Управление сторонними уязвимостями

Материал из Документация Ключ-АСТРОМ

Сторонняя уязвимость — это проблема безопасности, обнаруженная в сторонних библиотеках, загруженных в вашу среду. После того, как вы включите и настроите Astromkey Runtime Vulnerability Analytics , Ключ-АСТРОМ начнет отслеживать ваши приложения для обнаружения уязвимостей в сторонних библиотеках.

  • Вращающийся экран радара в правом верхнем углу страницы Сторонние уязвимости указывает на то, что ваша среда отслеживается. Если радар останавливается, вы получаете предупреждение об остановке мониторинга. Пожалуйста, проверьте настройки . Потенциальные причины, по которым это может произойти, см. в разделе Monitoring stoppederror .
  • Индикатор проблем с безопасностью на верхней панели Ключ-АСТРОМ отображает количество критических или серьезных уязвимостей в вашей среде. Выберите его, чтобы перейти на страницу Сторонние уязвимости .

Список сторонних уязвимостей

Чтобы просмотреть список всех обнаруженных сторонних уязвимостей в вашей среде, в меню Ключ-АСТРОМ перейдите к Сторонние уязвимости . Отображается следующая информация.

Общий обзор основных функций

Примечание. Отображаемые числовые значения относятся к зоне управления.

  • Количество открытых уязвимостей (и заглушенных). Выберите его, чтобы отобразить уязвимости, отфильтрованные по Status: Open.
  • Количество критических и высоких уязвимостей. Выберите его, чтобы отобразить открытые уязвимости, отфильтрованные по Risk level: Criticalили Risk level: High.
  • Количество отслеживаемых технологий из общего числа поддерживаемых технологий. Выберите Отслеживаемые технологии , чтобы просмотреть и изменить настройки .
  • Визуальное представление каждой технологии.

ИИ, советник по безопасности

Советник по безопасности ИИ рекомендует исправления, которые в наибольшей степени улучшат общую безопасность вашей среды.

Обнаружены уязвимости

Список всех обнаруженных сторонних уязвимостей в вашей среде. Для оптимизации производительности одновременно отображается не более 500 уязвимостей. Вы можете сузить результаты, применив фильтры . Чтобы отсортировать список по какому-либо элементу, выберите соответствующий заголовок столбца. Чтобы добавить или удалить заголовки столбцов, выберите Формат таблицы .

Уязвимость

  • Идентификатор уязвимости Ключ-АСТРОМ (пример: S-3440)
  • В зависимости от ленты уязвимостей:
    • Для уязвимостей Snyk имя Snyk (пример: Denial of Service (DoS))
    • Для уязвимостей NVD — идентификатор CVE (пример: CVE-2020-2805) или имя CWE , если оно доступно (пример: Deserialization of Untrusted Data)
      • У одной уязвимости в Ключ-АСТРОМ может быть несколько CVE (например, если разные поставщики выпускают свои CVE).
      • Для одного компонента (библиотеки) могут быть разные уязвимости.
      • Одна проблема безопасности может привести к нескольким уязвимостям Ключ-АСТРОМ, по одной для каждой уязвимой технологии.
  • Уязвимый компонент (программный компонент (библиотека) или компонент времени выполнения (например, пакет Kubernetes), имеющий уязвимую функцию, вызывающую уязвимость):
    • Для уязвимостей Snyk имя пакета (пример: org.apache.tomcat:tomcat-coyote)
    • Для уязвимостей NVD технология выполнения (примеры: Java runtime, Node.js runtime)

Чтобы узнать, как Ключ-АСТРОМ оценивает компоненты, см. Как оцениваются уязвимости: сторонние уязвимости .

