BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/books/icsa/chapter7/

Анализ уязвимостей

Введение

Средства анализа защищенности (также известные как сканеры безопасности) представляют собой инструменты управления защитой, которые:

Системы анализа защищенности дополняют системы обнаружения атак: они позволяют системным администраторам более активно защищать свои системы путем нахождения и обнаружения дыр защиты до того, как хакеры смогут использовать их. Системы обнаружения атак являются по природе реактивными; они осуществляют контроль за хакерами, нацеливающимся на системы, в надежде прервать атаки до того, как система будет повреждена.

Подход к анализу защищенности.

Анализ защищенности на уровне приложения

Анализ защищенности на прикладном уровне использует пассивные, не оказывающие заметного влияния методы для проверки конфигурации в пределах прикладных программных средств на предмет наличия ошибок, которые, как известно, имеют место быть.

Анализ на системном уровне

Анализ на системном уровне использует пассивные, не оказывающие заметного влияния на работу, методы для проверки настроек и конфигурации системы на наличие ошибок, которые могут вызвать проблемы с защитой. Эти проверки обычно окружают внутренности системы и включают такие вещи, как права доступа к файлам и права наследования, а также использованы или нет patch'es для устранения уязвимостей операционной системы.

Большинство систем анализа защищенности проводят анализ паролей, как часть своей работы. Анализ паролей состоит из запуска взломщиков паролей против файлов с паролями, использующими хорошо известную атаку для того, чтобы быстро определить местонахождение уязвимости, несуществующие или, с другой стороны, слабые пароли.

Достоинства:

Недостатки:

Анализ на уровне заданной цели

Целевой анализ (также известный как контроль целостности файлов) использует пассивные, не оказывающие заметного влияния на работу методы для проверки целостности системы и файлов данных, а также объектов системы и их атрибутов (например, потоки данных, базы данных и ключи реестра). Системы целевого анализа используют криптографические проверки контрольных сумм для того, чтобы получить доказательства подделки для наиболее важных системных объектов и файлов. Message-digest алгоритмы основаны на хэш-функциях, которые обладают тем свойством, что даже незначительные изменения во входных данных функции создают большие различия в результате. Это означает, что изменение в потоке данных приведет к тому, что message digest алгоритм создает значительное изменение в контрольной сумме, генерируемой алгоритмом. Эти алгоритмы являются криптографически сильными; то есть, при заданном конкретном входном значении (величине), практически невозможно сравняться с другим входным значением для алгоритма, которое будет создавать идентичное выходное значение. Это предотвращает наиболее распространенную атаку против сравнительно простых CRC (циклического избыточного кода) контрольных сумм, при которых хакеры маскируют изменения в файлах путем изменения содержания файла, так что одинаковая контрольная сумма генерится как для оригинального, так и для подделанного файла.

Системы целевого анализа работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с предыдущими контрольными суммами, отыскивая изменения. Когда изменение обнаружено, продукт посылает сообщение системе обнаружения атак, которая записывает проблему, фиксируя время, соответствующее вероятному времени изменения.

Анализ на сетевом уровне

Анализ уязвимостей на сетевом уровне использует активные, не оказывающие заметного влияния на работу сети методы для определения того, является или нет данная система уязвимой к набору атак. При анализе на сетевом уровне, широкий диапазон сценариев атак используется против выбранной системы (систем), затем результаты анализируются для того, чтобы определить уязвимость системы к атаке. В некоторых случаях анализ на системном уровне используется для сканирования проблем, характерных для сети (например, сканирование портов). Анализ уязвимостей на сетевом уровне часто используется для испытаний на проникновение (особенно, при тестировании МСЭ) и аудита защиты.

Достоинства:

Недостатки:

Интегрированный анализ

Интегрированный анализ уязвимостей объединяет активный анализ на сетевом уровне с пассивными методами анализа на системном уровне, часто интегрируя их с помощью функции централизованного управления. Здесь стоит отметить, что сетевые среды, работающие под ОС Windows NT, не распознают четкую границу между доступом на уровне ОС и доступом на сетевом уровне.

Достоинства:

Недостатки:

Местоположение средств анализа

Сбор данных - это первый шаг в процессе анализа уязвимостей; анализ данных - второй шаг. При инсталляции большой, сложной сети полезно организовать анализ уязвимостей, используя архитектуру агент-менеджер. Эта архитектура является особенно полезной там, где сети являются гетерогенными (разнородными), то есть с широким диапазоном платформ с различными ОС.

Достоинства:

Недостатки:

Генерация отчетов

Генерация отчетов при анализе уязвимостей является ключом для понимания и устранения дыр защиты. Генерация отчетов представляет возможность для документирования состояния защиты сканируемой системы, для публикации проблем для соответствующего уровня управления для того, чтобы назначить ресурсы и ответственные стороны для их устранение, и для доведения до всего персонала организации всей важности защиты системы и способов ее обеспечения. Предоставляемые опции включают переменные форматы генерации отчетов (в случае HTML предлагается возможность для выборочной "прокрутки" до более точного уровня желаемой детализации) и уровни детализации, обеспечивая значительные количества дополнительной информации об уязвимостях и соответствующих fixes.

Развертывание (использование)

Возможно, наиболее важными характеристиками при выборе системы являются те, что требуют использования этой системы в действующей (функционирующей) сетевой среде.

Реакции

Как только пользователь запустил инструменты поиска уязвимостей и определил уязвимости, он может установить ответные реакции. Предоставляемые опции реагирования включают:

Функции управления

Как и в случае обнаружения атак, системы анализа защищенности имеют различные функции управления: экспортирование данных в широком диапазоне форматов (HTML, Crystal Reports, ODBC, MDB и т.д.) позволяет системным администраторам и менеджерам использовать широкий диапазон инструментов генерации отчетов для дальнейшего анализа результатов, полученных в процессе поиска уязвимостей.

Возможность составления топологии сети позволяет очень легко установить, какие хосты сканируются. С помощью определения топологии сети можно сделать этот выбор либо щелкнув на одном хосте, либо на всей выборке хостов. Без этой возможности ручной ввод адресов всех сканируемых хостов может быть трудоемким и длительным процессом.

Возможность управления величиной охвата (размахом) процесса анализа защищенности до заданной цели является важной функцией управления. Она может включать, какие проверки запускаются и против каких целей, возможность добавления проверок, установленных пользователями, и способность конфигурировать определенные параметры для отдельных типов проверок.

Целостность системы

Как и в системах обнаружения атак, есть специфические вопросы защиты, связанные с проектированием, использованием и сопровождением систем поиска уязвимостей.



  Copyright © 2001-2019 Dmitry Leonov Design: Vadim Derkach