Методы поиска уязвимостей в лвс: Повышение уровня безопасности локальной вычислительной сети

Повышение уровня безопасности локальной вычислительной сети

Одно из основных назначений ЛВС – это объединение компьютеров в пределах одного или несколько близко стоящих зданий для предоставления пользователям быстрого и удобного доступа к локальным информационным ресурсам сети и услугам локальных серверов.

Локальная сеть состоит из серверов и рабочих станций. Сервером называют компьютер, подключенный к сети и обеспечивающий ее пользователей определенными услугами, а рабочей станцией – собственно компьютер, с помощью которого пользователь подключается к ресурсам сети.

Локальная вычислительная сеть позволяет обеспечить доступ к системам электронного документооборота, общий доступ и совместное использование файлов и сетевых папок, доступ к офисной технике, например, принтеру или сканеру. Локальные сети являются сетями закрытого типа, доступ к ним разрешен только ограниченному кругу пользователей. Обычно они включают в себя сетевое оборудование; каналы передачи данных, такие как кабели, разъемы, серверы и пользовательские компьютеры; принтеры, сканеры; операционную систему, программное обеспечение; средства защиты, такие как межсетевые экраны, системы предотвращения и обнаружения вторжений и т.

д.

Локальная вычислительная сеть позволяет подключать дополнительное оборудование без изменения программных и технических параметров всей сети, а также разграничивать уровень доступа к сетевым ресурсам отдельных устройств. Если в одной из рабочих станций возникает неисправность, это никак не влияет на работу остальных устройств и доступ к нужной информации, хранящейся в сети.

Выделяют три основных типа угроз, которым подвержены локальные вычислительные сети: раскрытие информации (доступ к конфиденциальным данным), нарушение целостности (изменение данных или их удаление) и отказ в обслуживании.

Реализуются эти угрозы посредством воздействий на локальные вычислительные сети — атак.

Цель большинства атак – получить доступ к конфиденциальным данным, в результате чего данные либо просто перехватываются, либо еще и искажаются.

Кроме того, существуют атаки, нацеленные не на получение доступа к сети или получение из нее какой-либо информации, а на лишение пользователей возможности пользоваться ресурсами локальной вычислительной сети.

Реализуются с помощью DDoS-атак, которые направлены на уничтожение либо истощение ресурсов. В первом случае для DDoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы. Во втором случае атака осуществляется путем одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети. Результатом DDoS-атак становится частичная либо полная невозможность пользоваться ресурсами сети, к которым относятся память, процессорное время, дисковое пространство и т. д.

Угроза состоит в последовательности действий, которые приводят к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Несанкционированный доступ может быть вызван неправильной конфигурацией операционной системы. Наиболее распространенными способами получения несанкционированного доступа являются: 

Переполнение буфера

Переполнение буфера происходит в том случае, когда программа или процесс пытается записать в буфер больше данных, чем он может вместить. Ошибка заключается в том, что данные копируются из одного участка памяти в другой без предварительной проверки того, достаточно ли для них места там, куда их копируют. Злоумышленники пользуются этим, чтобы выполнить нужный им код. Так они могут, например, изменять данные, расположенные следом за буфером, либо вызывать аварийное завершение или зависание программы, ведущее к отказу обслуживания.

Эксплуатация уязвимостей протокола

Эксплуатация уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений.

Повышение привилегий доступа

Злоумышленник, являясь непривилегированным пользователем, находит способ получить привилегированный доступ, что позволяет ему «взломать» или даже уничтожить систему. Несанкционированный доступ злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения вредоносных программ.

Как повысить уровень безопасности локальной вычислительной сети?

Для повышения уровня безопасности локальной вычислительной сети необходимо обеспечить соответствующий уровень безопасности всех ее компонентов и их взаимодействия внутри сети, а также подключения к сети Интернет.

Для безопасного подключения к сети Интернет необходимо обязательно использовать межсетевой экран, или брандмауэр. Эта программа позволяет осуществлять фильтрацию входящего и исходящего сетевого трафика на компьютере пользователя. Операционные системы семейства Windows, начиная с Windows XP, содержат встроенный межсетевой экран, включенный по умолчанию. Отключать его настоятельно не рекомендуется.

В случае, когда внутри локальной вычислительной сети расположены общедоступные серверы, требующие доступ в Интернет, необходимо выделить их в демилитаризованную зону.

Серверы, отвечающие на запросы из внешней сети и находящиеся в демилитаризованной зоне, ограничены в доступе к внутренним серверам.

Это нужно для того, чтобы даже в случае взлома этих серверов внутренние серверы не пострадали. Безопасность демилитаризованной зоны обеспечивается межсетевым экраном.

Другой важной составляющей безопасной работы в Интернете является система предотвращения вторжений, предназначенная для выявления, предотвращения или блокирования фактов неавторизованного доступа в компьютерную систему либо несанкционированного управления ими.

Безопасность сетевого оборудования

Повысить уровень безопасности сетевого оборудования можно посредством выполнения следующих действий:

Фильтрация по MAC-адресам

Ограничение числа компьютеров с доступом к ресурсам локальной вычислительной сети, если не планируется подключать к ней неизвестные устройства. Для этого нужно использовать фильтрацию по MAC-адресам. MAC-адрес – это уникальный серийный номер, присваиваемый каждому сетевому устройству. Фильтрация по MAC-адресу позволяет подключаться к сети только заданным устройствам.

Использование механизма доверенных/недоверенных интерфейсов и поддержки единой базы MAC-IP

Использование механизма доверенных/недоверенных интерфейсов и поддержки единой базы MAC-IP для защиты от появления в сети несанкционированных DHCP-серверов.

Динамический анализ пакетов в сети и проверка соответствия единой базы MAC-IP

Динамический анализ пакетов в сети и проверка соответствия единой базы MAC-IP для защиты от несанкционированных ARP-пакетов и подмены IP. При обнаружении коммутатором несанкционированного ARP-пакета им автоматически создается фильтр MAC-адресов, блокирующий трафик от MAC-адреса и сети VLAN, от которых поступил несанкционированный ARP-пакет.

Использовать защищенные протоколы

Использовать защищенные протоколы. Для передачи данных по сети рекомендуется использовать безопасные протоколы SSH и HTTPS и избегать использования Telnet и HTTP.

Использование сложных паролей

Использование сложных паролей. Для создания сложного пароля необходимо использовать сочетание не менее восьми символов. Желательно, чтобы пароль включал в себя символы верхнего и нижнего регистров, цифры и специальные символы. Пароль не должен повторять прошлые пароли, а также содержать даты, имена, номера телефонов и подобную информацию, которая может быть легко угадана.

Защита от неавторизованного доступа к устройству

Защита от неавторизованного доступа к устройству. Установка таймаута для управляющих подключений на устройстве позволяет предотвратить неавторизованный доступ к устройству путем использования незавершенных сессий управления. Также для защиты от попыток неавторизованного доступа рекомендуется настроить списки контроля доступа для удаленного администрирования.

Настройка системы аутентификации, авторизации и учета

Настройка системы аутентификации, авторизации и учета, которая позволит управлять и отслеживать доступ к устройствам.

Отключение неиспользуемых служб

Отключение неиспользуемых служб для сокращения числа каналов, через которые в систему могут проникать злоумышленники.

Подключение сетевых устройств к источнику бесперебойного питания.

Безопасность оконечного оборудования

Оконечное оборудование включает в себя серверы, настольные компьютеры, ноутбуки, принтеры, IP-телефоны. Это то оборудование, которым пользуются непосредственно рядовые пользователи. Некоторые оконечные устройства, например ноутбуки, могут находиться за пределами контролируемой зоны организации. При обеспечении их безопасности об этом нельзя забывать, т.к. они могут быть потеряны или украдены.

Основными угрозами безопасности оконечного оборудования являются вредоносные программы, в том числе вирусы, черви, троянцы, шпионские программы, а также спам и опасность стать частью ботнета.

Повысить безопасность оконечных устройств поможет выполнение следующих рекомендаций:

Регулярно и своевременно выполняйте обновления программного обеспечения

Регулярно и своевременно выполняйте обновления программного обеспечения, в том числе операционной системы и всех используемых приложений. Своевременная установка таких обновлений является необходимым условием безопасности устройства. Удобнее всего установить режим автоматического обновления, который позволит проводить все работы в фоновом режиме. Настоятельно рекомендуется скачивать обновления только с сайтов производителей программ.

Используйте и регулярно обновляйте антивирусные программы

Используйте и регулярно обновляйте антивирусные программы для защиты системы от возможных онлайн-угроз. Антивирус является ключевым компонентом защиты от вредоносных программ. Его обязательно нужно установить и регулярно обновлять, чтобы помогать ему бороться с новыми вредоносными программами, число которых увеличивается с каждым днем. Современные антивирусные программы, как правило, производят обновление антивирусных баз автоматически. Они выполняют сканирование важнейших системных областей и контролируют все возможные пути вторжения вирусов, такие как вложения электронной почты и потенциально опасные веб-сайты, в фоновом режиме, не мешая работе пользователя.

Антивирус должен быть всегда включен: отключать его настоятельно не рекомендуется. Старайтесь также проверять на наличие вирусов все съемные носители.

Пользуйтесь рекомендациями производителя

Пользуйтесь рекомендациями производителя при настройке операционной системы и программного обеспечения, установленного на оконечном оборудовании.

Настройте системы аутентификации, авторизации и учета

Настройте системы аутентификации, авторизации и учета, которые позволят управлять и отслеживать доступ к устройствам.

Обеспечьте безопасную передачу данных с помощью технологии виртуальных частных сетей

Обеспечьте безопасную передачу данных с помощью технологии виртуальных частных сетей (VPN – Virtual Private Network). Эта технология позволяет с помощью криптографических методов защитить информацию, передаваемую через Интернет, и не допустить несанкционированный доступ в локальную сеть. На все компьютеры локальной вычислительной сети, имеющие выход в Интернет, ставят VPN-агент – средство, которое автоматически зашифровывает все данные, передаваемые через них в Интернет, а также контролирует их целостность.

Отключайте неиспользуемые сервисы

Отключайте неиспользуемые сервисы, чтобы сократить число каналов, через которые в систему могут проникать злоумышленники.

Используйте средства шифрования

Шифрование данных – это дополнительный способ защитить важную информацию от посторонних пользователей. Специальные криптографические программы кодируют данные, чтобы прочитать их мог только тот пользователь, который обладает ключом для расшифровки. Во многих операционных системах есть встроенные средства шифрования. Например, в Windows 7 для защиты всех файлов, хранящихся на диске операционной системы и на внутренних жестких дисках, используется шифрование дисков BitLocker, а для защиты файлов, хранящихся на внешних жестких дисках, USB-устройствах используется BitLocker To Go.

Создавайте резервные копии критичной информации

Старайтесь регулярно делать копии важных документов, фотографий и другой информации на съемные носители или удаленный сервер, например, Яндекс. Диск, Google.Диск.

Подключайте оконечные устройства к источнику бесперебойного питания

Подключайте оконечные устройства к источнику бесперебойного питания для защиты от внезапных отключений электроэнергии.

Используйте сложные пароли и регулярно меняйте их

Более подробная информация — в статье «Рекомендации по обеспечению базового уровня защиты персонального компьютера».

Для контроля состояния защищенности, как всей сети, так и отдельных ее компонентов рекомендуется использовать системы контроля защищенности –сетевые сканеры безопасности.

Сканер безопасности – это программно-аппаратное устройство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей.

Сканеры сетевой безопасности – это рабочий инструмент администратора информационной безопасности либо аудитора автоматизированной системы. Сканеры исследуют сеть и ищут в ней уязвимости, анализируют полученные результаты и на их основе создают различного рода отчеты. Они могут обнаруживать только известные уязвимости, описание которых есть в их базе данных. Чаще всего сканеры безопасности ищут уязвимости в веб-приложениях, СУБД, операционной системе и сетевых приложениях.

