan lo wa, nitorinaa ipele nla ti awọn ailagbara oye iṣowo ti o ṣee ṣe ṣi ṣiṣafihan patapata, wọn kii yoo gboju le ṣe kikọ-pipa meji, tẹ data awọn eniyan miiran nipasẹ ID tabi ṣe afẹfẹ iwọntunwọnsi nipasẹ iyipo.
  7. Aiyede ti awọn atunmọ oju-iwe nipasẹ ọlọjẹ naa. Scanners ko le ka FAQ, ko le da captchas, won yoo ko gboju le won nipa ara wọn bi o si forukọsilẹ ati ki o tun-buwolu, ti o ko ba le tẹ "Logout", ati bi o lati wole awọn ibeere nigba iyipada paramita iye. Bi abajade, pupọ julọ ohun elo le wa ni aiṣayẹwo rara.

Awọn ọran Ṣiṣayẹwo koodu Orisun

  1. Awọn idaniloju eke. Itupalẹ aimi jẹ iṣẹ-ṣiṣe eka kan ti o kan ọpọlọpọ awọn adehun. Nigbagbogbo o ni lati rubọ deede, ati paapaa awọn aṣayẹwo ile-iṣẹ gbowolori funni ni nọmba nla ti awọn idaniloju eke.
  2. Iṣoro imuse. Lati mu išedede ati aṣepari ti itupalẹ aimi, o jẹ dandan lati ṣatunṣe awọn ofin ọlọjẹ, ati kikọ awọn ofin wọnyi le gba akoko pupọ. Nigba miiran o rọrun lati wa gbogbo awọn aaye ninu koodu pẹlu iru kokoro kan ati ṣatunṣe wọn ju lati kọ ofin kan lati rii iru awọn ọran naa.
  3. Aini atilẹyin igbẹkẹle. Awọn iṣẹ akanṣe nla da lori nọmba nla ti awọn ile-ikawe ati awọn ilana ti o fa awọn agbara ti ede siseto. Ti ko ba si alaye nipa awọn aaye ti o lewu (“awọn ifọwọra”) ninu awọn ilana wọnyi ni ipilẹ oye ti scanner, eyi yoo di aaye afọju, ati pe ọlọjẹ naa kii yoo paapaa loye koodu naa.
  4. Ayewo iye akoko. Wiwa awọn ailagbara ni koodu jẹ iṣẹ ti o nira ni awọn ofin ti awọn algoridimu bi daradara. Nitorinaa, ilana naa le ni idaduro daradara ati nilo awọn orisun iširo pataki.
  5. Agbegbe kekere. Pelu agbara orisun ati iye akoko ọlọjẹ, awọn olupilẹṣẹ irinṣẹ SAST tun ni lati lo si awọn adehun ati ṣe itupalẹ kii ṣe gbogbo awọn ipinlẹ ti eto le wa ninu.
  6. Wiwa reproducibility. Ntọka si laini kan pato ati akopọ ipe ti o yori si ailagbara jẹ nla, ṣugbọn ni otitọ, nigbagbogbo ọlọjẹ naa ko pese alaye to lati ṣayẹwo fun ailagbara ita. Lẹhinna, abawọn naa tun le wa ninu koodu ti o ku, eyiti ko le de ọdọ ẹniti o kọlu naa.

Awọn oran Ṣiṣayẹwo Amayederun

  1. Oja ti ko to. Ni awọn amayederun nla, paapaa awọn ti o yapa ni agbegbe, o jẹ igbagbogbo ohun ti o nira julọ lati ṣawari iru awọn ọmọ-ogun lati ṣe ọlọjẹ. Ni awọn ọrọ miiran, iṣẹ-ṣiṣe ti ọlọjẹ ni ibatan pẹkipẹki si iṣẹ-ṣiṣe ti iṣakoso dukia.
  2. ayo buburu. Awọn aṣayẹwo nẹtiwọọki nigbagbogbo gbe awọn abajade lọpọlọpọ pẹlu awọn abawọn ti ko ṣee lo ni iṣe, ṣugbọn ni deede ipele ewu wọn ga. Onibara gba ijabọ kan ti o ṣoro lati tumọ, ati pe ko ṣe afihan ohun ti o nilo lati ṣe atunṣe ni akọkọ
  3. Awọn iṣeduro ti ko dara. Ipilẹ imọ ẹrọ ọlọjẹ nigbagbogbo ni alaye gbogbogbo nikan nipa ailagbara ati bii o ṣe le ṣatunṣe, nitorinaa awọn admins yoo ni lati di ara wọn lọwọ Google. Ipo naa dara diẹ sii pẹlu awọn ọlọjẹ apoti funfun, eyiti o le fun aṣẹ kan pato lati ṣatunṣe
  4. Afọwọṣe. Awọn amayederun le ni ọpọlọpọ awọn apa, eyiti o tumọ si pe o pọju ọpọlọpọ awọn abawọn, awọn ijabọ lori eyiti o ni lati ṣe itupalẹ ati ṣe itupalẹ pẹlu ọwọ ni aṣetunṣe kọọkan.
  5. Agbegbe buburu. Didara ọlọjẹ amayederun taara da lori iwọn ipilẹ imọ nipa awọn ailagbara ati awọn ẹya sọfitiwia. Ninu rẹ, wa ni jade, Paapaa awọn oludari ọja ko ni ipilẹ oye oye, ati pe ọpọlọpọ alaye wa ninu awọn apoti isura data ti awọn solusan ọfẹ ti awọn oludari ko ni.
  6. Awọn iṣoro pẹlu patching. Ni igbagbogbo julọ, awọn ailagbara amayederun patching n ṣe imudojuiwọn package kan tabi yiyipada faili iṣeto ni. Iṣoro nla nibi ni pe eto naa, pataki julọ ọkan, le huwa airotẹlẹ bi abajade imudojuiwọn kan. Ni otitọ, iwọ yoo ni lati ṣe awọn idanwo isọpọ lori awọn amayederun laaye ni iṣelọpọ.

