Инструмент для определения поверхности атаки Natch
Документация и поддержка | В реестре российского ПО | Оформить лицензию
Natch − это инструмент для определения поверхности атаки, основанный на полносистемном эмуляторе Qemu. Использует технологии анализа помеченных данных, интроспекции виртуальных машин и детерминированного воспроизведения.
Основная функция Natch — получение поверхности атаки, то есть поиск исполняемых файлов, динамических библиотек, а также функций, отвечающих за обработку входных данных (файлов, сетевых пакетов) во время выполнения задачи. Собранные данные визуализируются в графическом интерфейсе Snatch, входящем в поставку инструмента.
Natch построен на базе полносистемного эмулятора QEMU, что позволяет анализировать все компоненты системы, включая ядро ОС и драйверы. Важное преимущество Natch – объединение ключевых возможностей аналогов в одном инструменте.
Построение поверхности атаки может быть встроено в CI/CD для интеграционного и системного тестирования. Уточненная поверхность атаки позволяет поднять эффективность технологий функционального тестирования и фаззинга в жизненном цикле безопасного ПО.
Схема применения Natch:
- Natch записывает сценарий работы аналитика в виртуальной машине;
- аналитик помечает входящий сетевой трафик или обращения к определённым файлам;
- Natch воспроизводит записанный сценарий работы и отслеживает распространение помеченных данных;
- полученные отчёты аналитик просматривает в графическом интерфейсе SNatch.
Данные, собираемые Natch:
- поверхность атаки: набор процессов, модулей и функций, которые обрабатывали помеченные данные во время выполнения тестового сценария;
- граф потоков помеченных данных через процессы и модули по всей системе;
- покрытие бинарного кода;
- трасса обращений к помеченным данным;
- трасса вызовов функций с диапазонами адресов помеченных данных;
- лог сетевых пакетов в формате pcap.
Возможности графического интерфейса SNatch:
- Интерактивный граф взаимодействия процессов, работавших с помеченными данными. Можно отслеживать потоки данных во времени и упорядочивать элементы схемы удобным для аналитика образом.
- Временная диаграмма процессов, работавших в системе. Отдельно выделяются процессы, взаимодействующие с помеченными данными или имеющие повышенные привилегии (например, запущенные с правами root).
- Стек вызовов помеченных функций с разделением по процессам.
- Интерактивная Flame-диаграмма процессов с цветовым дифференцированием помеченных и непомеченных функций.
Для кого предназначен Natch?
- Отечественные компании-разработчики безопасного программного обеспечения.
- Испытательные лаборатории и органы по сертификации.
Поддерживаемые платформы и архитектуры
- Системные требования инструмента Natch: ОС Linux x86-64, ОЗУ не менее 16 Гбайт, рекомендуется не менее 200 Гбайт дискового пространства.
- Целевые процессорные архитектуры: x86-64.
- Целевые ОС: семейство Linux (любые версии ядер), FreeBSD последних версий.
Опыт внедрения
Инструмент поверхности атаки Natch распространяется в сообществе для пробного использования и тестирования, а также применяется для целевого обучения и повышения квалификации.
Схема работы
Документация
Краткое руководство пользователя
Справочный центр «Инструмент определения поверхности атаки «Natch»
Багтрекер (по вопросам создания учетной записи напишите по адресу natch@ispras.ru)
По вопросам использования обращайтесь по адресу: natch@ispras.ru или в Telegram-чат https://t.me/ispras_natch.
Разработчик/участник
Перейти к списку всех технологий