Сетевые сканеры безопасности могут предусматривать возможности проведения тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance).

Режим тестирования на проникновения позволяет получить оценку состояния защищенности сети со стороны нарушителя. В режиме тестирования могут выявляться следующие уязвимости:

• бэкдоры (backdoor) – программы скрытого удаленного администрирования, с помощью которых злоумышленники получают несанкционированный доступ к устройству;
• слабые пароли;
• восприимчивость к проникновению из незащищенных систем;
• неправильная настройка межсетевых экранов, веб-серверов и баз данных.

Аудит позволяет выявить уязвимости установленного программного обеспечения и оценить уровень безопасности сети «изнутри».

Контроль соответствия стандартам позволяет осуществлять проверку системы по контрольным спискам безопасности, а также на соответствие требованиям различных стандартов, например, стандарту безопасности данных о держателях платежных карт PCI DCC.

Сканеры уязвимостей сети — обзор мирового и российского рынков

Сканеры уязвимостей (или сканеры защищённости) давно стали обязательными инструментами специалистов по информационной безопасности. На сегодняшний день на рынке представлено значительное количество таких продуктов как российского, так и зарубежного производства. Попробуем разобраться в этом многообразии и сделать выводы.

 

 

 

 

 

1. Введение
2. Для чего нужны сканеры уязвимостей
3. Мировой рынок сканеров уязвимостей
4. Российский рынок сканеров уязвимостей
5. Обзор отечественных сканеров уязвимостей
   
   1. 5.1. MaxPatrol 8
   2. 5.2. RedCheck
   3. 5.3. ScanOVAL
   4. 5.4. XSpider
   5. 5. 5. «Ревизор сети»
   6. 5.6. «Сканер-ВС»
6. Обзор зарубежных сканеров уязвимостей
   
   1. 6.1. F-Secure Radar
   2. 6.2. GFI LanGuard
   3. 6.3. Nessus Professional
   4. 6.4. Nexpose Vulnerability Scanner
   5. 6.5. Qualys Vulnerability Management
   6. 6.6. Tenable.io
   7. 6.7. Tripwire IP360
   8. 6.8. Vulnerability Control
7. Обзор сканеров уязвимостей с открытым исходным кодом
   
   1. 7.1. Nikto
   2. 7.2. OpenVAS
8. Выводы

Введение

Наличие уязвимостей в информационных системах, узлах инфраструктуры или элементах комплекса защиты информации является большой проблемой для подразделений ИТ и ИБ. Конечно, поиском брешей можно заниматься вручную, но это будет крайне трудозатратный процесс, который займёт много времени при высокой вероятности что-нибудь не заметить.

Поэтому лучше всего использовать автоматические средства для поиска уязвимостей и слабых мест в информационной инфраструктуре предприятия, такие как сканеры защищённости или сканеры уязвимостей. В настоящее время инструменты подобного класса позволяют решать задачи широкого профиля. Это — и сканирование сети, и перебор паролей, и поиск неустановленных патчей и небезопасных версий ПО, и обнаружение паролей и учётных записей, установленных по умолчанию, и поиск открытых портов и запущенных небезопасных служб, а также отслеживание других элементов, которые потенциально несут угрозу информационной безопасности. Также данные инструменты поддерживают большое количество операционных систем, средств защиты информации, сетевого оборудования и прочих объектов, чтобы максимально охватить инфраструктуру предприятия.

В настоящее время на рынке информационной безопасности представлено большое количество сканеров уязвимостей, представляющих собой как российские, так и зарубежные разработки. Также есть как коммерческие версии, так и бесплатные. Ранее мы уже вскользь касались этой темы в разных статьях, например «GFI LanGuard — виртуальный консультант по безопасности» или «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры».

Для чего нужны сканеры уязвимостей

Применение сканеров уязвимостей позволяет решать различные задачи. Такие инструменты используют не только для самостоятельной проверки на наличие брешей в инфраструктуре предприятия, но и для выполнения требований регуляторов — PCI SSC, ФСТЭК России и т. д.

Функциональность сканера уязвимостей даёт, например, возможность провести инвентаризацию ИТ-ресурсов и определить, какие приложения и какой версии установлены на рабочих станциях и серверах. При этом сканер покажет, какое ПО имеет уязвимости, и предложит установить патч, обновить версию или остановить те или иные службы и отключить протоколы, если они представляют собой угрозу информационной безопасности. Если присутствуют ошибки в скриптах, это будет также обнаружено сканером.

Также можно провести сканирование сети, составить её карту и определить, какие именно сетевые устройства в инфраструктуре предприятия используются. Будут также определены все поддомены. Сразу же можно выявить открытые порты, запущенные сетевые сервисы, которые представляют угрозу для безопасности. На сетевых устройствах будет произведён поиск уязвимостей, которые можно будет закрыть установкой патчей, обновлением или изменением конфигураций.

Кроме того, сканер позволяет проверить на стойкость используемые пароли на сервисах с доступной авторизацией, при этом будут выявлены пароли, установленные по умолчанию. Будет произведён и брутфорс (полный перебор возможных вариантов) с использованием актуальной базы паролей.

Сканеры уязвимостей позволяют также сканировать средства защиты информации и определять, когда можно установить новые патчи, обновить программное обеспечение, изменить конфигурацию и настройки, а также проверить актуальность баз сигнатур.

Современные сканеры уязвимостей поддерживают практически все современные операционные системы, как серверные, так и пользовательские. Также всё большую популярность начинают набирать облачные решения такого рода.

По результатам проверки все сканеры позволяют сформировать отчёты различного формата и назначения, где будет отображена вся картина по уязвимостям в инфраструктуре, а также даны рекомендации по их устранению. Каждой уязвимости будет сопоставлен номер из баз CVE (Common Vulnerabilities and Exposures), NVD (National Vulnerability Database) или Банка данных угроз безопасности информации (БДУ) ФСТЭК России. Некоторые из инструментов позволяют делать отчёты для предоставления руководству.

Мировой рынок сканеров уязвимостей

Мировой рынок сканеров уязвимостей (Vulnerability Management / Assessment) активно развивается. Данные инструменты стали полноценными системами для управления уязвимостями, которые можно вести как проекты. В свою очередь проекты по отслеживанию уязвимостей превращаются в процессы, в которых участвуют представители различных подразделений. Также производители сканеров предлагают интеграцию с системами управления рисками или патч-менеджмента, платформами по управлению инцидентами (Incident Response Platform), процессами безопасной разработки (Security Development), не говоря уже о SIEM.

Ещё одной важной особенностью является использование сканеров для соответствия требованиям PCI DSS. Некоторые вендоры, например Tenable, Qualys или Rapid7, являются разрешёнными поставщиками услуг сканирования (ASV) PCI SSC.

Также стоит отметить, что в последние годы наметилась явная тенденция к использованию облачных сканеров уязвимостей. Для некоторых заказчиков данный вариант становится предпочтительным, поскольку исчезает необходимость выделять ресурсы под размещение сканера в своей инфраструктуре.

Производители предлагают как коммерческие версии своих продуктов, так и бесплатные. Последние обычно предоставляются с сильно ограниченными функциональными возможностями и в виде облачного сервиса.

Исследовательская компания IDC провела анализ рынка систем управления уязвимостями за 2019 год и опубликовала свои выводы в материале «Worldwide Device Vulnerability Management Market Shares, 2019: Finding the Transitional Elements Between Device Assessment Scanning and Risk-Based Remediation». На диаграмме (рис. 1) из этой статьи можно увидеть распределение долей мирового рынка среди различных производителей. 

 

Рисунок 1. Рынок управления уязвимостями устройств в 2019 году

 

По результатам исследования, проведённого компанией GeoActive Group, объём рынка Vulnerability Management / Assessment достигнет 2,1 млрд долларов в 2020 году.

Согласно аналитическому отчёту Gartner «Market Guide for Vulnerability Assessment», тремя доминирующими вендорами по разработке сканеров безопасности являются Tenable (около 30 000 заказчиков), Qualys (около 16 000 заказчиков) и Rapid7 (чуть больше 9 000 заказчиков). На этих игроков приходится большая часть прибыли в отрасли. В том же отчёте было отмечено, что среди заметных вендоров на этом рынке также присутствуют F-Secure, Positive Technologies, Tripwire и Greenbone Networks. 

Ещё одним разработчиком, на наш взгляд заслуживающим внимания, является GFI Languard, один из лидеров сегмента малого и среднего бизнеса, в том числе на российском рынке. 

В данном обзоре мы рассмотрим следующие продукты вендоров, представляющих мировой рынок сканеров уязвимостей:

• Nessus (Tenable).
• Qualys Vulnerability Management (Qualys).
• F-Secure Radar (F-Secure).
• Rapid7 Nexpose (Rapid7).
• IP360 (Tripwire).
• Tenable.io (Tenable).
• GFI Languard (GFI Software).

Российский рынок сканеров уязвимостей

В отличие от мирового основной особенностью российского рынка сканеров уязвимостей является соответствие требованиям регуляторов: ряд нормативных актов в области информационной безопасности (приказы ФСТЭК России № 17, № 21, № 239, № 31, постановление Правительства РФ № 79 и т. д.) предписывают заказчикам обязательно иметь сканер уязвимостей, а сам продукт должен обладать сертификатом по требованиям безопасности ФСТЭК России. Некоторые сканеры уязвимостей позволяют проводить проверки на соответствие требованиям PCI DSS и других зарубежных нормативных актов.

Также стоит отметить, что российские производители предлагают свои продукты в основном в локальном исполнении (on-premise) для установки в инфраструктуре заказчика. Все отечественные вендоры поставляют только коммерческие версии своих продуктов, за исключением сканера ScanOVAL, который является «детищем» ФСТЭК России.

Наиболее заметными на российском рынке сканеров являются следующие продукты:

• MaxPatrol 8 (Positive Technologies).
• RedCheck («АЛТЭКС-СОФТ»).
• ScanOVAL (ФСТЭК России).
• XSpider (Positive Technologies).
• «Ревизор сети» («ЦБИ-сервис»).
• «Сканер-ВС» (НПО «Эшелон»).

Обзор отечественных сканеров уязвимостей

 

 

MaxPatrol 8

Система контроля защищённости и соответствия стандартам MaxPatrol 8 — продукт корпоративного класса (enterprise) с внушительными функциональными возможностями для крупных заказчиков с неограниченно большим количеством узлов в сетевой инфраструктуре. 

Сканер проводит комплексный анализ на наличие уязвимостей в сложных системах, включая платформы Windows, Linux, Unix, сетевое оборудование Cisco, Juniper, Huawei, Check Point, системы виртуализации Hyper-V, VMware, веб-серверы Microsoft IIS, Apache HTTP Server, Nginx, серверы веб-приложений IBM WebSphere, Oracle WebLogic, Apache Tomcat, а также ERP-системы SAP и 1C.

MaxPatrol 8 анализирует безопасность веб-приложений и позволяет обнаружить большинство уязвимостей в них: внедрение SQL-кода, межсайтовое выполнение сценариев (XSS), запуск произвольных программ.

Сканер проверяет СУБД, такие как Microsoft SQL, Oracle, PostgreSQL, MySQL, MongoDB, Elastic. MaxPatrol 8 также анализирует сетевые настройки, парольную политику (включая поиск паролей по умолчанию), права и привилегии пользователей, позволяет управлять обновлениями.

 

Рисунок 2. Окно настройки задач по сканированию в MaxPatrol 8

 

Кроме того, продукт проверяет инфраструктуру на соответствие техническим стандартам безопасности CIS, SAP и VMware, предписаниям PCI DSS и ISO/IEC 27001, собственным стандартам Positive Technologies.