Оценка безопасности ИИ

  • Уровень риска ( Critical, High, Medium, Low, None) уязвимости, основанный на оценке уязвимости в Общей системе оценки уязвимостей (CVSS) и улучшенном искусственном интеллекте для учета публичного доступа в Интернет и доступных ресурсов данных. Если уязвимость устранена, цвет символа зеленый.
  • Общая оценка риска ( итоговая оценка ).
  • Если есть какое-либо публичное раскрытие (уязвимость затрагивает хотя бы один процесс, который открыт для Интернета. Это анализируется на основе трафика, который попадает в процесс напрямую, через исходный IP-адрес или косвенно, через заголовок, установленный посреднической службой, нравится _X-Forwarded-For_). Если символ зачеркнут и перечеркнут, публичного доступа нет. Если символ отсутствует, данные недоступны.
  • Если есть какие-либо доступные активы данных (уязвимость затрагивает процесс, который имеет доступ к базе данных на основе модели объектов Ключ-АСТРОМ (Smartscape) ). Если символ неактивен и перечеркнут, доступные активы данных не затронуты. Если символ отсутствует, данные недоступны.
  • Если процесс использует какую-либо уязвимую функцию , которая позволяет использовать уязвимость. Если символ зачеркнут и перечеркнут, уязвимая функция не используется. Если символ отсутствует, данные недоступны.
  • Если есть публичный эксплойт (известный вредоносный код, использующий эту уязвимость). Если символ неактивен и перечеркнут, публичного эксплойта нет. Если символ отсутствует, данные недоступны.

Статус

  • Открыто: уязвимость активна.
  • Решено: уязвимость была закрыта автоматически, так как основная причина (например, загрузка уязвимой библиотеки) больше не существует. Дополнительные сведения см. в разделе Как оцениваются уязвимости: решение .
  • Заглушено — Открыто: уязвимость активна, но отключена по запросу.
  • Приглушено — решено: замалчиваемая активная уязвимость была автоматически закрыта, поскольку основная причина (например, загрузка уязвимой библиотеки) больше не присутствует. Примечание. Замаскированная уязвимость, которая была автоматически закрыта, меняет свой статус не на Resolved, а на Muted - Resolved.

Затронутые объекты

Объекты (приложения, службы, хосты, базы данных, рабочие нагрузки Kubernetes или кластеры Kubernetes), которые подвержены выявленной сторонней уязвимости.

Примечание. Затронутые объекты рассчитываются глобально. Фильтрация зоны управления не применяется.

Технологии

Технология процесса, затронутого уязвимостью.

Примечание. Чтобы отобразить этот столбец, выберите Формат таблицы и добавьте в список Технология .

Впервые обнаружено

Когда Ключ-АСТРОМ впервые обнаружила стороннюю уязвимость.

Последнее обновление

Когда было обнаружено самое последнее обновление (например, новая оценка риска или новый программный компонент с такой же уязвимостью).

Примечание. Чтобы отобразить этот столбец, выберите Формат таблицы и добавьте Последнее обновление в список.

Подробности

Разверните строки уязвимости, чтобы узнать подробности или выполнить следующие действия:

  • Выберите Изменить статус , чтобы скрыть, включить или снова скрыть уязвимость с другой причиной или комментарием.
  • Выберите Просмотреть обзор группы процессов , чтобы перейти на страницу обзора групп процессов, связанных с уязвимостью.
  • Выберите Просмотреть сведения об уязвимости , чтобы перейти на страницу сведений об уязвимости.

Сведения об уязвимостях сторонних производителей

Чтобы просмотреть сведения о сторонней уязвимости, выберите уязвимость на странице Сторонние уязвимости . Отображается следующая информация.

Название уязвимости

  • Программные компоненты используют канал Snyk. В этом случае в заголовке уязвимости отображаются имя и идентификатор Snyk, атрибут third-party vulnerabilityи время первого обнаружения уязвимости. Пример
  • Компоненты среды выполнения используют канал NVD 1 . В этом случае заголовок уязвимости отображает одно из следующих значений.
    • Имя CWE и идентификатор CVE, runtime vulnerabilityатрибут и время первого обнаружения уязвимости. Пример
    • Идентификатор CVE, runtime vulnerabilityатрибут и время первого обнаружения уязвимости. Пример 1 За исключением компонентов среды выполнения Kubernetes, которые используют ленту Snyk. Дополнительные сведения см. в разделе Каналы сторонних уязвимостей .

