MASC

Magic Automatic Software Checker

Het controleren van kwetsbaarheden (CVE’s) in Open Source is een tijdrovend proces dat veelal handmatig gebeurt en bovendien er voor zorgt dat mogelijke kwetsbaarheden (te) laat ontdekt worden.

Het ‘uitbesteden’ van dit proces is risicovol, omdat kritische informatie over software en versies in verkeerde handen kan komen.

Met gebruik van de MASC (Magic Automatic Source Checker) kunnen organisaties wél veilig automatisch controleren of er kwetsbaarheden zoals CVE’s van toepassing zijn op hun software, zonder dat hier misbruik van gemaakt kan worden.

De MASC draait op één hardware appliance en kent vier verschillende stappen. De MASC zoekt continu veilig, anoniem en volledig automatisch op nieuwe kwetsbaarheden zodat deze direct geanalyseerd kunnen worden. 

Unieke kenmerken

Stap 1 – anoniem binnenhalen CVE database

De CVE database wordt in zijn geheel gedownload en in een FTP klaar gezet om verstuurd te worden. 

Door de volledige CVE database op te vragen is het voor kwaadwillende onmogelijk om te achterhalen welke software er gebruikt wordt die mogelijk getroffen zijn en blijft de software van de gebruiker anoniem.

 

Stap 2 – Veilige data communicatie

De MagiCtwin Diode kent een TX- en RX zijde. Op de TX zijde wordt de CVE database klaargezet in een FTP bestand en verstuurd naar de RX zijde. De RX zijde stuurt deze vervolgens automatisch door naar de juiste FTP server.

Indien gewenst kan de RX zijde de data ook klaarzetten en pas versturen als de gebruiker hiervoor toestemming geeft.

Het is fysiek onmogelijk om data van RX – TX te verzenden.

 

Stap 3 – Controleren op nieuwe CVE’s

In deze stap wordt de CVE database vergeleken met de eigen opgestelde database, waarin aangegeven staat welke Open Source software en versies er door de eigen producten worden gebruikt.

Nadat de CVE database naar het offline component is gehaald, wordt allereerst de nieuwste versie vergeleken met de laatst bekende versie op updates. Enkel de nieuwe CVE’s worden vergeleken met de eigen database, zodat het zoekproces niet onnodig vertraging oploopt.

 

Stap 4 – Push melding naar juiste netwerk / persoon

Indien er een nieuwe CVE is gevonden die van toepassing is op de eigen ontwikkelde software, wordt er direct een push melding, afhankelijk van de instellingen, naar de verantwoordelijke persoon of netwerk  verstuurd.

Deze verantwoordelijk kan vervolgens de CVE analyseren en vulnerability verhelpen. 

 

Referenties

Opdrachtsgevers waar wij voor werken.