Runtime Vulnerability Analytics

Что вы найдёте на этой странице

• Обзор возможностей Runtime Vulnerability Analytics
• Как RVA обнаруживает и оценивает уязвимости во время выполнения
• Предварительные требования
• Поддерживаемые технологии
• Как включить и настроить RVA
• Что дальше делать с RVA
• Лицензирование RVA

Dynatrace Runtime Vulnerability Analytics позволяет обнаруживать, визуализировать, анализировать, отслеживать и устранять уязвимости в открытом исходном коде и сторонних компонентах, а также уязвимости безопасности в библиотеках и первичном коде в производственных и предпроизводственных средах во время выполнения.

Возможности

• Автоматическая и непрерывная защита. Dynatrace непрерывно наблюдает за производственными и предпроизводственными средами для выявления любых изменений в средах приложений (таких как динамика контейнеров, эластичное масштабирование, многоверсионные развёртывания, обновления контейнеров во время выполнения, откаты, A/B-тесты или сине-зелёные развёртывания) и предоставляет точные ответы об источнике, характере и серьёзности уязвимостей по мере их возникновения в реальном времени. Dynatrace автоматически анализирует и приоритизирует оповещения.
• Непрерывный анализ векторов атак для автоматического отслеживания вызова и использования уязвимых библиотек во время выполнения. Dynatrace Application Security разработана для выявления наиболее релевантных уязвимостей и снижения числа ложноположительных результатов с помощью топологического картирования Smartscape в реальном времени и распределённой трассировки с анализом кода PurePath®.
• Подход с интроспекцией во время выполнения в сочетании со Snyk и NVD для автоматического обнаружения уязвимостей во время выполнения. Даже если проверки безопасности не интегрированы в конвейеры всех команд или намеренно обходятся, Dynatrace может определить, что запущено, и мгновенно выявить уязвимости, автоматически открывая уязвимость при её обнаружении и закрывая, когда первопричина (например, загрузка уязвимой библиотеки) больше не присутствует.
• Полное покрытие откатов в продакшене и устаревших релизов, флагов функций и паттернов развёртывания (канарочное, сине-зелёное).
• Эффективное управление уязвимостями, для которых исправление не принесло результата, например, если уязвимость случайно повторно введена во время отката или обновления не применены корректно.
• Точная и автоматическая оценка рисков и воздействия с приоритизацией рисков по пути доступа к данным и фактическому производственному выполнению. Из сотен или тысяч открытых уязвимостей Dynatrace Application Security позволяет определить те, которые требуют немедленного расследования. Она автоматически анализирует пути доступа к данным и производственное выполнение для более точной оценки рисков и воздействия.

Как это работает

Runtime Vulnerability Analytics (RVA) обнаруживает и оценивает уязвимости в вашей среде на основе того, что фактически выполняется, а не только того, что развёрнуто. Dynatrace OneAgent в реальном времени отслеживает загруженные библиотеки, компоненты среды выполнения и потоки данных. Уязвимости сообщаются только в том случае, когда затронутые компоненты активно используются, что снижает шум и количество ложноположительных результатов.

• Для уязвимостей в сторонних компонентах Dynatrace:

• Обнаруживает библиотеки и компоненты среды выполнения по мере их загрузки процессами.

• Сопоставляет имена и версии компонентов с доверенными источниками информации об уязвимостях.
• Сообщает об уязвимости только тогда, когда компонент используется.

• Для уязвимостей на уровне кода Dynatrace:

• Анализирует, как пользовательский ввод проходит через приложение.

• Выявляет небезопасные пути кода, которые могут быть эксплуатированы.
• Оценивает риск на основе доступности из публичного интернета и доступа к конфиденциальным ресурсам данных.

Уязвимости автоматически устраняются, когда первопричина больше не присутствует; например, если уязвимая библиотека удалена или процесс остановлен. RVA непрерывно адаптируется к изменениям топологии и динамическим средам.

Технические подробности см. в разделе Оценка уязвимостей. Краткий обзор см. в статье Откройте для себя новый опыт работы с Dynatrace Runtime Vulnerability Analytics.