Ярлык к основным темам

Разверните кнопку рядом с пунктом «Настройки» в верхней левой части страницы сведений об уязвимости, чтобы выбрать одну из тем ниже.

  • Сведения об уязвимости
  • Связанные объекты
  • Эволюция уязвимости
  • Уязвимые компоненты

Выберите «Настройки» , чтобы перейти к разделу «Аналитика уязвимостей: общие настройки» . Дополнительные сведения см. в разделе Начало работы с аналитикой уязвимостей .

Инфографика ключевых особенностей

Выберите любую из этих функций, чтобы перейти к соответствующему разделу на странице.

  • Уровень риска: уровень риска по шкале безопасности ИИ (Critical,High,Medium,Low,None).
  • Публичное интернет-разоблачение: если есть какое-либо общедоступное интернет-разоблачение. Возможные состояния:
    • Публичная сеть: общедоступный доступ в Интернет.
    • Нет воздействия: не было обнаружено воздействия в Интернете.
    • Недоступно: данные недоступны, так как соответствующие узлы работают в режиме только инфраструктуры. Подробнее см. в разделе Режимы мониторинга .
  • Доступные активы данных: если затронуты какие-либо доступные активы данных. Возможные состояния:
    • В пределах диапазона: затронуты доступные активы данных.
    • Не затронуто: не найдено доступных ресурсов данных.
    • Недоступно: данные недоступны, так как соответствующие узлы работают в режиме только инфраструктуры. Подробнее см. в разделе Режимы мониторинга .
  • Уязвимые функции: используются ли какие-либо уязвимые функции. Возможные состояния:
    • В использовании: используются уязвимые функции.
    • Не используется: Используемые уязвимые функции не обнаружены.
    • Недоступно: данные недоступны. Список возможных причин см. в FAQ .
  • Эксплойт: наличие вредоносного кода, использующего стороннюю уязвимость. Возможные состояния:
    • Опубликован эксплойт: доступен общеизвестный эксплойт для этой уязвимости.
    • Эксплойт не опубликован: общеизвестный эксплойт для этой уязвимости недоступен.
  • Группы процессов: сколько групп процессов затронуто
  • Уязвимый компонент: имя уязвимого компонента.

Если вы хотите изменить статус уязвимости , выберите Изменить статус в правом верхнем углу страницы.

Сведения об уязвимости

  • Имя и описание затронутого пакета (пример: com.fasterxml.jackson.core:jackson-databind), связанная технология (пример: Java) и ссылки на идентификаторы Snyk/CVE/CWE/OWASP для получения дополнительной информации.

Уязвимые функции

Точные классы (пример: com.fasterxml.jackson.databind.jsontype.impl.SubTypeValidator) и функции (пример: validateSubType), вызывающие уязвимость, и затронутые группы процессов в зависимости от использования функции.

Этот раздел не отображается

  • Если Snyk не предоставляет информацию об уязвимых функциях.
  • Для уязвимостей во время выполнения, основанных на ленте NVD.

Использование функции показывает, используется ли уязвимая функция вашим приложением. В зависимости от того, использует ли ваше приложение уязвимую функцию, вы можете оценить влияние на вашу среду. Использование уязвимой функции рассчитывается на уровне процесса и агрегируется на уровне группы процессов, что приводит к подсчету затронутых групп процессов для каждой функции.

  • Используется: количество связанных групп процессов, затронутых уязвимостью (используйте хотя бы одну уязвимую функцию). Выберите количество затронутых групп процессов, чтобы перейти к отслеживанию исправлений .
  • Не используется: количество связанных групп процессов, которые не используют ни одной уязвимой функции.
  • Недоступно: количество связанных групп процессов, для которых не удалось определить использование уязвимой функции. Список возможных причин см. в FAQ . Примечание. Информация основана на зонах управления, а не на таймфрейме.

