https://bugtraq.ru/library/books/icsa/chapter7/

Введение

Средства анализа защищенности (также известные как сканеры безопасности) представляют собой инструменты управления защитой, которые:

• Проводят всесторонние проверки систем, пытаясь локализовать уязвимости защиты.
• Генерируют отчет о числе, природе и силе этих уязвимостей.
• Позволяют системному администратору определять эффективность администрирования системы защиты организации.
• Позволяют системному администратору определять состояние защиты системы в конкретное время.
• В некоторых случаях, как только происходит инцидент, позволяют исследователям определить точку входа и маршрут хакера или нарушителя.

Системы анализа защищенности дополняют системы обнаружения атак: они позволяют системным администраторам более активно защищать свои системы путем нахождения и обнаружения дыр защиты до того, как хакеры смогут использовать их. Системы обнаружения атак являются по природе реактивными; они осуществляют контроль за хакерами, нацеливающимся на системы, в надежде прервать атаки до того, как система будет повреждена.

Подход к анализу защищенности.

Анализ защищенности на уровне приложения

Анализ защищенности на прикладном уровне использует пассивные, не оказывающие заметного влияния методы для проверки конфигурации в пределах прикладных программных средств на предмет наличия ошибок, которые, как известно, имеют место быть.

Анализ на системном уровне

Анализ на системном уровне использует пассивные, не оказывающие заметного влияния на работу, методы для проверки настроек и конфигурации системы на наличие ошибок, которые могут вызвать проблемы с защитой. Эти проверки обычно окружают внутренности системы и включают такие вещи, как права доступа к файлам и права наследования, а также использованы или нет patch'es для устранения уязвимостей операционной системы.

Большинство систем анализа защищенности проводят анализ паролей, как часть своей работы. Анализ паролей состоит из запуска взломщиков паролей против файлов с паролями, использующими хорошо известную атаку для того, чтобы быстро определить местонахождение уязвимости, несуществующие или, с другой стороны, слабые пароли.

Достоинства:

• Он дает очень точную, конкретную для данного хоста картину дыр защиты.
• Он охватывает дыры защиты, которые не находятся в течение анализа на системном уровне.

Недостатки:

• Эти методы анализа зависят от типа конкретной платформы и, таким образом, требуют точной конфигурации каждого типа хоста, используемого организацией.
• Эксплуатация и обновление часто требуют намного больше усилий, чем при анализе на сетевом уровне.

Анализ на уровне заданной цели

Целевой анализ (также известный как контроль целостности файлов) использует пассивные, не оказывающие заметного влияния на работу методы для проверки целостности системы и файлов данных, а также объектов системы и их атрибутов (например, потоки данных, базы данных и ключи реестра). Системы целевого анализа используют криптографические проверки контрольных сумм для того, чтобы получить доказательства подделки для наиболее важных системных объектов и файлов. Message-digest алгоритмы основаны на хэш-функциях, которые обладают тем свойством, что даже незначительные изменения во входных данных функции создают большие различия в результате. Это означает, что изменение в потоке данных приведет к тому, что message digest алгоритм создает значительное изменение в контрольной сумме, генерируемой алгоритмом. Эти алгоритмы являются криптографически сильными; то есть, при заданном конкретном входном значении (величине), практически невозможно сравняться с другим входным значением для алгоритма, которое будет создавать идентичное выходное значение. Это предотвращает наиболее распространенную атаку против сравнительно простых CRC (циклического избыточного кода) контрольных сумм, при которых хакеры маскируют изменения в файлах путем изменения содержания файла, так что одинаковая контрольная сумма генерится как для оригинального, так и для подделанного файла.

Системы целевого анализа работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с предыдущими контрольными суммами, отыскивая изменения. Когда изменение обнаружено, продукт посылает сообщение системе обнаружения атак, которая записывает проблему, фиксируя время, соответствующее вероятному времени изменения.