Предварительные требования

Перед началом работы убедитесь, что ваша среда соответствует необходимым требованиям:

• Вы используете поддерживаемую версию Dynatrace. Ознакомьтесь с примечаниями к выпуску для получения информации о поддерживаемых версиях.
• Для правильной работы Runtime Vulnerability Analytics убедитесь, что в разделе Настройки > Обработка и контекстуализация > Группы процессов > Мониторинг групп процессов включён глубокий мониторинг.

Для технологий .NET, Go и Python, для которых автоматический глубокий мониторинг отключён, необходимо вручную включить глубокий мониторинг на каждом хосте. Подробнее см. в разделе Глубокий мониторинг процессов.

Разрешения (устарело)

Этот раздел разрешений относится к классическим приложениям Third-Party Vulnerabilities и Security Overview, которые устарели. Если вы используете новейший интерфейс Dynatrace, обратитесь к [требованиям Vulnerabilities].

Подробнее см. в Руководстве по обновлению Vulnerabilities.

Настройка необходимых разрешений

Назначьте группу Security admin пользователям, которым будет разрешено просматривать уязвимости и управлять ими.

Для назначения разрешения Security admin

1. Перейдите в Управление аккаунтом > Управление удостоверениями и доступом > Пользователи. Доступны следующие варианты.

Добавить существующего пользователя

Добавить нового пользователя

Добавить существующего пользователя

Добавить нового пользователя

Чтобы добавить существующего пользователя в группу

1. В разделе Действия выберите > Редактировать пользователя для нужного пользователя.
2. Выберите Security admin, затем нажмите Сохранить.

Чтобы добавить нового пользователя в группу

1. Выберите Пригласить пользователя.
2. Введите необходимые данные, затем нажмите Далее.
3. Выберите Security admin, затем нажмите Далее > Пригласить.

Подробнее об управлении разрешениями пользователей см. в разделе Управление группами пользователей и разрешениями.

Настройка доступа

Необязательно

По умолчанию после включения группы Security admin пользователи могут как просматривать уязвимости, так и управлять ими. Чтобы ограничить уровень доступа до «только просмотр» для определённых пользователей (они смогут просматривать уязвимости, но не управлять ими — не смогут изменять их статус), есть два варианта:

Ограничить доступ существующей группы

Создать новую группу с ограниченным доступом

Ограничить доступ существующей группы

Создать новую группу с ограниченным доступом

Чтобы ограничить доступ существующей группы на уровне среды или зоны управления

1. Перейдите в Управление аккаунтом > Управление удостоверениями и доступом > Управление группами.
2. Отфильтруйте по Security admin и в разделе Действия выберите > Просмотреть группу.
3. В разделе Разрешения нажмите Редактировать. Доступны следующие варианты.

1. Настройка по среде

1. Выберите Разрешения среды.
2. Выберите вашу среду, затем снимите отметку Управление проблемами безопасности и выберите Просмотр проблем безопасности.
3. Нажмите Сохранить.

2. Настройка по зоне управления

1. Выберите Разрешения зоны управления.
2. Найдите и выберите нужную зону управления.
3. Снимите отметку Управление проблемами безопасности и выберите Просмотр проблем безопасности.
4. Нажмите Сохранить.

Чтобы создать новую группу с ограниченным доступом на уровне среды или зоны управления

1. Перейдите в Управление аккаунтом > Управление удостоверениями и доступом > Управление группами.
2. Выберите Создать группу.
3. Введите имя и описание группы, затем нажмите Далее. Доступны следующие варианты.

1. Настройка по среде

1. Выберите Разрешения среды.
2. Выберите вашу среду, затем выберите Просмотр проблем безопасности.
3. Нажмите Далее > Далее, затем выберите Создать группу.

2. Настройка по зоне управления

1. Выберите Разрешения зоны управления.
2. Найдите и выберите нужную зону управления, затем выберите Просмотр проблем безопасности.
3. Нажмите Далее > Далее, затем выберите Создать группу.

Поддерживаемые технологии

Обнаружение уязвимостей в сторонних компонентах

Обнаружение уязвимостей на уровне кода

Dynatrace обнаруживает уязвимости в сторонних компонентах для следующих технологий.