Как это работает:

  • Если канал Snyk предоставляет информацию об уязвимой функции и включен мониторинг ЕдинымАгентом для уязвимых функций Java, ЕдиныйАгент определяет, используется ли уязвимая функция. Пример:
  • Если канал Snyk предоставляет информацию об уязвимой функции, но функция ЕдиногоАгента отключена, количество уязвимых функций отображается как Недоступно . Пример:

Инструкции см. в разделе Включение мониторинга уязвимых функций Java с помощью ЕдиногоАгента.

Оценка безопасности по ИИ

Подробное представление о том, как рассчитывается показатель безопасности ИИ для открытой уязвимости : начиная с CVSS от Snyk, ИИ проверяет, затронуты ли общедоступные данные в Интернете или доступные данные, и если да, то в какой степени. Затем оценка корректируется соответствующим образом на основе расчетов искусственного интеллекта.

Доступные активы данных

Пять последних служб базы данных, к которым обращались затронутые процессы, содержащие обнаруженную уязвимость, за последний час. Выберите Просмотреть все , чтобы перейти к Базам данных . Информацию о том, как отслеживать производительность базы данных, см. в разделе Базы данных .

Эволюция уязвимости

  • Статус: текущий статус уязвимости. Отображается следующая информация:
    • Для открытых уязвимостей:
      • Текущий уровень риска и оценка (например, Critical risk vulnerability: 10.0) и время, когда уязвимость была открыта (например, Opened 121 d 22 h ago (December 12 14:38)).
      • Оценка безопасности по ИИ по сравнению с базовой оценкой (CVSS).
      • Текущая оценка риска (например, Exposed to public internet).
      • Количество затронутых процессов (например, 1 affected process (in 168 process groups)) или, в случае уязвимостей Kubernetes, затронутых узлов (например, 1 affected node).
    • Для устраненных уязвимостей:
      • Текущий статус и время устранения уязвимости.
  • Последние события: последние пять изменений статуса уязвимости за последние 30 дней. Возможные изменения статуса происходят, когда
    • Уязвимость открыта, устранена или повторно открыта. Отображает изменение статуса (например, Vulnerability resolved), время, когда произошло изменение, и оценку риска (для повторно открытых уязвимостей).
    • Уязвимость скрыта или включена. Отображает пользователя, выполнившего изменение, причину изменения, любые комментарии и дату внесения изменения.

Выберите Показать больше , чтобы увидеть следующие пять изменений статуса уязвимости.

Связанные объекты

Количество объектов (приложений, служб, хостов, баз данных, рабочих нагрузок Kubernetes или кластеров Kubernetes), которые так или иначе связаны с выявленной уязвимостью, за последний час, со ссылками на страницу сведений о связанных объектах:

  • Приложения: приложения, которые вызывают уязвимую службу, или приложения, которые вызывают неуязвимую службу, которая вызывает уязвимую службу.
    • Ограничения: При определении связанных приложений распределенные трассировки Ключ-АСТРОМ PurePath® не анализируются.
  • Службы. Службы, которые работают непосредственно в уязвимом экземпляре группы процессов.
  • Хосты: хосты, на которых работает уязвимый процесс.
  • Базы данных: базы данных, которые работают в уязвимом процессе.
  • Рабочие нагрузки Kubernetes: в средах Kubernetes — рабочие нагрузки, к которым относится уязвимый процесс.
  • Кластеры Kubernetes: в средах Kubernetes — кластеры, к которым принадлежит уязвимый процесс.

Разделы «Рабочие нагрузки Kubernetes» и «Кластеры Kubernetes» отображаются только в том случае, если обнаружены рабочие нагрузки или кластеры Kubernetes.

Примечание. На отображаемые связанные объекты могут влиять

  • Правила мониторинга безопасности
  • Зоны управления
  • Временные рамки

Уязвимые компоненты

Имя и описание библиотек, непосредственно затронутых обнаруженной уязвимостью, а также количество затронутых процессов за последний час.

Связанное изображение контейнера

Пять самых популярных связанных образов контейнеров (имя образа и идентификатор) за последний час, отсортированные по количеству затронутых процессов.

Эта информация отображается только при обнаружении контейнеров.

