Перейти к содержанию

Аудит безопасности: когда и чем проводить?


Рекомендуемые сообщения

Аудит безопасности: когда и чем проводить?

 

Если раньше при разработке информационной системы акцент делался на функциональность и полную поддержку бизнес-функций, то сейчас обладателей важной информации все больше волнуют вопросы защищенности. Но как проверить – безопасна ли ваша сеть? Насколько защищена она от внешних вторжений? Что предпринять для организации защиты конфиденциальной информации? Нужен серьезный аудит.

 

Весомая часть чувствительной информации компании так или иначе передается между компьютерами в сети, и в результате компрометация одного информационного ресурса может повлечь за собой негативные последствия для остальных частей системы. В мире нет ничего совершенного, программное обеспечение не исключение, а потому существует возможность обнаружения и использования той или иной ошибки в программе, которая станет лазейкой в сеть, защищенную самыми изощренными способами. Для проверки наличия уязвимостей в установленном сетевом программном обеспечении предназначены специальные системы - сканеры безопасности.

Средства для сетевого аудита

 

Не существует автоматизированных средств, позволяющих полностью исключить человеческий фактор, тем более, когда это касается аналитической работы. Есть большое количество программных продуктов, позволяющих провести аудит безопасности: сканеров безопасности. Сегодня на российском рынке наиболее сильные позиции занимают несколько продуктов сильно отличающихся по возможностям и стоимости.

 

Сканеры безопасности, распространенные в России

Название продукта Производитель Цена Архитектура

 

Internet Scanner Internet Security Systems (ISS) $9375 за 500 хостов, $12745 за 1 тыс. хостов Клиент-сервер (с ограничениями)

 

LanGuard GFI От $495 Нераспределенная

Nessus Open Source project Бесплатный Клиент-сервер

 

Shadow Security Scanner Safety Lab От $299 Нераспределенная

 

Xspider Positive Technologies От 7400 руб. Нераспределенная

 

Источник: CNews Analytics

 

Сканеры безопасности позволяют отыскать уязвимости в программном обеспечении компьютерных систем, а также указать на возможные решения проблемы и дать рекомендации по устранению лазеек. Кроме того, можно получить общую информацию об открытых портах, среди которых могут быть порты, не предоставляющие корпоративные сервисы. Зачастую, такие порты свидетельствуют об установленных программах с вредоносным кодом. Также сканеры позволяют проанализировать архитектуру сети, проследить ее конфигурацию, что тоже немаловажно при обеспечении компьютерной безопасности. Сегодня на «черном» интернет-рынке можно купить эксплойты для самых разных уязвимостей, в том числе и 0-day сплойты, а также оплатить услуги по проведению атак на указанные IP адреса. Именно, поэтому настолько важно устанавливать обновления программного обеспечения, связанные с безопасностью системы в целом и отдельного продукта в частности. Планирование и проведение аудита способно повысить уровень защищенности конфиденциальной информации компании за счет быстрой реакции на появление новых атакующих средств, использующих вновь найденные уязвимости.

Обзор сканеров безопасности

 

Сканер безопасности принадлежит к классу сигнатурных систем. Для определения уязвимости должна быть известна определенная последовательность действий и методов (сигнатура), с помощью которых она может быть эксплуатирована. Поэтому довольно важным критерием оценки служит количество внесенных в базу сигнатур, на основе которых ведется проверка защищенности. Лидером в этой категории является бесплатный проект Nessus.

 

Объем базы сигнатур ведущих сканеров безопасности

Сканер Примерное количество сигнатур в базе

ISS >1300

LanGuard нет данных

Nessus 10000

Shadow Security Scanner 4200

Xspider 5000

 

Источник: CNews Analytics

 

Число проверок прямо пропорционально времени поиска уязвимостей на исследуемом хосте. Правда, каждый производитель считает количество проверок по-разному. Так, у компании A одна проверка может включать несколько операций сравнения, а у компании B – только одну. Так что количественные оценки скорее носят маркетинговую ценность, нежели практическую. Зачастую проверки (audits) зависят друг от друга, а потому отключение одной может повлечь за собой бесполезность использования некоторых других. Кроме того, экстенсивные способы проверки не так часто определяют качество. Безусловно, приоритетнее использование эвристических алгоритмов, которые есть практически в каждом сканере.. Таким образом, качество сканирования может зависеть от многих факторов, и сказать по стандартному набору параметров, что лучше, нельзя.

Возможности современных продуктов

 

Сканирование включает в себя такие этапы как: определение ОС, идентификацию портов, идентификацию служб (сервисов) и проверку на уязвимость. Чем точнее будет определена операционная система, тем эффективнее пройдет сканирование в силу того, что большинство уязвимостей присутствует в программном обеспечении вполне определенной конфигурации. Например, Microsoft Windows XP в конфигурации по умолчанию будет более уязвима после установки, нежели OpenBSD, и этот факт должен быть определен на самом раннем этапе. Последнее позволяет избежать излишних попыток отыскать уязвимость форматной строки в FTP-сервере под Windows-систему, сканируя SCO Unix.