Технология	Минимальная версия OneAgent
Go1	1.245
Java2	1.221
Среды выполнения Java	1.253
Kubernetes	1.219
.NET1	1.233
Среды выполнения .NET	1.255
Node.js3	1.231
Среды выполнения Node.js	1.253
PHP	1.231
Python1'4	1.309
Среды выполнения Python	1.309

1

Для технологий .NET, Go и Python, для которых автоматический глубокий мониторинг отключён, необходимо вручную включить глубокий мониторинг на каждом хосте. Подробнее см. в разделе Глубокий мониторинг процессов.

2

Java на z/OS в настоящее время не поддерживается.

3

Использование Webpack или других сборщиков может повлиять на автоматическое обнаружение уязвимостей. Это связано с тем, что программные компоненты не могут быть обнаружены, так как они скрыты за конфигурацией сборщика и недоступны во время выполнения. Могут быть обнаружены и включены в отчёт только пакеты, развёрнутые как внешние. Подробнее см. в разделе Node.js: Ограничения.

4

Для уязвимостей Python Dynatrace в настоящее время поддерживает только два состояния достижимых ресурсов данных: Within range (В зоне доступности) и Not available (Недоступно).

Dynatrace обнаруживает уязвимости на уровне кода для следующих технологий.

Технология	Минимальная версия OneAgent
Java 8 или выше1	1.259
.NET2'3	1.289
Go3	1.311

1

Поддерживается только в системах Windows x86 и Linux x86.

2

Поддерживаются только .NET Framework 4.5, .NET Core 3.0 или выше и 64-битные процессы.

3

Для технологий .NET и Go, для которых автоматический глубокий мониторинг отключён, необходимо вручную включить глубокий мониторинг на каждом хосте. Подробнее см. в разделе Глубокий мониторинг процессов.

Обнаружение уязвимостей на уровне кода также поддерживается для серверных частей, использующих ORM баз данных.

Начало работы

• Обнаружение уязвимостей в сторонних компонентах помогает выявлять уязвимости в открытом исходном коде и сторонних компонентах в производственных и предпроизводственных средах во время выполнения. Для мониторинга уязвимостей в сторонних компонентах включите обнаружение уязвимостей в сторонних компонентах.
• Обнаружение уязвимостей на уровне кода использует инспекцию кода во время выполнения для выявления уязвимостей в библиотеках и первичном коде. Для мониторинга уязвимостей на уровне кода включите обнаружение уязвимостей на уровне кода.

Включение обнаружения уязвимостей в сторонних компонентах

Включение обнаружения уязвимостей на уровне кода

Версия OneAgent 1.239+

1. Включение Third-party Vulnerability Analytics

Перейдите в Настройки > Анализ и оповещение > Application security > Общие настройки > Third-party Vulnerability Analytics и выберите Включить Third-party Vulnerability Analytics.

2. Настройка глобального контроля обнаружения уязвимостей в сторонних компонентах

Для определения контроля обнаружения уязвимостей в сторонних компонентах по умолчанию для всех процессов и узлов Kubernetes

Перейдите в Настройки > Анализ и оповещение > Application security > Общие настройки > Third-party vulnerability Analytics и выберите один из режимов Глобального контроля обнаружения уязвимостей в сторонних компонентах:

• Monitor — уязвимости в сторонних компонентах фиксируются.
• Do not monitor — уязвимости в сторонних компонентах игнорируются.

Вы также можете определять пользовательские правила мониторинга на основе определённых критериев. В этом случае режим мониторинга по умолчанию применяется ко всем процессам и узлам Kubernetes, не охватываемым правилом.

3. Контроль по технологии

Необязательно

После включения Third-party Vulnerability Analytics Dynatrace по умолчанию начинает генерировать уязвимости для всех поддерживаемых технологий. Для управления тем, для каких технологий должны фиксироваться уязвимости

1. Перейдите в Настройки > Анализ и оповещение > Application security > Общие настройки > Third-party Vulnerability Analytics и включите или отключите технологии по мере необходимости.

Среды выполнения (например, среды выполнения Java, Node.js и .NET) привязаны к соответствующей основной технологии (например, Java и Node.js). Если основная технология отключена, соответствующая среда выполнения автоматически отключается. При включении основной технологии включение соответствующей среды выполнения является необязательным. 2. Нажмите Сохранить изменения.

4. Включение мониторинга Python

Этот шаг необходим только для мониторинга уязвимостей в технологии Python.