MaxPatrol 8 имеет действующий сертификат соответствия требованиям безопасности ФСТЭК России (№ 2922 до 08.07.2024).

Более подробно о продукте можно узнать в посвящённом ему разделе сайта производителя.

 

 

RedCheck

Сканер уязвимостей RedCheck от вендора «АЛТЭКС-СОФТ» предлагает комплексный подход к анализу защищённости инфраструктуры предприятия. Данный продукт обладает следующими характерными особенностями:

• Обнаружение узлов сети и сканирование на предмет уязвимостей операционных систем, общесистемного и прикладного ПО. Обеспечивается поддержка таких платформ, как клиентские и серверные редакции ОС Microsoft Windows (за исключением «Домашних») и системы семейства Linux (Red Hat, SUSE, Debian, Ubuntu, CentOS, Astra Linux, Alt Linux, ROSA, «РедОС» и другие), а также сетевого оборудования — Cisco, Huawei, Check Point — и множества различных прикладных программ.
• Выявление уязвимостей и слабых конфигураций в серверах приложений и веб-серверах.
• Контроль конфигураций и оценка соответствия политикам и стандартам безопасности.
• Сканирование в режиме «Пентест», сетевые проверки и сканирование портов.
• Проведение аудита парольной политики и подбор паролей.
• Аудит защищённости СУБД (Microsoft SQL Server, Oracle Database, MySQL, PostgreSQL).
• Выявление уязвимостей в средствах виртуализации Microsoft Hyper-V, VMware ESXi / vCenter, VMware NSX.
• Инвентаризация сети для получения детальной информации об аппаратных и программных средствах.
• Контроль целостности с выбором алгоритма контрольного суммирования.
• Контроль изменений в системе.
• Управление обновлениями для общесистемного ПО.
• Аудит SCADA-систем.

Рисунок 3. Схема работы сканера защищённости RedCheck

 

Ещё одной ключевой особенностью сканера RedCheck является его работа с унифицированным SCAP-контентом (обновления, уязвимости, конфигурации, политики безопасности), получаемым из собственного репозитория OVALdb. Это — один из крупнейших международных банков контента по безопасности, позволяющий формировать оценку защищённости информационных систем.

Также RedCheck имеет API-модуль для интеграции с различными системами управления ИБ, включая HP ArcSight, Splunk, MaxPatrol SIEM, NeuroDAT SIEM, R-Vision IRP, ePlat4m Security GRC.

Сканер представлен в нескольких редакциях, включая вариант «Enterprise». Модульная компоновка позволяет масштабировать систему и использовать её в территориально распределённых сетях и ЦОД.

RedCheck имеет сертификат соответствия требованиям безопасности ФСТЭК России (№ 3172 до 23.06.2020), который на момент публикации находится на продлении. Техническая поддержка оказывается до 23.06.2025.

Больше сведений о данном сканере можно найти на сайте RedCheck.

 

 

ScanOVAL

Программное средство ScanOVAL, разработанное по инициативе ФСТЭК России и при непосредственном участии «АЛТЭКС-СОФТ», предназначено для автоматизированного обнаружения уязвимостей в программном обеспечении на узлах (рабочих станциях и серверах), функционирующих под управлением операционных систем семейства Microsoft Windows (клиентских — 7 / 8 / 8.1 / 10 — или серверных: 2008 / 2008 R2 / 2012 / 2012 R2 / 2016).

Была выпущена и версия сканера ScanOVAL для Linux, позволяющая проводить сканирование и поиск уязвимостей в ОС Astra Linux 1.6 SE, а также проверку общесистемного и прикладного ПО, входящего в состав этого дистрибутива.

 

Рисунок 4. Окно со списком обнаруженных уязвимостей в ScanOVAL для Linux

 

Обе версии сканера осуществляют анализ защищённости ОС и прикладного ПО на наличие уязвимостей, сведения о которых содержатся в Банке данных угроз безопасности информации ФСТЭК России и бюллетенях разработчиков.

Выявление уязвимостей производится следующим образом: состояние системных параметров сканируемого программного обеспечения (системного и прикладного) сравнивается с базой уязвимостей, представленной в виде описаний, которые разработаны в соответствии со спецификацией OVAL. Сканер позволяет выявлять одиночные и множественные бреши.

Полная информация об этом сканере размещена в соответствующем разделе сайта ФСТЭК России.

 

 

XSpider

Сканер защищённости XSpider компании Positive Technologies впервые появился на рынке ещё в 2002 году — причём в это же время была основана сама компания.

XSpider предназначен для компаний с количеством узлов до 10 000. Он позволяет сканировать сеть на наличие уязвимостей (в том числе в сервисах SMB, RDP, HTTP, SNMP, FTP, SSH), проводить тесты на проникновение, проверять веб-приложения сторонней и внутренней разработки на возможность внедрения SQL-кода, запуска произвольных программ, получения файлов, межсайтового выполнения сценариев (XSS), расщепления HTTP-ответов. Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию.

Ещё данный сканер может проводить инвентаризацию узлов сети (с получением базовой информации о системах), выявлять открытые порты TCP / UDP, идентифицировать серверные приложения.

 

Рисунок 5. Окно с установкой параметров сканирования в XSpider

 

XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies.

Продукт имеет действующий сертификат соответствия требованиям ФСТЭК России (№ 3247 до 24.10.2025).

Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя.

 

 

«Ревизор сети»

Сканер уязвимостей «Ревизор сети 3.0», разработанный ООО «Профиль Защиты», позволяет осуществлять тестирование сетевых устройств и операционных систем семейств Windows и Linux, поддерживающих стек протоколов TCP/IP.

«Ревизор сети» способен искать уязвимости, включённые в Банк данных угроз безопасности информации ФСТЭК России, в операционных системах семейств Windows и Linux. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com и других.

Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах.

Основными особенностями «Ревизора сети» являются:

• проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных;
• проверка наличия неустановленных обновлений ОС семейства Windows;
• проверки учётных записей для узлов сети, подбор паролей;
• определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей;
• определение NetBIOS- и DNS-имён проверяемых узлов сети;
• проверки наличия и доступности общих сетевых ресурсов на узлах сети;
• сбор дополнительной информации об ОС семейства Windows.

Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3.0»

 

«Ревизор сети 3.0» поддерживает установку на следующие операционные системы производства Microsoft: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016.

Сканер уязвимости «Ревизор сети» версии 3.0 имеет сертификат соответствия требованиям ФСТЭК России № 3413, действительный до 2 июня 2023 г.

С более подробной информацией о сканере можно ознакомиться на странице разработчика.

 

 

«Сканер-ВС»

Продукт «Сканер-ВС» является разработкой НПО «Эшелон» и представляет собой систему комплексного анализа защищённости, позволяющую обеспечить выявление уязвимостей в ИТ-инфраструктуре организаций любого масштаба. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. «Сканер-ВС» включает в себя базу, содержащую более 64 000 проверок, которая обновляется еженедельно. Обеспечивается полная совместимость с БДУ ФСТЭК России.

 

Рисунок 7. Главное меню системы «Сканер-ВС»

 

Помимо этого можно отметить наличие следующих возможностей:

• Инвентаризация ресурсов сети.
• Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё.
• Сетевой и локальный анализ стойкости паролей.
• Поиск подходящих эксплойтов на основе собранной информации об узле.
• Перехват и анализ сетевого трафика, а также реализация атак типа MitM (Man in the Middle, «внедрённый посредник»).
• Анализ беспроводных сетей.
• Проверка обновлений ОС Windows — аудит установленных обновлений для ОС Windows 7, 8.1, 10, Server 2012, 2012 R2 и 2016.
• Аудит настроек комплекса средств защиты ОС Astra Linux Special Edition.
• Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей.

Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.

Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.

«Сканер-ВС» имеет действующие сертификаты соответствия от ФСТЭК России (№ 2204) и Минобороны России (№3872).

Больше информации о данном сканере размещено на сайте данного продукта.

Обзор зарубежных сканеров уязвимостей

 

 

F-Secure Radar

Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux.

F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Также доступны инструменты для подготовки отчётов о рисках и о соблюдении требований — например, соответствии предписаниям PCI и GDPR.

 

Рисунок 8. Окно центра управления в F-Secure Radar

 

Помимо этого Radar предлагает следующие возможности:

• Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов.
• Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц.
• Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах.
• Инвентаризация приложений на узлах сети.
• Отслеживание всех изменений в ИТ-инфраструктуре.

Больше информации о данном сканере размещено на сайте разработчика.

 

 

GFI LanGuard

Сетевой сканер безопасности GFI LanGuard от GFI Software позволяет сканировать сеть предприятия для обнаружения, выявления и устранения уязвимостей.

В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует.

GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Сканер анализирует не только саму ОС, но и популярное ПО, уязвимости которого обычно используются для взлома: Adobe Acrobat / Reader, Flash Player, Skype, Outlook, браузеры, мессенджеры и т. д.

 

Рисунок 9. Окно мониторинга уязвимостей в GFI LanGuard

 

LanGuard проводит каждое сканирование после обновления данных об уязвимостях. Источниками информации об угрозах являются сами вендоры ПО, а также хорошо зарекомендовавшие себя списки SANS и OVAL.

Обеспечивается поддержка всех популярных ОС для рабочих станций и серверов (Windows, macOS, дистрибутивы Linux и Unix), а также iOS и Android для смартфонов. GFI LanGuard позволяет установить отдельные пары «логин-пароль» для доступа, а также файл ключа для связи по SSH.

LanGuard способен создавать отчёты в соответствии с требованиями PCI DSS, HIPAA, SOX, GLB / GLBA и PSN CoCo. Также можно добавлять собственные шаблоны в планировщик.

Больше сведений о GFI LanGuard можно почерпнуть на сайте разработчика.

 

 

Nessus Professional

Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке.

Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии:

• Поиск и выявление уязвимых версий служб или доменов.
• Обнаружение уязвимостей в различных ИТ-активах, включая сетевые устройства (например, Cisco, Juniper, HP, F5 и SonicWall), MDM-платформы MobileIron и VMware AirWatch, операционные системы (Windows, macOS, Linux) и различные приложения — от небольших утилит для обновления драйверов до сложных офисных пакетов.
• Обнаружение ошибок в конфигурациях.
• Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей.

Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus

 

Nessus Professional характеризуется следующими особенностями:

• Предварительно настроенные шаблоны сканирования (450 шаблонов, в том числе для выполнения требований различных стандартов по безопасности).
• Группировка обнаруженных уязвимостей по приоритетам.
• Широкие возможности по работе с отчётами и архивными данными.
• Высокоскоростное сканирование с минимальным количеством ложных срабатываний.
• Возможность выявления около 60 000 уязвимостей, которым присвоены идентификаторы CVE ID, а также множества других.

Больше информации о Nessus размещено на сайте разработчика.

 

 

Nexpose Vulnerability Scanner

Nexpose Vulnerability Scanner от Rapid7 предлагается в исполнении «on-premise» для локальной установки на территории заказчика. Облачная версия доступна в редакции Rapid7 InsightVM, предлагающей расширенные функциональные возможности за ту же стоимость.

Данный продукт вычисляет показатель реального риска по шкале от 1 до 1000, где оценка CVSS является лишь одной из составляющих, что даёт более полезную информацию. При этом учитываются такие параметры, как значимость узла, срок уязвимости, наличие общедоступных эксплойтов / готовых вредоносных объектов и др. Nexpose предоставляет контекстную бизнес-аналитику, акцентируя внимание на самых значимых рисках для бизнеса, посредством автоматизированной классификации активов и рисков.

