Лекция 3.Сетевые сканеры безопасности
План:
Типы сканеров уязвимостей
Программное обеспечение
Сетевые сканеры безопасности: возможности, принцип работы и передовые решения
Типы сканеров уязвимостей
Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.
Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.
Работу сканера уязвимостей можно разбить на 4 шага:
1. Обычно, сканер сначала обнаруживает активные IP-адреса, открытые порты, запущенную операционную систему и приложения.
2. Составляется отчёт о безопасности (необязательный шаг).
3. Попытка определить уровень возможного вмешательства в операционную систему или приложения (может повлечь сбой).
4. На заключительном этапе сканер может воспользоваться уязвимостью, вызвав сбой операционной системы или приложения.
Сканеры могут быть вредоносными или «дружественными». Последние обычно останавливаются в своих действиях на шаге 2 или 3, но никогда не доходят до шага 4.
Среди сканеров уязвимостей можно выделить:
· Сканер портов
· Сканеры, исследующие топологию компьютерной сети
· Сканеры, исследующие уязвимости сетевых сервисов
· Сетевые черви
· CGI-сканеры ("дружественные" — помогают найти уязвимые скрипты)
Программное обеспечение
Десятка лучших по мнению insecure.org сканеров уязвимости
1. Nessus: Оценка уязвимостей под UNIX
2. GFI LANguard: Коммерческий сканер сетевых уязвимостей под Windows
3. Retina: Коммерческий сканер для оценки уязвимостей
4. Core Impact: Автоматизированный продукт для тестирования несанкционированных проникновений в систему
5. ISS Internet Scanner: Оценка уязвимостей на уровне приложений
6. X-scan: Сканер для исследования сетевых уязвимостей
7. Sara: Security Auditor’s Research Assistant
8. QualysGuard: Сканер уязвимостей (веб-сервис)
9. SAINT: Security Administrator’s Integrated Network Tool
10. MBSA: Microsoft Baseline Security Analyzer
Прочие известные сканеры уязвимостей:
· XSpider
· OpenVAS
· ERPScan сканер безопасности SAP
· SurfPatrol
· COMPLAUD
· RedCheck
Сетевые сканеры безопасности: возможности, принцип работы и передовые решения
KEEPKEYS
Система KeepKeys направлена на защиту корпоративных данных, разграничение доступов и управление паролями каждого сотрудника.
Чтобы минимизировать вероятность взлома сайта и кражи данных, стоит задуматься о системе защиты паролей.
Разграничение доступа и грамотное управление паролями каждого сотрудника может помочь обеспечить защиту веб-ресурса.
Считается, что наиболее опасные внутрисетевые угрозы создаются самими сотрудниками.
Одним из важнейших этапов обеспечения информационной безопасности является идентификация потенциальных рисков. Большинство ИТ-специалистов знают, насколько может быть опасна «брешь» в ОС и приложениях. И чрезвычайно важно найти эти «дыры», или на языке профессионалов — уязвимости, прежде, чем ими смогут воспользоваться недоброжелатели. Для этой цели и были созданы сканеры безопасности.
Продвинутые специалисты по IT-безопасности используют в своей работе специализированное аппаратное или программное обеспечение, сканирующее сеть и ее устройства на предмет обнаружения слабых мест в системе безопасности. Это и есть сканеры уязвимости, или по-другому — безопасности, сети. Они проверяют используемые приложения, ищут «дыры», которыми могли бы воспользоваться хакеры, и предупреждают администратора о зонах риска системы. Грамотно используя сканер уязвимости сети, специалист может значительно усилить сетевую безопасность.
Таким образом, сетевые сканеры направлены на решение следующих задач:
· идентификация и анализ уязвимостей;
· инвентаризация ресурсов, таких как операционная система, программное обеспечение и устройства сети;
· формирование отчетов, содержащих описание уязвимостей и варианты их устранения.
Сканер локальной сети — жизненно необходимое средство для компаний, чья деятельность напрямую связана с хранением и обработкой уникальных баз данных, конфиденциальной информации, ценных архивов. Без сомнения, сканеры сети необходимы организациям в сферах обороны, науки, медицины, торговли, IT, финансов, рекламы, производства, для органов власти и диспетчерских служб — словом, везде, где нежелательна или даже опасна утечка накопленной информации, имеются базы персональных данных клиентов.