 

Идентификация может проводиться по самым разным признакам (OS fingerprinting):

 

Опрос служб. Большинство служб при подключении программы формирует «баннер» - некоторую служебную информацию, которая косвенно или напрямую свидетельствует об операционной системе. Эту информацию и может использовать сканер для идентификации ОС. Однако такая проверка ненадежна, поскольку администраторы с легкостью могут заменить отдаваемое службой «приветствие» на другой текст, что осложнит идентификацию.

 

Опрос стека TCP/IP. Реализации стека TCP/IP в разных операционных системах отличаются. Причем отличаются в мелочах по самым разным параметрам – будь то TTL по умолчанию или таймер повторной передачи в протоколе TCP. Признанным мастером идентификации по таким специфичным признакам является сканер портов nmap. Среди рассматриваемых сканеров схожим механизмом опроса стека пользуются Nessus, ISS, Xspider.

 

Анализ пакетов ICMP. Разные операционные системы обрабатывают ICMP-сообщения со своими отличительными особенностями, иногда они вовсе игнорируют их, а порой предлагают специфический ответ. Так, например, иногда системы Microsoft Windows 2000 и XP ведут себя абсолютно аналогично FreeBSD системам, но при этом разительно отличаются от Solaris.

 

В случае неоднозначности ответа при анализе только одного признака, необходимо использование комплексных проверок, лишь в этом случае можно гарантировать качество идентификации операционной системы сканером. Однако на практике наиболее распространены простые проверки – распознавание сервисов по баннерам, по ICMP сообщениям, а также по поведению при работе с нулевым портом. Сканер, не обладающий «генератором пакетов» (например, на основе raw-sockets или библиотеки libcap), априори не готов использовать изощренные способы проверок, а значит - не способен обеспечивать достаточную точность определения ОС. К тому же идентификация может быть осложнена административными мерами с помощью межсетевого экрана.

 

Когда операционная система опознана, можно приступать к поиску сервисов, т.е. программного обеспечения, открытого для сетевого общения. Количество портов довольно большое: 216 для TCP протокола и 216 для UDP, поэтому иногда стоит проводить «интеллектуальное» сканирование. Здесь нет ничего хитрого, за большинством портов закреплены стандартные протоколы уровня приложений, например, HTTP – порт TCP:80, SMTP – порт TCP:25. Тем не менее, такое сканирование вполне оправдано, так как обычно те или иные ресурсы, создаваемые в компании, возникают для их последующего использования, что означает использование стандартных портов в угоду совместимости и легкости в настройке клиентских компьютеров. Все вышеперечисленные сканеры безопасности позволяют проводить как полное сканирование, так и по предопределенным портам. Для администратора безопасности процедура сканирования не должна занимать много времени, поэтому возможность быстрого и легкого создания профилей в зависимости от той или иной типовой ситуации является заметным преимуществом.

 

После обнаружения портов встает задача выяснения, какие службы работают на этих портах и сколько уязвимостей в них можно отыскать. Здесь используются методы, схожие с идентификацией ОС, а именно: проверка баннеров, отправка команд из арсенала различных протоколов прикладного уровня и «интеллектуальные» методы, распознающие по особенностям ответа службы в реализации той или иной ОС.

 

Тем не менее, не исследуя все порты, невозможно говорить о том, что вы не пропустили ни одного сервиса, порой удобнее и правильнее размещать сервисы на загадочных портах, именно поэтому погоня за скоростью может сказаться на качестве сканирования. Возможность поиска служб на нестандартных портах - интересная задача, требующая «интеллектуальности» от приложения, и она далеко не везде грамотно реализована. С ней довольно хорошо справляются сканеры Nessus, Xspider, Shadow Security Scanner.

 

В случае, если сканер используется для проверки работы корпоративной системы защиты от вторжений (IDS/IPS), скорость сканирования может сыграть злую шутку. Для корректной работы сканер должен обладать stealth-режимом, например, реализованным с помощью фрагментации IP-пакетов или длительными задержками между этапами сканирования. В этом плане очень интересен продукт Nessus, который, как и все ПО в Unix-системах, обладает большим потенциалом для настройки и адаптации под конкретные нужды. Nessus очень гибкий и масштабируемый продукт, кроме того, его возможности легко расширяются за счет написания собственных проверок на языке NASL.