Анализ на сетевом уровне

Анализ уязвимостей на сетевом уровне использует активные, не оказывающие заметного влияния на работу сети методы для определения того, является или нет данная система уязвимой к набору атак. При анализе на сетевом уровне, широкий диапазон сценариев атак используется против выбранной системы (систем), затем результаты анализируются для того, чтобы определить уязвимость системы к атаке. В некоторых случаях анализ на системном уровне используется для сканирования проблем, характерных для сети (например, сканирование портов). Анализ уязвимостей на сетевом уровне часто используется для испытаний на проникновение (особенно, при тестировании МСЭ) и аудита защиты.

Достоинства:

• Он находит "дыры" защиты на целом ряде платформ и систем.
• Поскольку анализ уязвимостей на сетевом уровне не зависит от платформы и типа системы, его можно легко и быстро задействовать.
• Поскольку он не предполагает доступа на системном уровне, его легко использовать с организационной точки зрения.

Недостатки:

• Поскольку он не учитывает уязвимости, характерные для платформы, он часто менее точен, чем анализ на системном уровне.
• Он может оказывать влияние на производительность сети и ее характеристики.

Интегрированный анализ

Интегрированный анализ уязвимостей объединяет активный анализ на сетевом уровне с пассивными методами анализа на системном уровне, часто интегрируя их с помощью функции централизованного управления. Здесь стоит отметить, что сетевые среды, работающие под ОС Windows NT, не распознают четкую границу между доступом на уровне ОС и доступом на сетевом уровне.

Достоинства:

• Он комбинирует достоинства анализа на системном уровне - более совершенную идентификацию уязвимостей, характерных для платформ, с возможностями анализа на сетевом уровне по идентификации проблем через широкий диапазон пораженных систем и сетей.

Недостатки:

• Эксплуатация и сопровождение модулей комбинированного анализа требует довольно значительных усилий.

Местоположение средств анализа

Сбор данных - это первый шаг в процессе анализа уязвимостей; анализ данных - второй шаг. При инсталляции большой, сложной сети полезно организовать анализ уязвимостей, используя архитектуру агент-менеджер. Эта архитектура является особенно полезной там, где сети являются гетерогенными (разнородными), то есть с широким диапазоном платформ с различными ОС.

Достоинства:

• Централизованные архитектуры могут устанавливать агентов для платформ с конкретной ОС, а также изменять область охвата и глубину анализа, опираясь на угрозу сетевому окружению.

Недостатки:

• Распределенные архитектуры требуют дополнительных удаленных (дистанционных) привилегий на сети, которые сканируются.

Генерация отчетов

Генерация отчетов при анализе уязвимостей является ключом для понимания и устранения дыр защиты. Генерация отчетов представляет возможность для документирования состояния защиты сканируемой системы, для публикации проблем для соответствующего уровня управления для того, чтобы назначить ресурсы и ответственные стороны для их устранение, и для доведения до всего персонала организации всей важности защиты системы и способов ее обеспечения. Предоставляемые опции включают переменные форматы генерации отчетов (в случае HTML предлагается возможность для выборочной "прокрутки" до более точного уровня желаемой детализации) и уровни детализации, обеспечивая значительные количества дополнительной информации об уязвимостях и соответствующих fixes.

Развертывание (использование)

Возможно, наиболее важными характеристиками при выборе системы являются те, что требуют использования этой системы в действующей (функционирующей) сетевой среде.