Сканеры уязвимостей сети при своей работе используют два основных механизма. Первый — зондирование — не слишком оперативен, но точен. Это механизм активного анализа, который запускает имитации атак, тем самым проверяя уязвимость. При зондировании применяются методы реализации атак, которые помогают подтвердить наличие уязвимости и обнаружить ранее не выявленные «провалы».
Второй механизм — сканирование — более быстрый, но дает менее точные результаты. Это пассивный анализ, при котором сканер ищет уязвимость без подтверждения ее наличия, используя косвенные признаки. С помощью сканирования определяются открытые порты и собираются связанные с ними заголовки. Они в дальнейшем сравниваются с таблицей правил определения сетевых устройств, ОС и возможных «дыр». После сравнения сетевой сканер безопасности сообщает о наличии или отсутствии уязвимости.
В общем случае алгоритм работы сканеров следующий:
· Проверка заголовков. Самый простой и быстрый способ на основе сканирования, однако имеющий ряд недостатков. Так, вывод о «провале» делается лишь по результатам анализа заголовков. К примеру, проверяя FTP-сервер, сканер узнает версию обеспечения и на основе этой информации сообщает о возможных уязвимостях. Естественно, специалисты по сетевой безопасности осведомлены о ненадежности этого метода, однако как первый шаг сканирования — это оптимальное решение, не приводящее к нарушению работы сети.
· Активные зондирующие проверки (active probing check). Это сканирование, при котором не проверяется версия ПО, а сравнивается «цифровой слепок» фрагмента программы со «слепком» уязвимости. По тому же принципу действуют антивирусные программы, сравнивая ПО с имеющимися в базе сигнатурами вирусов. Тоже достаточно быстрый метод, хотя и медленнее первого, с большим коэффициентом надежности.
· Имитация атак (exploit check). Это зондирование, которое эксплуатирует дефекты в программном обеспечении. Таким образом подается своеобразный импульс некоторым уязвимостям, которые не заметны до определенного момента. Эффективный метод, однако применить его можно не всегда. Так, вероятна ситуация, когда даже имитируемая атака просто отключит проверяемый узел сети.
Большинство современных сканеров безопасности сети работает по нижеперечисленным принципам:
· сбор информации о сети, идентификация всех активных устройств и сервисов, запущенных на них;
· обнаружение потенциальных уязвимостей;
· подтверждение выбранных уязвимостей, для чего используются специфические методы и моделируются атаки;
· формирование отчетов;
· автоматическое устранение уязвимостей. Не всегда данный этап реализуется в сетевых сканерах безопасности, но часто встречается в сканерах системных. Существует возможность создания резервного сценария, который может отменить произведенные изменения, — например, если после устранения уязвимости будет нарушено полноценное функционирование сети.
Тем не менее каждый сканер из множества представленных сейчас на рынке выделяется своими функциями и возможностями. О них мы и поговорим далее.
Возможности современных программных решений
Одним из главных требований к современным сетевым сканерам уязвимостей, помимо собственно безопасности, является поддержка различных операционных систем. Большинство популярных сканеров — кроссплатформенные (включая мобильные и виртуальные ОС).
Сканеры сети исследуют сразу несколько портов, что снижает время на проверку. И конечно, сканер должен проверить не только операционную систему, но и программное обеспечение, особое внимание уделяя популярным в хакерской среде продуктам Adobe Flash Player, Outlook, различным браузерам.
К полезной функции сканеров нужно отнести и проверку раздробленной сети, что избавляет администратора от необходимости оценивать каждый узел в отдельности и несколько раз задавать параметры сканирования.
Современные сканеры просты в использовании, их работу можно настроить в соответствии с потребностями сети. Например, они позволяют задать перечень проверяемых устройств и типов уязвимостей, указать разрешенные для автоматического обновления приложения, установить периодичность проверки и предоставления отчетов. Получив подробный отчет об уязвимостях, одним нажатием кнопки можно задать их исправление.
Из дополнительных возможностей стоит выделить анализ «исторических» данных. Сохраненная история нескольких сканирований позволяет оценить безопасность узла в определенном временном интервале, оптимально настроить работу программного и аппаратного обеспечения.
Историческая справка
Первый сканер уязвимостей сети появился более 20-ти лет назад, в 1992 году. Он носил имя SATAN и поначалу встретил огромное сопротивление специалистов, не понимающих его истинного предназначения. С тех пор технологии шагнули далеко вперед: сканеры, в отличие от «прародителя», стали кроссплатформенными, менее требовательными к системным ресурсам, более простыми в установке и использовании.