Awọn isunmọ

Bawo ni lati jẹ?
Emi yoo lọ si awọn alaye diẹ sii nipa awọn apẹẹrẹ ati bii o ṣe le koju ọpọlọpọ awọn iṣoro wọnyi ni awọn apakan atẹle, ṣugbọn fun bayi Emi yoo tọka awọn agbegbe akọkọ ninu eyiti o le ṣiṣẹ:

  1. Akopọ ti awọn orisirisi Antivirus irinṣẹ. Pẹlu lilo deede ti awọn aṣayẹwo pupọ, ilosoke pataki ninu ipilẹ imọ ati didara wiwa le ṣee ṣe. O le rii paapaa awọn ailagbara diẹ sii ju apapọ gbogbo awọn ọlọjẹ ṣiṣẹ ni ọkọọkan, lakoko ti o le ṣe iṣiro deede ipele ti eewu ati ṣe awọn iṣeduro diẹ sii.
  2. Integration ti SAST ati DAST. O ṣee ṣe lati mu agbegbe DAST pọ si ati deede SAST nipa pinpin alaye laarin wọn. Lati orisun ti o le gba alaye nipa awọn ipa-ọna ti o wa, ati pẹlu iranlọwọ ti DAST o le ṣayẹwo boya ailagbara naa han lati ita
  3. Ẹkọ ẹrọ™. Ni ọdun 2015 I so fun (ati diẹ ẹ sii) nipa lilo awọn iṣiro lati fun awọn ọlọjẹ ni oye ti agbonaeburuwole ati iyara wọn. Eyi jẹ dajudaju ounjẹ fun idagbasoke ti itupalẹ aabo adaṣe ni ọjọ iwaju.
  4. Iṣepọ IAST pẹlu awọn idanwo adaṣe ati OpenAPI. Laarin CI/CD-pipeline, o ṣee ṣe lati ṣẹda ilana ọlọjẹ ti o da lori awọn irinṣẹ ti o ṣiṣẹ bi awọn aṣoju HTTP ati awọn idanwo iṣẹ ṣiṣe ti o ṣiṣẹ lori HTTP. Awọn idanwo OpenAPI/Swagger ati awọn adehun yoo fun ọlọjẹ naa alaye ti o padanu nipa ṣiṣan data, jẹ ki o ṣee ṣe lati ọlọjẹ ohun elo ni awọn ipinlẹ pupọ
  5. Ti o tọ iṣeto ni. Fun ohun elo kọọkan ati awọn amayederun, o nilo lati ṣẹda profaili ọlọjẹ ti o dara, ni akiyesi nọmba ati iseda ti awọn atọkun, awọn imọ-ẹrọ ti a lo.
  6. Scanner isọdi. Nigbagbogbo, ohun elo ko le ṣe ayẹwo lai ṣe atunṣe ọlọjẹ naa. Apeere jẹ ẹnu-ọna isanwo nibiti gbogbo ibeere gbọdọ wa ni fowo si. Laisi kikọ asopo kan si ilana ẹnu-ọna, awọn aṣayẹwo yoo ṣe akiyesi awọn ibeere pẹlu ibuwọlu ti ko tọ. O tun jẹ dandan lati kọ awọn ọlọjẹ amọja fun iru awọn abawọn kan pato, gẹgẹbi Itọkasi Nkan Taara ti ko ni aabo
  7. Ewu isakoso. Lilo awọn aṣayẹwo oriṣiriṣi ati isọpọ pẹlu awọn ọna ita gẹgẹbi Iṣakoso dukia ati Irokeke Irokeke yoo jẹ ki a lo awọn aye pupọ lati ṣe ayẹwo ipele ewu, ki iṣakoso le gba aworan ti o peye ti ipo aabo lọwọlọwọ ti idagbasoke tabi awọn amayederun.

Duro si aifwy ki o jẹ ki a ṣe idiwọ ọlọjẹ ailagbara naa!

orisun: www.habr.com

Fi ọrọìwòye kun