Отметим следующие возможности Nexpose:

• Применение различных стратегий с адаптацией под различные задачи и инфраструктуру.
• Интеграция с DHCP Service, VMware и AWS / Azure для понимания динамики среды и обнаружения новых устройств и уязвимостей.
• Доступ к данным из Project Sonar для выявления компонентов инфраструктуры, наиболее подверженных распространённым уязвимостям.
• Создание динамических групп активов с более чем 50 фильтрами.
• Выявление более чем 75 000 уязвимостей.
• Широкий выбор готовых шаблонов отчётов и возможность создания собственных шаблонов с необходимыми параметрами (включая таблицы, диаграммы, сравнения) с большими возможностями импорта.

Функция Adaptive Security позволяет автоматически обнаруживать и оценивать новые устройства и уязвимости в режиме реального времени. В сочетании с подключениями к VMware и AWS, а также интеграцией с исследовательским проектом Sonar сканер Nexpose обеспечивает постоянный мониторинг изменяющейся среды в ИТ-инфраструктуре.

Также Nexpose позволяет проводить аудит политик и конфигураций. Сканер анализирует политики на соответствие требованиям и рекомендациям популярных стандартов. Отчёты об уязвимостях содержат пошаговые инструкции о том, какие действия следует предпринять, чтобы устранить бреши и повысить уровень безопасности.

 

Рисунок 11. Окно мониторинга в Nexpose Vulnerability Scanner

 

Nexpose предлагает большие возможности по интеграции, в том числе двусторонней, с инструментом для проведения пентестов Metasploit, а также с другими технологиями и системами безопасности, в том числе посредством OpenAPI: SIEM, межсетевыми экранами, системами управления патчами или системами сервисных запросов (тикетов), комплексами технической поддержки (service desk) и т. д.

Помимо этого Nexpose позволяет решать задачи по соответствию требованиям различных стандартов, в частности — PCI DSS, NERC CIP, FISMA (USGCB / FDCC), HIPAA / HITECH, Top 20 CSC, DISA STIGS, а также стандартов CIS по оценке рисков.

Полная информация о данном сканере расположена на сайте разработчика.

 

 

Qualys Vulnerability Management

Особенностью продукта Qualys является разделение процессов сбора и обработки информации:

• информация по уязвимостям собирается либо с помощью сканера (безагентно), который может быть выполнен в виртуальном или «железном» формате, либо с помощью облачных агентов;
• обработка и корреляция информации, поступающей с сенсоров, происходит в облаке Qualys. Таким образом не нагружается локальная инфраструктура и существенно упрощается работа с данными, которые отображаются в интерфейсе в консолидированном и нормализованном виде.

Отдельно стоит отметить, что крупным заказчикам доступна возможность развёртывания облака Qualys в локальной сети.

Облачные агенты Qualys обеспечивают непрерывный сбор данных и их передачу на облачную платформу, которая является своего рода аналитическим центром, где информация коррелируется и распределяется по приоритетам для обеспечения видимости всего того, что происходит на конечных точках и в сети компании, в режиме реального времени.

 

Рисунок 12. Окно мониторинга уязвимостей и ИТ-активов в Qualys Vulnerability Management

 

Также заслуживают упоминания следующие возможности платформы:

• Инвентаризация всей ИТ-инфраструктуры, включая обнаружение и классификацию активов, проверку типа лицензий ПО (коммерческие / с открытым исходным кодом) и цикла поддержки (End of Life / End of Support).
• Поиск уязвимостей и критических ошибок в конфигурациях в соответствии с критериями CIS, VMware, Microsoft, Qualys, NIST, DISA по активам с возможностью исправления конфигураций.
• Автоматическая приоритизация угроз на основе информации о реальных атаках злоумышленников, а также данных киберразведки (Threat Intelligence).
• Инвентаризация цифровых сертификатов SSL / TLS.
• Соблюдение требований PCI DSS.
• Защита конечных узлов от атак с возможностью расследования инцидентов и поиска следов компрометации (EDR).
• Мониторинг целостности файлов.
• Проверка на наличие уязвимостей на протяжении всего цикла разработки.
• Защита веб-приложений с применением виртуальных патчей.
• Сканирование контейнеров на всех этапах.
• Пассивное сканирование сетевого трафика и выявление аномалий.
• Собственный патч-менеджмент для ОС и приложений.
• Сканирование облачных аккаунтов и сред Azure, AWS, GCP.
• Сканирование внешнего периметра из дата-центра Qualys.
• Анализ безопасности сетей АСУ ТП.
• Открытый документированный API для интеграции с CMDB, NAC, WAF, SIEM, Service Desk, Skybox, R-Vision и другими системами.

Больше сведений о данном сканере можно почерпнуть на сайте производителя.

 

 

Tenable.io

В отличие от Nessus Professional другой продукт того же вендора — Tenable.io — имеет только облачное исполнение. В части функциональных возможностей есть сходство с Nessus. Тем не менее Tenable.io вполне самодостаточен, особенно в части управления всеми данными об активах и уязвимостях. Продукт предлагает следующие возможности:

• Получение оперативных данных об ИТ-активах за счёт сканирования, использования агентов, пассивного мониторинга, облачных коннекторов и интеграции с базами данных управления конфигурациями (CMDB).
• Комбинирование сведений об уязвимостях с киберразведкой (Threat Intelligence) и исследованием данных (Data Science) для более простой оценки рисков и понимания того, какие уязвимости следует исправлять в первую очередь.
• Группировка обнаруженных уязвимостей по приоритетам.
• Широкие возможности по работе с отчётами и архивными данными.
• Высокоскоростное сканирование с минимальным количеством ложных срабатываний.
• База Tenable.io содержит данные о порядка 60 000 уязвимостей.

В лицензию Tenable.io также входит безлимитное количество сканеров Nessus Professional.

 

Рисунок 13. Окно мониторинга уязвимостей в Tenable.io

 

Образно говоря, Tenable.io представляет собой разноплановый набор сенсоров, который автоматически собирает и анализирует данные о безопасности и уязвимостях, тем самым показывая полную информацию об атаке для любого актива на любой вычислительной платформе.

Также в компании Tenable есть несколько смежных продуктов, построенных на платформе Tenable.io, например специализированный инструмент для проведения сканирования в соответствии с требованиями PCI DSS, сканер для обнаружения уязвимостей в контейнерах, средство проверки веб-приложений и сервисов.

Ранее мы уже рассматривали разработки этого вендора в статье «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры». Также полная информация о данном сканере размещена на сайте разработчика.

 

 

Tripwire IP360

Tripwire IP360 позиционируется как продукт корпоративного уровня («enterprise») для управления уязвимостями и рисками. Сканер построен на модульной архитектуре, что позволяет легко масштабировать данную систему. Возможна поставка версий для локального (on-premise), облачного или гибридного развёртывания. Также IP360 позволяет размещать на узлах агенты для более эффективного мониторинга сети и выявления уязвимостей.

Помимо этого сканер обладает следующими возможностями:

• Проведение инвентаризации в сети для выявления и идентификации всех ИТ-активов, включая локальные, облачные и контейнерные.
• Отслеживание изменений в активах.
• Ранжирование уязвимостей на основе их степени воздействия и возраста.
• Управление временем запуска сканирования через планировщик.
• Аудит безопасности в контейнерных средах с поддержкой инструментальных средств DevOps.
• Централизованное управление через веб-интерфейс для администрирования, настройки, получения отчётов, распоряжения задачами.

Рисунок 14. Окно процесса сканирования в IP360

 

IP360 поставляется в виде программного или аппаратного обеспечения, причём для увеличения производительности и надёжности работы системы возможна её установка в кластере. Сканер также доступен на торговых площадках AWS и Azurе.

Tripwire IP360 предоставляет возможности интеграции со сторонними системами, такими как комплексы технической поддержки (helpdesk / service desk), решения по управлению активами, SIEM, IDS / IPS и другие средства обеспечения информационной безопасности, посредством API-модуля.

Больше сведений о Tripwire IP360 можно получить на сайте разработчика.

 

 

Vulnerability Control

Система Skybox Vulnerability Control позволяет автоматизировать различные процессы управления уязвимостями на единой платформе. Продукт способен собирать данные из различных систем с учётом особенностей сети и выявлять наиболее опасные угрозы.

Vulnerability Control обладает следующими возможностями:

Анализ данных из систем инвентаризации и патч-менеджмента, а также ряда других позволяет собирать сведения в недоступных для сканирования областях.

Получение сведений об уязвимостях из различных источников, таких как сетевые устройства, IPS / IDS, публичные и частные облака (Amazon Web Services, Microsoft Azure, Cisco ACI и VMware NSX), средства безопасности конечных точек (EDR), комплексы патч-менеджмента, системы управления конфигурацией баз данных (CMDB), сканеры уязвимостей и приложений, веб-сканеры.

Проведение имитации атак на динамической модели сети для выявления уязвимостей, которые доступны для эксплуатации на критически важных активах. Также это позволяет понять эффективность текущих настроек компонентов сети.

Функция моделирования сети позволяет определять альтернативные методы борьбы с угрозами, включая изменения правил доступа или сигнатур систем предотвращения вторжений (IPS).

Использование скоринговой модели, учитывающей различные критерии (уязвимости, активы, бизнес-сегменты), в том числе уникальные параметры и атрибуты, применяемые в конкретной инфраструктуре.

Выявление очерёдности установки патчей и других компенсирующих мер по устранению уязвимостей на основе уровня угроз и ранжирования их по степени опасности.

 

Рисунок 15. Окно с информацией об уязвимостях в Skybox Vulnerability Control

 

Vulnerability Control реализует гибкий подход к анализу уязвимостей, позволяющий лучше понять возможные последствия. Помимо основных данных собираются разнообразные дополнительные сведения: настройки и условия использования ОС и других приложений, материалы из национальной базы данных уязвимостей США (NVD), CVSS, бюллетени поставщиков, итоги анализа брешей и рисков из других источников (IBM X-Force, прочие сканеры уязвимостей и т. д.), история изменений уязвимости в зависимости от степени серьёзности, эксплуатации, доступных патчей, обновлений и т. д.

Skybox Vulnerability Control может интегрироваться с более чем 140 различными ИТ- и ИБ-системами, такими как инструменты поиска уязвимостей, сетевые устройства, ОС, средства сетевой защиты, SIEM и другие.

Более подробная информация о продукте находится на сайте разработчика.

Обзор сканеров уязвимостей с открытым исходным кодом

Помимо рынка с коммерческими проприетарными версиями продуктов есть также небольшая ниша сканеров с открытым исходным кодом (Open Source). Они являются полностью бесплатными для пользователей при соблюдении требований лицензии.

Наиболее заметными представителями данного сектора являются инструменты Nikto и OpenVAS, которые мы и рассмотрим далее.

 

 

Nikto

Сканер уязвимостей Nikto распространяется по лицензии GNU General Public License (GNU GPL). Отличительной особенностью данного инструмента является отсутствие графического интерфейса. Управление сканером осуществляется через интерфейс командной строки.

Nikto позволяет выполнять комплексное сканирование на веб-серверах, охватывая более 6700 потенциально опасных файлов и программ. Сканер проверяет устаревшие версии серверов (1250 единиц) и ищет проблемы, связанные с конкретными версиями (270 единиц), а также проверяет элементы конфигурации, такие как наличие нескольких файлов индекса или параметры HTTP-сервера, и пытается идентифицировать установленные веб-серверы и программное обеспечение. Компоненты Nikto и плагины часто обновляются; новые их версии могут устанавливаться автоматически. Также обеспечивается поддержка методов LibWhisker anti-IDS на случай проверки IDS-системы.

 

Рисунок 16. Окно с интерфейсом командной строки Nikto с результатами проверки

 

Отметим следующие возможности сканера:

• Проверка на наличие устаревших серверных компонентов.
• Самостоятельное создание шаблонов отчётов.
• Сканирование нескольких портов на сервере или нескольких серверах с помощью файла ввода (input file).
• Определение установленного программного обеспечения с помощью заголовков, значков (favicons) и файлов.
• Возможность аутентификации хостов с помощью Basic и NTLM.
• Поиск поддоменов.
• Установление имён пользователей Apache и cgiwrap.
• Проверка паролей на стойкость и выявление паролей по умолчанию.
• Возможность интеграции с Metasploit.