 

Сканер должен уметь не только идентифицировать открытые порты, но и распознавать службы, закрепленные за ними. Причем после распознавания ОС, появляется возможность существенно сузить область поиска уязвимостей. Процесс идентификации играет немаловажную роль, он должен исключать дальнейшие проверки, не относящиеся к данному программному продукту, что влечет выигрыш времени сканирования. Безусловно, идентификация - важнейший этап, но он бессмыслен без самих проверок уязвимостей.

 

Эффективность поиска уязвимостей зависит от техподдержки

 

Существует несколько видов уязвимостей: опубликованные, неопубликованные, уязвимости в конфигурации и в протоколах передачи данных. Уязвимости, находящиеся в открытом доступе, не должны оставаться незамеченными сканерами по определению, ведь именно поиск таковых является их первостепенной задачей. Обновления баз теоретически должны выпускаться незамедлительно после обнаружения уязвимости. Здесь ситуация полностью аналогична рынку антивирусов. Распознавание остальных видов уязвимостей также должно быть включено в стандартную практику техподдержки, но уже носит необязательных характер, хотя и необходимый на практике.

 

Результатом работы сканера являются специализированные отчеты, которые представляют собой перечень найденных уязвимостей. Первой проблемой при их обработке становится формат сохраненных данных. Их анализ становится затруднительным, если в исследуемой сети количество компьютеров превышает несколько десятков. В таком случае большим плюсом станет умение сканера сохранять отчеты в стандартных базах данных, которые могут быть использованы в распространенных СУБД (например, Oracle, MySQL, MS SQL Server и т.д.). Отчет в первую очередь должен быть полным, но легким в анализе, что отличает его от логов, которые могут дать более обширные сведения о ходе сканирования, хотя очень громоздки и неудобны для просмотра. Если при обнаружении серьезных уязвимостей сведений из отчета не хватает, то рекомендуется просматривать лог-файл для отыскания проблемы.

 

Как планировать аудит?

 

Каждый день можно наблюдать за появлением все новых и новых уязвимостей, причем, большая часть из них эксплуатируется уже после публичного обнаружения (выхода в свет Proof of Concept), а потому вендоры оказываются осведомлены о данной уязвимости и реагируют достаточно быстро, выпуская патчи. Подобная работа по анализу обнаруженных уязвимостей проводится и производителями сканеров безопасности, выпускающих обновления баз уязвимостей, а потому можно быть уверенным, что сканер сможет обнаружить стандартный набор эксплуатируемых ошибок в не зависимости от времени его эксплуатации.

 

Полезным свойством сканера становится возможность планирования сканирования заданных хостов, определенных до этого как наиболее важные с точки зрения исследования защищенности. Полноценное средство управления планированием реализовано не во всех сканерах, а лишь в Nessus, ISS, а также в Xspider. В больших сетях без этих функций не обойтись, иначе введение процедуры аудита защищенности программного обеспечения лишь осложнит обслуживание системы, не приведя к ожидаемым результатам.

 

Планирование процедур сканирования и их автоматизация приобретают значение в крупных сегментированных сетях, что позволяет проводить проверки с «разных сторон». Иногда межсетевые экраны настроены таким образом, что пропускают кадры определенного сегмента сети, а другие кадры с теми же параметрами, кроме адреса отправителя, отбрасывает. Другим ярким примером может стать сканирование демилитаризованной зоны, как снаружи, так и изнутри. В связи с этим распределенная архитектура сканера позволяет более гибко проводить оценку защищенности сети с самых разных позиций.

 

Наиболее полно и широко такая схема работы сканера реализована в Nessus, который изначально с момента своего появления создавался как клиент-серверное приложение. Распределенной архитектурой в определенной комплектации обладает ISS. Остальные сканеры пока не используют такое преимущество. В Xspider реализована функция планирования заданий, причем на этапе внедрения сканера можно составить профили разных объектов в сети и запланировать их сканирование с отправкой отчетов лицам, отвечающим за информационную безопасность того или иного объекта.

 

Аудит как средство защиты информации носит сугубо рекомендательный характер, другими словами, эта процедура не привносит изменений в саму систему. Однако анализ полученных данных позволяет говорить о мерах защиты от несанкционированного доступа к конфиденциальным ресурсам. Сканеры безопасности охватывают довольно обширную сферу проблем, поэтому благодаря их использованию можно не только искать уязвимые программы в сети, но и изменять политику безопасности, реагируя на обнаруженные проблемы.

 

Юрий Сергеев / CNews

Источник

Ссылка на комментарий
Поделиться на другие сайты

Nessus! И только он. Бесплатен, ставится одной командой, легко настраивается. Всегда его использую, видит все, систематически обновляется. Сервер можно вынести на удаленную машину на которой нет фаерволла. Результаты легко интерпретируются. Пример отчета правильно настроенного шлюза ("Независимость" - дилер Форд, Вольво, г. Москва, ул. П. Кочагина, 3 ). http://www.bruy.info/f/

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...