Обзор группы процессов

Отображает следующую информацию за последний час:

Группы процессов

  • Всего групп процессов: общее количество групп процессов, связанных (затронутых, устраненных и скрытых) с выявленной уязвимостью. Он ссылается на страницу обзора связанных групп процессов.
  • Затронутые группы процессов: количество затронутых групп процессов и процент затронутых групп процессов от общего числа связанных групп процессов. Он ссылается на страницу обзора связанных групп процессов, отфильтрованных по Status: Affected.
    • Затронутая группа процессов — это группа процессов, содержащая уязвимую библиотеку или среду выполнения.
    • Затронутые группы процессов рассчитываются глобально. Фильтрация зоны управления не применяется.
    • Количество затронутых групп процессов соответствует общему количеству только в том случае, если все функции во всех используемых версиях программных компонентов уязвимы. Пример Программный компонент Aподвержен уязвимости Xв версиях 1и 2. Функция f1уязвима только в версии 1. Есть две группы процессов:
    • Группа процессов PG1использует программный компонент A.1, в состав которого входит уязвимая функция f1.
    • Группа процессов PG2использует программный компонент A.2, который не содержит ни одной уязвимой функции. В разделе Обзор групп процессов на странице сведений об уязвимости будет показана уязвимая функция f1с одной группой процессов ( PG1) In useи Not in use. PG2не рассматривается, т.к. в версии нет уязвимой функции 2.
  • Разрешенные группы процессов: количество затронутых групп процессов, которые были разрешены, и процент разрешенных групп процессов от общего числа связанных групп процессов. Он ссылается на страницу обзора связанных групп процессов, отфильтрованных по Status: Resolved.
  • Группы отключенных процессов: количество затронутых групп процессов, которые были отключены, и процентная доля отключенных групп процессов от общего числа связанных групп процессов. Он ссылается на страницу обзора связанных групп процессов, отфильтрованных по Status: Muted.
  • График, показывающий затронутые, разрешенные и отключенные группы процессов, отмеченные разными цветами.

Процессы

  • Всего процессов: общее количество процессов (затронутых и незатронутых) из групп процессов, в которых затронут хотя бы один процесс.
  • Затронутые процессы: количество затронутых процессов. Примечание. Затронутый процесс — это процесс, содержащий уязвимую библиотеку или среду выполнения. Он может быть выставлен в общедоступный Интернет или нет.
  • Exposed: количество затронутых процессов, которые доступны в общедоступном Интернете, и процент незащищенных процессов от общего числа затронутых процессов.

Наиболее уязвимые группы процессов

Списки и ссылки на первые пять групп процессов, отсортированные по статусу ( Affected, затем Resolved, а затем Muted) и количеству затронутых процессов из общего числа процессов в соответствующей группе процессов, а также указывает, есть ли какое-либо публичное раскрытие или есть ли какие-либо доступные активы данных. Выберите Просмотреть все группы процессов , чтобы перейти на страницу обзора групп процессов, связанных с уязвимостью.

Часто задаваемые вопросы

  • Почему нет данных об уязвимых функциях?
    • Ниже приведены возможные причины, по которым на странице сведений об сторонних уязвимостях , в инфографике ключевых функций и в разделе сведений об уязвимостях для уязвимых функций отображается статус Недоступно .
      • После того, как вы включите стороннюю аналитику уязвимостей , пройдет некоторое время (максимум один час), пока не отобразятся данные об уязвимых функциях.
      • Мониторинг ЕдинымАгентом для уязвимых функций Java отключен. Чтобы включить его, см. раздел Включение мониторинга ЕдинымАгентом для уязвимых функций Java . Примечание. Функция ЕдиногоАгента должна быть включена для всех процессов, затронутых уязвимостью.
      • Версия ЕдиногоАгента устарела. Примечание. Версия ЕдиногоАгента должна быть обновлена ​​для всех процессов, затронутых уязвимостью.
      • В релизной версии используемых сторонних библиотек (программных компонентов) отсутствуют уязвимые функции уязвимости.
      • Лента Snyk не предоставляет уязвимых функций.