Более подробная информация о Nikto находится на сайте разработчика.

 

 

OpenVAS

Этот сканер уязвимостей с открытым кодом является разработкой компании Greenbone, которая постоянно его дорабатывает и поддерживает с 2009 г. OpenVAS тоже доступен по лицензии GNU General Public License (GNU GPL).

OpenVAS позволяет осуществлять тестирование с аутентификационными данными и без них, проводить анализ различных высокоуровневых и низкоуровневых сетевых и промышленных протоколов, настройку производительности для крупномасштабного сканирования; имеется широкофункциональный внутренний язык программирования для реализации любого типа тестирования уязвимостей.

OpenVAS реализует активный мониторинг: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки, получает доступ к консоли управления и выполняет там команды. Далее сканер анализирует собранные данные и делает выводы о наличии каких-либо брешей, чаще всего обусловленных наличием на узле необновлённого или небезопасно настроенного ПО.

Сканер использует большую ежедневно пополняемую базу уязвимостей (более 50 000), а также подключение к базе CVE, описывающей известные проблемы безопасности.

 

Рисунок 17. Окно со списком задач для поиска уязвимостей в OpenVAS

 

Greenbone разрабатывает OpenVAS как часть своего коммерческого семейства продуктов для управления уязвимостями Greenbone Security Manager (GSM). OpenVAS — это один из элементов более крупной архитектуры. В сочетании с дополнительными модулями с открытым исходным кодом он образует решение Greenbone Vulnerability Management.

Более подробная информация о сканере находится на сайте разработчика.

Выводы

Рассмотренные сканеры уязвимостей, как российские, так и зарубежные, обладают некоторыми сходствами — в частности, поддерживают большинство популярных операционных систем, умеют проводить инвентаризацию ИТ-ресурсов и сканирование сетевых портов, сервисов и веб-приложений, выявляют недостаточно стойкие и установленные по умолчанию пароли, ведут поиск уязвимостей с использованием баз cve.mitre.org и стандарта OVAL, решают задачи по соответствию требованиям стандарта PCI DSS, а также обеспечивают интеграцию с SIEM.

Тем не менее стоит отметить различия между зарубежными и отечественными продуктами: например, российские сканеры дополнительно обеспечивают поиск уязвимостей из Банка данных угроз безопасности информации ФСТЭК России, имеют сертификаты соответствия требованиям отечественного регулятора, позволяют проверять некоторые средства защиты и не поставляются в качестве облачного сервиса.

В свою очередь, зарубежные системы дают возможность обеспечивать защиту конечных точек за счёт использования локальных агентов и облачной платформы. Этот вариант помимо прочего позволяет лучше и оперативнее отслеживать изменения в ИТ-инфраструктуре и вовремя реагировать на новые уязвимости или атаки: ведь при такой схеме узлы сети начинают играть роль сетевых сканеров для мониторинга трафика. Также зарубежные продукты предлагают больше возможностей для интеграции со сторонними системами, такими как IDS / IPS, межсетевые экраны, средства патч-менеджмента, комплексы технической поддержки (service desk) или инструменты для пентестов.

Что касается продуктов с открытым исходным кодом, то нужно сказать, что они также предлагают достаточные для выявления уязвимостей функции, но при этом приходится мириться с не очень удобным интерфейсом и некоторыми ограничениями в части возможностей.

По итогам хочется сказать, что представленные в обзоре сканеры позволят при регулярном их использовании своевременно обнаруживать уязвимости и недостатки в безопасности ИТ-инфраструктуры. Но необходимо отметить, что данный класс средств защиты стремительно развивается и постепенно сканеры превращаются в более масштабные системы, решающие большее количество задач.

Угрозы безопасности локальных вычислительных сетей

Локальная сеть (LOCAL AREA NETWORK-LAN) -набор компьютеров (часто называемых рабочими станциями (Workstation)), серверов, сетевых принтеров, коммутаторов (Switch), маршрутизаторов (Router), точек доступа (Access Point), другого оборудования, а также соединяющих их кабелей, обычно расположенных на относительно небольшой территории или в небольшой группе зданий (учебный класс, квартира, офис, университет, дом, фирма, предприятие) [1].

Компьютерные сети сегодня являются привычным инструментом коммуникаций, информационного обмена и выполнения вычислений. Именно поэтому очень важно быть уверенным в защищённости локальной сети и вовремя выявить возможные угрозы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности.

Угрозы безопасности информации локальных вычислительных сетей можно разделить на две большие группы:

                   I.                        Технические угрозы:

1.      Ошибки в программном обеспечении.

2.      Различные DoS- и DDoS-атаки.

3.      Компьютерные вирусы, черви, троянские кони.

4.      Анализаторы протоколов и прослушивающие программы («снифферы»).

5.      Технические средства съема информации.

                 II.                        Человеческий фактор:

1.      Уволенные или недовольные сотрудники.

2.      Промышленный шпионаж.

3.      Халатность.

4.      Низкая квалификация.

Рассмотрим каждую угрозу и способы защиты от них подробнее.

Ошибки в программном обеспечении — самое узкое место любой сети. Источниками ошибок в программном обеспечении являются специалисты — конкретные люди с их индивидуальными особенностями, квалификацией, талантом и опытом. Большинство ошибок не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Такие уязвимости устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.

Различные DoS- и DDoS-атаки. Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Защита от DoS — атак должна опираться на межсетевой экран. При этом важна правильная настройка работы всех компонентов, которая возможна лишь с участием квалифицированного специалиста области информационной безопасности. Проведение мониторинга и анализа трафика позволит своевременно обнаружить угрозы, принять необходимые меры. Более надежная защита от DDoS — атак достигается с помощью выделенного сервера. Безопасное дисковое пространство надежно хранит данные, которые находятся под контролем экспертов дата-центра. При этом предоставляется круглосуточный доступ к сети.

Существует система очистки трафика как качественная защита DDoS-атак, которая построена на выявлении поддельных пакетов и их блокировке. Легитимные пользователи при этом не ограничиваются в доступе к ресурсам. Система анализирует нормальный входящий и исходящий трафик, строит графики и запоминает адекватную работу. При DDoS-атаке сразу можно заметить аномальные отклонения в построенных кривых. При первых симптомах атаки рекомендуется обратиться к профессиональным сервисам, предоставляющим услугу защиты от таких атак [3].

Компьютерные вирусы, черви, троянские кони. Компьютерный вирус — вид вредоносного программного обеспечения, способный создавать копии самого себя и внедрятся в код других программ, с целью нарушения работы программно-аппаратных комплексов.

В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений, установка антивирусного ПО, осуществление контроля задач и сервисов, запускаемых в системе, установить персональный брандмауэр [2].

Анализаторы протоколов и прослушивающие программы («снифферы»). В эту группу входят средства перехвата передаваемых по сети данных. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POP3, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям [1].

Технические средства съема информации. Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т. д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Уволенные и недовольные сотрудники. Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачастую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д. Защита от них может осуществляться на физическом уровне и с помощью нормативно-правовых мер [4].

Промышленный шпионаж — форма недобросовестной конкуренции, при которой осуществляется незаконное получение, использование, разглашение информации, составляющей коммерческую, служебную или иную охраняемую законом тайну с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды. Защититься от него достаточно сложно. В основном защита осуществляется с помощью охранной системы.

Халатность — неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к работе.

В результате ошибок из-за халатности, злоумышленник может получить доступ в защищённую сеть. Борьба с халатностью ведётся на законодательном уровне. Существует множество нормативно-правовых актов, которые предусматривают меры наказания за подобное нарушение.

Низкая квалификация. Низкая грамотность сотрудников в работе локальных сетей может приводить к ряду ошибок. Такой сотрудник не может определить, какая информация является конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один — обучение пользователей, создание соответствующих документов и повышение квалификации [4].

Вышеперечисленные угрозы составляют неполный перечень угроз безопасности локальных сетей, и могут дополняться. Однако знание основных угроз и методов борьбы с ними позволит обезопасить локальную вычислительную сеть от нежелательных воздействий, а также принять все необходимые меры по их устранению.

 

Литература:

 

1.                  В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. — СПб: Питер, 2000.

2.                  Касперский Е. Компьютерные вирусы, 2003. — Электронная энциклопедия. — Режим доступа к энциклопедии: www.viruslist.com/viruslistbooks.html.

3.                  Лужнов Е. DDoS атаки, методы противодействия// Лаборатория Касперского.

4.                  Информационно-психологическая безопасность: основные понятия / Г. М. Зараковский., Г. Л. Смолян // Психология и безопасность организаций: Сб. науч. тр. / Под ред. А. В. Брушлинского и В. Е. Лепского. — М., 1997.

Методика анализа защищенности информационных систем — GlobalTrust Solutions

Понятие защищенности информационных систем

Защищенность является одним из важнейших показателей эффективности функционирования ИС, наряду с такими показателями как надежность, отказоустойчивость, производительность и т. п. Под защищенностью ИС обычно понимается степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности, нарушающих такие свойства информации, как конфиденциальность, целостность и доступность.

Типовая методика включает использование следующих методов:

• Изучение исходных данных по ИС
• Оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС
• Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам
• Ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры
• Сканирование внешних сетевых адресов ЛВС из сети Интернет
• Сканирование ресурсов ЛВС изнутри
• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную, либо с использованием специализированных программных средств.

Последовательность мероприятий по анализу защищенности

Анализ защищенности ИС в общем случае включает в себя следующие этапы работы:

1. Инициирование и планирование
   1. Определение области и границ аудита
   2. Формирование общего описания объекта аудита
   3. Планирование мероприятий по анализу защищенности
   4. Подготовка опросных листов
   5. Выбор и настройка инструментальных средств
2. Обследование, документирование и сбор информации
   1. Инвентаризация ИТ-активов (информации, программного обеспечения, оборудования, персонала, помещений)
   2. Описание бизнес процессов и их зависимости от ИТ-активов
   3. Описание структуры корпоративной сети, комплекса программно-технический средств и средств защиты информации
   4. Идентификация угроз информационной безопасности, формирование модели угроз
3. Анализ полученных данных и уязвимостей
   1. Оценка эффективности, надежности и полноты существующих механизмов контроля информационной безопасности
   2. Идентификация и анализ организационных уязвимостей информационной безопасности:
   3. Сбор и анализ документации по информационной безопасности, процессов и процедур обеспечения информационной безопасности
   4. Интервьюирование специалистов Заказчика
   5. Сканирование внешнего периметра корпоративной сети
   6. Сканирование и анализ защищенности внутренней ИТ-инфраструктуры и бизнес-приложений
4. Выработка рекомендаций
   1. Рекомендации по устранению организационных уязвимостей
   2. Рекомендации по устранению уязвимостей внешнего периметра сети
   3. Рекомендации по устранению уязвимостей внутренней ИТ-инфраструктуры
5. Подготовка отчетных документов

Структура отчета по результатам анализа защищенности

Отчет по результатам анализа защищенности ИС включает в себя следующие разделы:

1. Введение
2. Общие описание объекта обследования
   1. Назначение и основные функции системы
   2. Группы задач, решаемых в системе
   3. Классификация пользователей системы
   4. Организационная структура обслуживающего персонала
3. Структура и состав комплекса программно-технических средств
   1. ЛВС
   2. Серверы
   3. Рабочие станции
   4. Линии связи и активное сетевое оборудование
   5. Виды информационных ресурсов, хранимых и обрабатываемых в системе
   6. Характеристика каналов взаимодействия с другими системами и точек входа
4. Результаты анализа организационных уязвимостей
5. Результаты анализа защищенности внешнего периметра сети
   1. Сканирование портов
   2. Идентификация сетевых сервисов
   3. Анализ сетевых сервисов
   4. Взлом паролей HTTP, POP3 и прочих сетевых сервисов
   5. Анализ конфигурации внешнего маршрутизатора, МЭ, активного сетевого оборудования и средств защиты периметра сети
   6. Анализ топологии ЛВС
6. Результаты анализа защищенности внутренней ИТ-инфраструктуры
   1. Анализ защищенности серверов и рабочих станций
   2. Углубленный анализ параметров защищенности операционных систем
   3. Внутреннее сканирование ЛВС
7. Рекомендации по устранению обнаруженных недостатков и повышению уровня защищенности
   1. Рекомендации по устранению организационных уязвимостей
   2. Рекомендации по устранению уязвимостей внешнего периметра сети
   3. Рекомендации по устранению уязвимостей внутренней ИТ-инфраструктуры
8. Выводы
9. Приложения
   1. Заполненные опросные листы
   2. Отчеты сетевых сканеров безопасности
   3. Отчеты хостовых средств анализа защищенности

Тестирование системы защиты по методу «черного» и «белого» ящика

Тестирование системы защиты ИС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:

• тестирование по методу «черного ящика»
• тестирование по методу «белого ящика»

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования имитируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже.