1. Включите мониторинг Dynatrace для Python: в разделе Настройки > Сбор и захват > Общие настройки мониторинга > Технологии мониторинга найдите Python и включите Мониторинг Python.
2. Включите мониторинг OneAgent: в разделе Настройки > Сбор и захват > Общие настройки мониторинга > Функции OneAgent найдите и включите Reporting программных компонентов Python, затем перезапустите процессы.

5. Включение мониторинга OneAgent для уязвимых функций Java

Необязательно

Для включения мониторинга OneAgent уязвимых функций Java

1. В разделе Настройки > Сбор и захват > Общие настройки мониторинга > Функции OneAgent найдите и включите Reporting уязвимых функций Java.
2. Нажмите Сохранить изменения.
3. Перезапустите процессы.

Подробнее об использовании функций см. в разделе Уязвимые функции.

Версия OneAgent 1.259+

1. Включение Code-level Vulnerability Analytics

1. Перейдите в Настройки > Анализ и оповещение > Application security > Общие настройки > Code-level Vulnerability Analytics и выберите Включить Code-level Vulnerability Analytics.
2. Перезапустите процессы.

Code-level Vulnerability Analytics разработана с учётом производственной производительности. Накладные расходы зависят от приложения, но в большинстве случаев незначительны.

2. Настройка глобального контроля обнаружения уязвимостей на уровне кода

Для определения контроля обнаружения уязвимостей на уровне кода по умолчанию для всех групп процессов

1. Перейдите в Настройки > Анализ и оповещение > Application security > Общие настройки > Code-level Vulnerability Analytics и выберите глобальный контроль обнаружения уязвимостей на уровне кода для каждой технологии:

2. Monitor — уязвимости на уровне кода в выбранной технологии фиксируются.

3. Do not monitor — уязвимости на уровне кода в выбранной технологии игнорируются.

Вы также можете определять пользовательские правила мониторинга на основе определённых групп процессов. В этом случае пользовательские правила переопределяют глобальный контроль обнаружения для выбранной технологии, и Runtime Vulnerability Analytics продолжает отслеживать уязвимости на уровне кода в соответствии с вашими правилами.

1. Нажмите Сохранить изменения.
2. Перезапустите процессы.

3. Включение мониторинга OneAgent

1. Перейдите в Настройки > Сбор и захват > Общие настройки мониторинга > Функции OneAgent.
2. Отфильтруйте по code-level vulnerability evaluation и включите функцию для нужных технологий.
3. Нажмите Сохранить изменения.
4. Перезапустите процессы.

Версия OneAgent 1.309 Для обнаружения уязвимостей SSRF на уровне кода необходимо также включить оценку уязвимостей SSRF на уровне кода. Инструкции приведены ниже.

1. Перейдите в Настройки > Сбор и захват > Общие настройки мониторинга > Функции OneAgent.
2. Найдите и включите Java SSRF code-level vulnerability and attack evaluation.
3. Нажмите Сохранить изменения.
4. Перезапустите процессы.

Дальнейшие шаги

После включения обнаружения уязвимостей в сторонних компонентах и на уровне кода вы можете

• Улучшать безопасность среды, быстро устраняя уязвимости и выполняя действия по исправлению с помощью Vulnerabilities.
• Настраивать правила мониторинга для уязвимостей в сторонних компонентах и правила мониторинга для уязвимостей на уровне кода.
• Проверять охват мониторинга и тенденции уязвимостей с помощью панели мониторинга Vulnerability coverage.

Подробнее об оценке уязвимостей в сторонних компонентах и на уровне кода в Dynatrace см. в разделе Оценка уязвимостей.

Потребление

Потребление Runtime Vulnerability Analytics зависит от вашей модели лицензирования Dynatrace:

• Dynatrace Platform Subscription (DPS), the licensing model for all Dynatrace capabilities."): измеряется в ГиБ·часах. Подробнее см. в разделе Расчёт потребления Runtime Vulnerability Analytics (RVA) (DPS) DPS capability is billed and charged.").
• Классическое лицензирование Dynatrace: измеряется в единицах Application Security (ASU). Подробнее см. в разделе Мониторинг Application Security (ASU).

Связанные темы

• FAQ по Application Security