• Большинство систем представляют возможности для удобной и простой инсталляции неопытным пользователем, что обеспечивается автоматическими сценариями и сильной технической поддержкой со стороны продавца.
• Опции конфигурации для систем изменяются в довольно широком диапазоне. Обратите внимание на такие характеристики, как определение топологии сети, задаваемое из меню конфигурационных проверок защиты и области охвата сети, а также экранные механизмы подсказки.
• Большинство систем позволяет системным администраторам устанавливать графики сканирования. Это - опция, которая позволяет им планировать запуск процессов анализа защищенности в часы наименьшей загрузки системы (например, в нерабочее время).
• Регулярные обновления базы данных проверок защиты являются крайне важными, поскольку новые дыры защиты появляются ежедневно. Процессы обновления, которые являются автоматическими, сводят к минимуму время, необходимое для проведения соответствующих новых обновлений.
• Ищите средства, которые обеспечивают поддержку рутинного, повторяющегося сканирования. Некоторые средства поддерживают эти характеристики с помощью опций раздельного сканирования, которое позволяет пользователям автоматически сравнивать результаты успешных сканирований, указывая проблемы и несоответствия, которые всплывают на поверхность.
• Системы анализа защищенности могут предоставить характеристики, которые должны использоваться с очень большим вниманием (например, проверки защиты, адресованные атакам типа "отказ в обслуживании"). Эти проверки, при воспроизведении атак, могут вывести из строя намеченные цели. Системы должны информировать пользователей об этой проблеме, когда они выбирают проверки типа "отказ в обслуживании".

Реакции

Как только пользователь запустил инструменты поиска уязвимостей и определил уязвимости, он может установить ответные реакции. Предоставляемые опции реагирования включают:

• Механизмы выдачи сигнала тревоги позволяют системе посылать уведомления об уязвимостях высокой степени риска в реальном масштабе времени с помощью целого ряда средств (например, SNMP, пейджер, e-mail и т.д.).
• Механизмы генерации отчетов позволяют системе генерировать определенным образом организованные отчеты, детализирующие результаты анализа защищенности.
• Некоторые системы имеют способность реагировать на обнаруженные "дыры" защиты, активно закрывая их (либо путем исправления конфигураций или настроек файла, либо еще путем наложения patch'es защиты), а не просто генерируя отчет об их существовании.

Функции управления

Как и в случае обнаружения атак, системы анализа защищенности имеют различные функции управления: экспортирование данных в широком диапазоне форматов (HTML, Crystal Reports, ODBC, MDB и т.д.) позволяет системным администраторам и менеджерам использовать широкий диапазон инструментов генерации отчетов для дальнейшего анализа результатов, полученных в процессе поиска уязвимостей.

Возможность составления топологии сети позволяет очень легко установить, какие хосты сканируются. С помощью определения топологии сети можно сделать этот выбор либо щелкнув на одном хосте, либо на всей выборке хостов. Без этой возможности ручной ввод адресов всех сканируемых хостов может быть трудоемким и длительным процессом.

Возможность управления величиной охвата (размахом) процесса анализа защищенности до заданной цели является важной функцией управления. Она может включать, какие проверки запускаются и против каких целей, возможность добавления проверок, установленных пользователями, и способность конфигурировать определенные параметры для отдельных типов проверок.

Целостность системы

Как и в системах обнаружения атак, есть специфические вопросы защиты, связанные с проектированием, использованием и сопровождением систем поиска уязвимостей.

• Вопросы защиты: База данных с проверками защиты должна быть защищена, таким образом, чтобы она не стала главной мишенью для хакеров. Это может быть осуществлено при помощи целого ряда стратегий; вероятно, наиболее распространенной стратегий является шифрование содержания. Однако когда используется шифрование, политика контроля за экспортом технологий шифрования правительства США может повлиять на действенность этих мер, если средство приобретается за пределами страны.
• Поскольку новые атаки появляются ежедневно, продавцы системы должны предоставить покупателям средства для обновления перечней проверок защиты, выполняемых системами анализа защищенности. Этот процесс обновления должен быть сам защищен. В распределенных архитектурах каналы связи между консолью и агентом должны быть защищены, и использование криптографических методов может обеспечить эту защиту.
• Поскольку сами системы анализа защищенности могут быть использованы хакерами для идентификации целей, должны быть предприняты контрмеры с тем, чтобы предотвратить это враждебное использование. Эти меры могут включать трансляцию идентификации исходного адреса сканируемого хоста к цели и сильные механизмы лицензирования, которые ограничивают охват сканера.