Анализ защищенности внешнего периметра корпоративной сети

Целью аудита внешнего периметра корпоративной сети является оценка уровня защищенности ИС организации от атак со стороны сети Интернет, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.

Анализ производится путем эмуляции действий потенциального злоумышленника по проникновению в корпоративную сеть (Penetration test) с целью нарушения ее функционирования, внедрения вредоносного ПО, кражи конфиденциальной информации и выполнения других деструктивных действий. Производится также анализ конфигурации средств защиты периметра сети.

При выполнении проверок используется богатый арсенал современных инструментальных средств сетевого сканирования, специализированные средства анализа веб сайтов и сетевых приложений, программы, реализующие конкретные методы взлома (exploits), средства подбора паролей, а также ручные проверки. Используемые источники информации, включающие в себя SANS Top20, CVE, CERT, BugTraq, Microsoft Bulletins, CIS Security Benchmarks и др., позволяют гарантировать надежную идентификацию всех известных уязвимостей.

Проверочные мероприятия включают в себя:

• Проверка на возможность проникновения в локальную сеть компании, похищения и порчи данных
• Обследование доступных из Интернет сетевых сервисов (в том числе электронной почты, сервисов мгновенных сообщений, p2p и др.)
• Проверка межсетевых экранов на начилие уязвимостей
• Обследование Web и Почтового серверов

В случае обнаружения уязвимостей, предоставляются документальные свидетельства возможности компрометации, искажения, уничтожения критичной информации в предоставленных для исследования Интернет-ресурсах.

Сканирование включает более 1000 тестов для ОС UNIX, Windows и активного сетевого оборудования. Некоторые тесты называются «сбор информации» и проводятся для того, чтобы показать, что постороннее лицо может узнать об исследуемом компьютере. Остальные тесты проверяют уязвимость систем, путем сканирования на наличие известных «дыр». Каждый компьютер сканируется на наличие открытых портов и запущенных сервисов. Сканирование не наносит вреда, так как «разрушительные» действия не предпринимаются. Риск минимизируется, избегается перегрузка сети или превышение максимума пропускной способности.

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

• настройка правил разграничения доступа (правил фильрации сетевых пакетов) на МЭ и маршрутизаторах
• используемые схемы и настройка параметров аутентификации
• настройка параметров системы регистрации событий
• использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), маскарадинг и использование системы split DNS
• настройка механизмов оповещения об атаках и реагирования
• наличие и работоспособность средств контроля целостности
• версии используемого ПО и наличие установленных пакетов программных коррекций

Отчет по результатам работы содержит общую оценку уровня защищенности корпоративной сети от внешних сетевых атак, подробное описание обнаруженных уязвимостей по каждому IP-адресу, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.

Анализ защищенности внутренней ИТ-инфраструктуры

Целью анализа защищенности внутренней ИТ-инфраструктуры является выявление уязвимостей корпоративной сети, делающих возможным реализацию сетевых атак на информационные ресурсы и ИТ инфраструктуру Заказчика со стороны внутренних злоумышленников, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.

Анализ защищенности внутренних сетевых хостов, в отличие от анализа защищенности внешнего сетевого периметра, включает в себя помимо внешних, также и внутренние проверки хостов и установленных на них приложений.

Внутренние проверки включают в себя анализ конфигурации операционных систем и приложений по спискам проверки на соответствие техническим стандартам и рекомендациям производителей, аудит паролей и прочие проверки, определяемые спецификой конкретных систем.

Анализ защищенности внутренней ИТ-инфраструктуры организации предполагает проведение полного комплекса мероприятий по техническому аудиту, включая:

• Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых серверов, DNS серверов и других критичных элементов сетевой инфраструктуры
• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств и списков проверки
• Сканирование хостов, входящих в состав ЛВС

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

• Настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах
• Используемые схемы и настройка параметров аутентификации
• Настройка параметров системы регистрации событий
• Использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), «маскарадинг» и использование системы split DNS
• Настройка механизмов оповещения об атаках и реагирования
• Наличие и работоспособность средств контроля целостности
• Версии используемого ПО и наличие установленных пакетов программных коррекций

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, реализуемых при помощи богатого арсенала средств анализа защищенности, включающего в себя: сетевые сканеры, анализаторы параметров защиты, взломщики паролей и специализированные программные агенты.

Инструментальные средства анализа защищенности

Для анализа защищенности ИС используется множество инструментальных средств, в числе которых:

• Сетевые сканеры безопасности: Nessus, OpenVAS, XSpider, Lumension Security Vulnerability Scanner, Retina Network Security Scanner, metasploit, nexpose, backtrack, MBSA, Kali-Linux, Burp Suite, OWASP dirbuster, ProxyStrike
• Хостовые средства анализа параметров защиты: Security Benchmarks, CIS Scoring Tools, CIS Router Audit Toolkit, Windows Security Templates, Security Analysis Tool
• Сетевые взломщики паролей Brutus, Hydra, LC5
• Стандартные сетевые утилиты: как host, showmount, traceout, rusers, finger, ping
• Средства инвентаризации и сканеры ресурсов сети: LanScope, nmap
• Сетевые снифферы и анализаторы протоколов: tcpdump, wireshark

Для того, чтобы не упустить из виду каких-либо актуальных уязвимостей, используются известные методики (OSSTMM, OWASP Testing Guide) и актуальные перечни уязвимостей (OWASP top-10, SANS top-20, CVE).

Для получения более подробной информации обращайтесь к нам

Дыры в защите корпоративной сети: сетевые уязвимости

В предыдущем блоге мы рассказали о том, какие атаки могут быть предприняты злоумышленником, работающим из-под учетной записи обычного пользователя без привилегий локального администратора. В частности, мы приводили пример того, как упрощенное наследование привилегий в рамках доменной авторизации (Single-Sign-On) позволяет злоумышленнику получить доступ к различным сетевым ресурсам и сервисам, действуя из-под ограниченной учетной записи обычного пользователя. В этом блоге мы детально рассмотрим возможные векторы атаки на корпоративную сеть изнутри, т.е. с зараженного компьютера.

После того, как злоумышленник получил контроль над какой-либо пользовательской системой в корпоративной сети, все дальнейшие события укладываются в три последовательных этапа: закрепление в системе, анализ окружения и распространение. Есть множество вариантов реализации каждого из описанных этапов, различающихся техническими методами, стратегией и тактикой. Возможные варианты действий злоумышленника, направленных на закрепление, анализ и распространение в корпоративной сети, изображены на схеме ниже.

Схема действий злоумышленника

Для специалистов ИБ важно знать признаки, по которым та или иная атака может быть своевременно обнаружена. Так, используя предложенную «карту действий», специалисты ИБ могу обнаружить атаку, сопоставляя происходящие в сети события с различными шаблонами поведения злоумышленника.

Закрепление в системе

Обычно в первые минуты или часы после проникновения в корпоративную сеть хакер загружает на атакованный компьютер утилиты (в т.ч. вредоносные), необходимые для сбора информации о системе и установленном ПО, поиска файлов и данных, установления связи с центром управления (C&C), кражи учетных данных, перебора паролей, взлома учетных записей, повышения привилегий, заражения системы, перехвата сетевого трафика, сканирования устройств в сети и т.д.

Чтобы скрыть загрузку всех необходимых инструментов от глаз сетевых администраторов и специалистов ИБ и избежать срабатывания всевозможных систем защиты, хакеры прибегают к маневрам различной степени сложности:

• Файлы передаются по сетевым протоколам/портам общего назначения (HTTP, FTP, HTTPS, SFTP), растворяясь в огромном потоке ежедневного пользовательского трафика.
  Файлы загружаются со взломанных серверов, с использованием Fast Flux сетей или через Tor.
• Файлы передаются по частям, в обфусцированном и/или зашифрованном виде.
• Иногда для передачи используются различные виды стеганографии, например, сокрытие данных внутри аудио/видео файлов, изображений или заголовков интернет-протоколов (особенно если порты общего назначения закрыты сетевым экраном).

После загрузки необходимых инструментов злоумышленник пытается получить доступ к учетной записи локального администратора или системы. В первом случае обычно используется ПО для перехвата ввода с клавиатуры, перебора паролей, взлома учетных записей или фишинг. Во втором случае для получения доступа к системной учетной записи (т.е. привилегий уровня ядра) обычно используются эксплойты уязвимостей в системных сервисах.

Используя полученные привилегии, злоумышленник сможет глубоко закрепиться в системе, внедрив в ОС руткит или буткит, очистить систему от следов проникновения, скрыть свои инструменты и следы активного заражения от локальных средств защиты. Если злоумышленнику не удалось закрепиться в системе «классическим» способом, он может настроить автоматическое заражение системы, например, используя стандартный планировщик задач.

Разумеется, в каждом конкретном случае сценарий «закрепления в системе» может значительно отличаться от предложенного выше описания. Но, как мы говорили в начале статьи, для специалиста ИБ важно понимать принципы проведения атаки и уметь представлять себе задачи, которые решает злоумышленник. Так, на этапе закрепления основная задача злоумышленника – организовать надежный долгосрочный доступ к атакованной системе. В общем случае, решение задачи удаленного доступа состоит из двух частей: создание канала передачи данных и внедрение средства удаленного управления (бэкдора).

Анализ окружения

До, после или одновременно с закреплением в системе злоумышленнику необходимо собрать информацию об ОС и её конфигурации, установленных обновлениях, программах и средствах защиты. Эта информацию не только пригодится для оценки текущей ситуации и планирования следующих шагов атаки, но и крайне полезна для точного подбора необходимых утилит и эксплойтов.
Для сбора информации о системе обычно вполне достаточно имеющихся под рукой средств:

• cmd, regedit, vbs, powershell в ОС Windows,
• bash, grep, python, perl в Unix/Linux и Mac OS.

С точки зрения хакера, есть масса плюсов в том, чтобы использовать перечисленные утилиты – они есть в каждой системе, доступны даже с ограниченными правами пользователя, а их работа не контролируется большинством средств защиты. Для решения более сложных задач злоумышленники используют как широко известные, так и собственные утилиты, позволяющие перехватывать сетевой трафик, сканировать устройства в сети, подключаться к различным сетевым службам, используя доменную авторизацию, и т.д. При этом, если хакерские утилиты написаны, скажем, на python, то злоумышленники наверняка установят необходимое ПО на зараженный компьютер. В этом случае, python (и т.п.) скорее всего не будет скрыт в системе при помощи руткита, поскольку это может вызвать проблемы в работе интерпретатора.

Для поиска и анализа других устройств в корпоративной сети, злоумышленники применяют методы пассивного и активного сканирования. В частности, используя сниффер для прослушивания трафика с локального сетевого интерфейса, можно легко обнаружить различные устройства по ARP-пакетам или активным подключениям, определить адреса серверов, на которых расположены корпоративные приложения, такие как ActiveDirectory, Outlook, базы данных, корпоративные вебсайты и многие другие. Для получения детальной информации о конкретном узле сети злоумышленники используют сетевые сканеры (например, nmap), позволяющие определить доступные сетевые службы, угадать название и версию ПО, обнаружить присутствие сетевого экрана, IDS/IPS.

Распространение

После того, как злоумышленник закрепился в системе, организовал надежный канал для удаленного доступа и собрал достаточно информации о корпоративной сети, его дальнейшее действия обычно направлены на достижения исходной цели – это может быть кража конфиденциальной информации, атака на инфраструктуру компании, получение контроля над критическими системами с целью шантажа или же собственные нужды. За исключением случаев, когда изначально атакованная система, является конечной целью (например, ноутбук СЕО, центральный сервер или вебсайт), злоумышленнику необходимо захватить контроль над другими системами внутри корпоративной сети – в зависимости от выбранной цели заражение может быть точечным или массовым.

Например, для атаки на инфраструктуру скорее всего потребуется массовое заражение как серверов, обеспечивающих выполнение различных бизнес-процессов, так и рабочих станций операторов и администраторов. С другой стороны, для кражи конфиденциальной информации или шпионажа злоумышленнику придется действовать с большой осторожностью, атакуя только самые приоритетные системы.

Распространение внутри корпоративной сети может быть реализовано множеством способов. Так же, как в случае с закреплением в системе и анализом окружения, злоумышленники выбирают наиболее простые решения, в частности – использование существующих учетных записей. Например, запуская вредоносный код из-под доменной учетной записи пользователя зараженной системы, злоумышленник может свободно подключаться к различным сетевым сервисам (к которым у пользователя есть доступ) используя доменную авторизацию (Single Sign-On), т.е. без указания логина/пароля. С другой стороны, используя перехватчик ввода с клавиатуры, злоумышленник легко может получить логин/пароль как от доменной учетной записи, так и от других сервисов, не поддерживающих доменную авторизацию. Также злоумышленник может попытаться использовать уязвимости в механизмах хранения и проверки учетных данных или использовать перебор пароля.

Наиболее эффективным способом распространения внутри корпоративных сетей является эксплуатация уязвимостей, поскольку большая часть защиты корпоративной сети сосредоточена на предотвращении внешних атак. Как следствие, внутри сети можно встретить множество разнообразных уязвимостей, незащищенных корпоративных сервисов, тестовых серверов, систем управления/виртуализации и т.п. Практика показывает, что даже если специалистам ИБ и инженерам ИТ известно обо всех уязвимостях в корпоративной сети, их устранение длится годами, поскольку требует большого количества ресурсов (человеко-часов). Тем не менее, опытные хакеры с осторожностью используют эксплойты для известных уязвимостей, предпочитая атаковать незащищенные корпоративные сервисы – в случае, если в сети все же используется IDS/IPS (локальный или сетевой), использование эксплойтов для известных уязвимостей может привести к обнаружению злоумышленника.

Обнаружение атаки

На каждом этапе атаки злоумышленники часто используют окружение и имеющиеся под рукой средства в собственных целях, оставаясь незаметными на фоне активности обычных пользователей. Для решения этой проблемы необходимо уменьшать избыточность окружения и бизнес-процессов там, где это возможно, а во всех остальных случаях необходимо следить за тем, что происходит, выявлять аномалии и реагировать на них.

Наглядным примером избыточности в бизнес-процессах является свободный доступ к бизнес-активам (конфиденциальным документам, критичным приложениям, оборудованию и т.д.), права локального администратора и возможность удаленного подключения к корпоративной сети для тех, кому такие права и доступ не нужны. Сказанное относится не только к разделению прав на уровне домена, но и на уровне прикладного ПО – обычно браузерам не нужен доступ к памяти других процессов, а MS Office незачем устанавливать драйвера.

В качестве примера избыточности окружения можно привести наличие на компьютере рядового сотрудника (не являющегося разработчиком, тестировщиком, администратором или специалистом ИБ) ПО для перехвата сетевого трафика, сканирования сети, удаленного доступа, создания локального HTTP/FTP сервера, использования стороннего сетевого оборудования (Wi-Fi и 3G модемов), средств разработки ПО и т.д.

Эффективная стратегия по предотвращению атак внутри корпоративной сети заключается в том, чтобы не дать злоумышленнику действовать скрытно, вынудить его предпринимать сложные и рискованные шаги, которые позволят специалистам ИБ обнаружить факт атаки и вовремя нейтрализовать угрозу. Для этого в корпоративной сети необходимо иметь две вещи: умную защиту и систему управления информационной безопасностью (СУИБ). Информационная безопасность корпоративной сети, построенная на основе интеграции этих двух технологий, принципиально отличается от устоявшейся модели защиты, а именно – может видеть все, что происходит в сети, и незамедлительно реагировать на угрозы.

Умные средства защиты – это те же антивирусы, сетевые экраны, IDS/IPS/HIPS, Application Control, Device Control и т.д., но способные взаимодействовать с СУИБ. Такие средства защиты должны не только собирать и передавать в СУИБ всевозможную информацию, но и выполнять команды по блокированию попыток доступа, создания подключений, передачи данных по сети, запуска приложений, чтения и записи файлов и т.д. Конечно, чтобы все это работало, специалисту ИБ необходимо уметь отличать легитимную активность от вредоносной.

Практические аспекты выявления уязвимостей программного обеспечения

Назад к списку статей

Виктор Сердюк, кандидат технических наук, CISSP,
Генеральный директор ЗАО «ДиалогНаука»

Издание «Information Security» №3 за 2013 год
www.itsec.ru

Хорошо известно, что любая информационная атака реализуется злоумышленником на основе той или иной уязвимости, которая присутствует в атакуемой системе. Согласно ГОСТ Р 50922-2006 под уязвимостью понимается свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. На сегодняшний день можно выделить различные виды уязвимостей, но в данной статье речь пойдет о тех из них, которые относятся к программному обеспечению.

Ни для кого не секрет, что с каждым годом увеличивается количество уязвимостей, которые обнаруживаются в прикладном программном обеспечении (ПО). При этом растет не только их количество, но и их разновидность. Так, например, по данным компании Hewlett Packard на сегодняшний день можно выделить более 500 классов различных уязвимостей в ПО. Примерами таких уязвимостей являются «переполнение буфера» (buffer overflow), SQL injection, Cross Site Scripting и многие другие.

Крайне важно также отметить, что чем раньше удастся выявить уязвимость в ПО, тем меньше финансовых средств понадобится для её устранения. Данный факт наглядно иллюстрирует таблица, приведенная ниже.

№	Наименование этапа разработки ПО	Стоимость устранения уязвимости
1	Разработка технического задания	$ 139
2	Проектирование ПО	$ 455
3	Разработка ПО (программирование)	$ 977
4	Тестирование ПО	$ 7 136
5	Техническое сопровождение ПО	$ 14 102

Стоимость устранения уязвимостей на различных этапах разработки ПО

Поиск уязвимостей в ПО может осуществляться в ручном режиме либо с использованием средств автоматизации. В настоящее время для выявления уязвимостей ПО могут использоваться средства статического или динамического анализа, которые будут более подробно рассмотрены ниже.

Средства статического анализа

Статический анализ предполагает поиск потенциально опасных конструкций в исходном коде программного обеспечения. Данный вид анализа потенциально позволяет выявлять технологические уязвимости, которые возникают на этапе разработки ПО вследствие халатности или злого умысла разработчика.

Процесс внедрения средств статического анализа требует вовлечения не только подразделения по защите информации, но и подразделения, которое отвечает за разработку программного обеспечения. Это обусловлено тем, что только разработчики смогут провести анализ результатов сканирования исходного кода и внести в исходный код приложения необходимые корректировки.

Ниже на рисунке показан обобщенный процесс использования средства статического анализа безопасности. В рамках данного процесса средство для статического анализа запускает процесс сканирования исходного кода в момент централизованной сборки всего приложения. Как правило, этот процесс осуществляется в конце рабочего дня. Информация о выявленных в процессе сканирования уязвимостях поступает в сервер управления, к которому имеет доступ представитель отдела разработки, ответственный за обеспечение информационной безопасности ПО. Проанализировав результаты сканирования, он выделяет актуальные уязвимости и создает по ним соответствующие заявки в системе отслеживания ошибок (Bug Tracker). На следующем этапе руководитель всего процесса разработки ПО назначает ответственных разработчиков за устранение выявленных уязвимостей на основе созданных заявок. После этого эти разработчики вносят изменения в исходный код с целью устранения выявленных уязвимостей. Далее этот процесс повторяется на регулярной основе до завершения процесса разработки приложения. При этом с заданной периодичностью представитель подразделения по защите информации осуществляет мониторинг того, что все уязвимости, выявляемые системой статического анализа, успешно устраняются командой разработчиков.

Процесс использования средства статического анализа безопасности ПО

Примерами систем, которые реализуют данный метод анализа, являются HP Fortify и IBM AppScan. Данные решения позволяют полностью автоматизировать процесс анализа исходного кода, интегрируются во все наиболее распространенные среды разработки ПО, а также позволяют идентифицировать конкретные участки кода, содержащие уязвимость, и предложить рекомендации по её устранению. В качестве рекомендаций приводятся примеры фрагментов исходного кода, в котором показано, как исправить ту или иную уязвимость. Как правило, решения подобного класса поддерживают возможность анализа исходного кода, написанного на различных языках программирования. Так, например, решение HP Fortify поддерживает более 20-ти различных видов языков программирования, начиная от COBOL, заканчивая C#.

Средства динамического анализа

Динамический анализ предполагает проведение тестирования уже скомпилированного ПО и функционирующего в определенной среде. Для решения данной задачи, в частности, могут использоваться специализированные сканеры безопасности, которые моделируют возможные атаки злоумышленников, а также анализируют конфигурационные файлы ПО. Динамический анализ позволяет выявлять не только технологические, но и эксплуатационные уязвимости, связанные с неправильной настройкой ПО. К таким уязвимостям можно отнести: использование слабых и нестойких к угадыванию паролей доступа, наличие неиспользуемых учетных записей, неправильно настроенные функции безопасности ПО и др. В качестве примеров продуктов, реализующих функционал динамического анализа, можно привести решения Max Patrol (компании Positive Technologies) и Qualis (компании Qualys, Inc.).

Еще одной разновидностью динамического анализа является фаззинг (от английского термина fuzzing). Фаззинг представляет собой процесс передачи на вход программе намеренно некорректных данных с целью вызова ситуации сбоя или ошибки. Таким образом, эта технология позволяет обнаруживать уязвимости в анализируемом приложении.

Использование средств динамического анализа не требует наличия исходного кода ПО, а также вовлечения разработчиков для проведения анализа безопасности приложения.

Комплексный подход

Для обеспечения максимально эффективной оценки уровня безопасности ПО необходимо использование средств как статического, так и динамического анализа, поскольку они позволяют дополнить друг друга. Так, статический анализ позволяет обнаружить до 80% имеющихся уязвимостей, которые можно идентифицировать на основе исходного кода. В то же время динамический анализ позволяет дополнительно выявить оставшиеся 20% уязвимостей, которые связаны с настройкой ПО и тем окружением, в котором оно работает. Необходимо также отметить, что данные решения по анализу безопасности ПО могут использоваться как в виде специализированных продуктов, установленных в ЛВС компании, так и в виде облачных сервисов.

При этом анализ безопасности ПО, безусловно, должен стать частью комплексного подхода к обеспечению информационной безопасности компании в целом. Требования о необходимости проведения такого рода анализа уже прописаны в ряде стандартов по защите информации, в частности в PCI DSS и СТО БР ИББС. Это означает, что помимо использования инструментальных средств статического или динамического анализа необходимо также наличие документированных процедур, которые описывают процессы, связанные с разработкой безопасного ПО. За основу таких процедур можно взять рекомендации ведущих компаний-разработчиков ПО, таких как Microsoft или EMC, которые внедрили у себя и создали специальные рекомендации по организации процесса разработки безопасного ПО – SDL (Security Development Lifecycle). Эти рекомендации в том числе включают в себя процедуры повышения осведомленности разработчиков о проблемах, связанных с созданием небезопасного кода. Конечным результатом внедрения всех этих процедур должно являться повышение качества разрабатываемого кода, в том числе и с точки зрения информационной безопасности.

Заключение

На сегодняшний день более 80% атак злоумышленников базируются на использовании уязвимостей в прикладном ПО. Своевременное выявление и устранение этих уязвимостей позволит предотвратить возможные атаки нарушителей. Для эффективного решения данной задачи рекомендуется использовать современные инструментальные средства анализа безопасности ПО, которые могут значительно автоматизировать процесс поиска и устранения слабых мест в ПО организации.

Методологии анализа защищенности информации в автоматизированных системах Текст научной статьи по специальности «Компьютерные и информационные науки»

7. Кутузов В.В., Терехин С.Н., Филиппов А.Г. Производственная и пожарная автоматика. Технические средства автоматической пожарной сигнализации: Учебник — гриф УМО «Рекомендовано» по университетскому политехническому образованию для курсантов, студентов и слушателей ВУЗов, обучающихся по направлению подготовки бакалавров, магистров «Техносферная безопасность» и по специальности «Пожарная безопасность»; СПб.: Санкт-Петербургский университет ГПС МЧС России, 2014. 284 с.

8. Кутузов В.В., Минкин Д.Ю., Терехин С.Н., Османов Ш.А., Талировский К.С. Методы и технологии обнаружения пожара: Монография / Под общей редакцией В.С. Артамонова. СПб: Астерион, Санкт-Петербургский университет Государственной Противопожарной Службы МЧС России, 2015.

9. Шаровар Ф.И. Пожаропредупредительная автоматика. М: Специнформатика-СИ, 2013.

10. Арутюнян Д.М. Новые технологии гарантированного предотвращения пожаров / Под общей редакцией доктора технических наук Шаровара Ф.И. М: Специнформатика — СИ, 2014.

11. Кутузов В.В. Викман А.В. К вопросу оценки эффективности систем автоматической противопожарной защиты на объектах транспортной инфраструктуры. V Международная научно-практическая конференция молодых ученых: «Проблемы гражданской защиты: управление, предупреждение, аварийно-спасательные и специальные работы» / Республика Казахстан. Кокшетау, 17 марта 2017 г. 61-65 с.

МЕТОДОЛОГИИ АНАЛИЗА ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

Бутин А.А.

Бутин Александр Алексеевич — кандидат физико-математических наук, доцент, направление: информационная безопасность, кафедра информационных систем и защиты информации, Иркутский государственный университет путей сообщения, г. Иркутск

УДК 004.056

При создании инфраструктуры корпоративной автоматизированной системы (АС) на базе современных компьютерных сетей неизбежно возникает вопрос ее защищенности от угроз безопасности информации.

Насколько адекватны реализованные в АС механизмы безопасности существующим рискам? Можно ли доверять этой АС обработку, хранение, передачу конфиденциальной информации? Имеются ли в текущей конфигурации АС ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа? Содержит ли установленное в АС программное обеспечение (ПО) уязвимости, которые могут быть использованы для взлома защиты? Как оценить уровень защищенности АС и как определить является ли он достаточным в данной среде функционирования? На какие критерии оценки защищенности следует ориентироваться и какие показатели защищенности использовать? Какие контрмеры позволят реально повысить уровень защищенности АС?

Такими вопросами рано или поздно задаются все специалисты 1Т-отделов, отделов защиты информации и других подразделений, отвечающих за эксплуатацию и сопровождение АС. Ответы на эти вопросы далеко неочевидны. Анализ защищенности АС от угроз безопасности информации — работа сложная. Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев

и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, знание различных программно-аппаратных платформ, используемых в современных компьютерных сетях — вот далеко не полный перечень профессиональных качеств, которыми должны обладать специалисты, проводящие работы по анализу защищенности АС.

Анализ защищенности является основным элементом таких взаимно пересекающихся видов работ как аттестация, аудит и обследование безопасности АС.

Методика анализа защищенности. В настоящее время не существует, каких либо стандартизированных методик анализа защищенности АС, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данный подход не претендует на всеобщность, его эффективность многократно проверена на практике. Типовая методика включает использование следующих методов:

• Изучение исходных данных по АС;

• Оценка рисков, связанных с наличием угроз безопасности в отношении ресурсов АС;

• Анализ механизмов организационного уровня, политики

• безопасности организации и организационно-распорядительной

• документации и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам;

• Ручной анализ конфигурационных файлов маршрутизаторов, межсетевых экранов (МЭ) и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и Б№-серверов, а также других критических элементов сетевой инфраструктуры;

• Сканирование внешних сетевых адресов локальной вычислительной системы (ЛВС) из сети Интернет;

• Сканирование ресурсов ЛВС изнутри;

• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Методы тестирования системы защиты. Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную либо с использованием специализированных программных средств.

Таким образом, анализ системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:

• тестирование по методу «черного ящика»;

• тестирование по методу «белого ящика».

Первый вариант предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак, и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей. Все исследования могут проходить как с предупреждением обслуживающего персонала о планируемых работах, так и без него. Во втором случае

существует возможность оценить, за какое время после начала исследования персонал зафиксирует инцидент, а также какова адекватность предпринимаемых действий по минимизации его воздействия или предотвращения.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Это наиболее продуктивный метод проведения анализа защищенности, позволяющий выявить наибольшее число уязвимостей. Однако стоит заметить, что данный метод лишен возможности взглянуть на приложение с позиций атакующего.

Средства анализа защищенности. Арсенал программных средств, используемых для анализа защищенности АС достаточно широк. Причем во многих случаях свободно распространяемые программные продукты ничем не уступают коммерческим версиям.

Системы анализа защищенности (security assessment systems), также известные как сканеры безопасности (security scanners) или системы поиска уязвимостей, проводят всесторонние исследования систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют отчет состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить потенциальную возможность реализации атак, что позволяет снизить затраты на эксплуатацию средств защиты. Применение средств анализа защищенности позволяет быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить используемые в сети сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). По результатам сканирования эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки. По существу, действия системы анализа защищенности аналогичны действиям охранника, периодически обходящего все этажи охраняемого здания в поисках открытых дверей, незакрытых окон и других проблем. Только в качестве здания выступает корпоративная сеть, а в качестве незакрытых окон и дверей — уязвимости.

Классификация средств анализа защищенности по типу обнаруживаемых уязвимостей. Напомним, уязвимости информации — это присущие объекту причины, приводящие к нарушению безопасности информации и обусловленные недостатками процесса функционирования объекта, свойствами архитектуры АС, протоколами обмена и интерфейсами, применяемым ПО, аппаратной платформой, а также условиями эксплуатации.

Средства поиска уязвимостей проектирования. При поиске уязвимостей данного типа используются два подхода:

1. анализ алгоритма программно-аппаратного обеспечения;

2. анализ проекта системы.

Примером первого подхода может служить система Prototype Verification System (PVS), разработанная в Computers Science Laboratory института SRJ, известного своими системами обнаружения атак NIDES и EMERALD. В систему PVS встроен язык описания формальных спецификаций программного продукта, а также подсистема, доказательства теорем. Второй подход реализован, например, в системе CRAMM (CCTA Risk Analysis and Management Technology). Помимо нее существуют другие системы для анализа рисков, в том числе и для анализа уязвимостей проектирования. Такие как: RANK-IT, @RISK, ALRAM, ARES, LAVA, ГРИФ и другие.

Система CRAMM была разработана в 1985 году BIS Applied Systems Limited по заказу правительства Великобритании. Продукт, основанный на методологии Центральной Агентства по Компьютерам и Телекоммуникациям Великобритании (ССТА), за время своего существования претерпел несколько модификаций в зависимости от того, какие системы информационной безопасности анализировались с его помощью. На сегодняшний день существуют версии для военных ведомств, государственных структур, частных организаций и финансовых институтов.

Система ГРИФ предполагает, что для проведения полного анализа информационных рисков прежде всего необходимо построить полную модель АС с точки зрения информационной безопасности (ИБ). Для решения этой задачи ГРИФ, в отличие от представленных на рынке западных систем анализа рисков, довольно громоздких и часто не предполагающих самостоятельного использования ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Однако за внешней простотой скрывается сложный алгоритм анализа рисков, учитывающий более ста параметров, который позволяет на выходе дать точную оценку существующих в информационной системе рисков, основанную на анализе особенностей практической реализации АС. Основная задача системы ГРИФ -дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в АС и эффективность существующей практики по обеспечению ИБ компании, а также предоставить возможность доказательно (в количественных показателях) убедить руководство предприятия в необходимости инвестиций в сферу ее информационной безопасности. Достоинство системы — автоматизация трудно формализуемой задачи, недостатками являются зависимость качества работы от заложенных в нее знаний экспертов и высокая стоимость.

Средства поиска уязвимостей реализации. Уязвимости реализации — это по сути ошибки, допущенные на этапе написания кода. Системы, поиска таких уязвимостей, могут быть использованы даже не столько разработчиками ПО, относящимися с пониманием к вопросам ИБ, сколько различными организациями, которые проводят сертификацию программно-аппаратных средств.

Здесь можно выделить два подхода:

• анализ на основе исходного текста;

• анализ на основе исполняемого файла;

В первом случае для решения задачи реализаций программно-аппаратного обеспечения, свободного от ошибок, можно, во-первых, правильно организовать процессы разработки данного обеспечения, что имеет место далеко не всегда из-за желания поскорее выпустить продукт на рынок или в срок выполнить взятые по договору обязательства. В данном варианте используются различные формальные методы описания алгоритма работы продукта, соответствие с которыми проверяется в течение всего процесса разработки. Во-вторых, можно провести тестирование уже готового изделия на предмет отсутствия уязвимостей в его исходном тексте. Примером такой системы является программный анализатор, разработанный в 4 ЦНИИ МО РФ. Очень часто при отсутствии исходного текста анализируемого ПО проводится его дизассемблирование. Полученный в результате листинг исследуется при помощи стандартных способов анализа исходного текста. Примером средств, реализующих подобный способ верификации программно-аппаратного обеспечения, могут служить системы АСТМА и СОТМА, разработанные в Пензенском филиале НТЦ «Атлас». Основным недостатком анализа исходных текстов является возможность внесения в анализируемое ПО различных искажений в процессе

компиляции и компоновки. И даже совершенное с точки зрения исходного текста ПО может иметь уязвимости как следствие работы компилятора и компоновщика.

Программный анализатор 4 ЦНИИ МО предназначен для исследования исходного текста программного обеспечения, передаваемого для сертификации по требованиям безопасности информации. Анализатор реализует три составляющих поиска уязвимостей в исходном тексте — синтаксический анализ, анализ конструкций языка и построение алгоритма (блок-схемы) для каждой процедуры. На основе прототипа этого анализатора в российской компании «Центр безопасности информации» разработана серия анализаторов АИСТ-С для разбора исходных текстов, написанных на языках С, Pascal, Basic, TransactSQL и Assembler.

Система SLINT является анализатором защищенности исходного кода программ (Source Code Security Analyzer), написанных на языках С и С ++. Данный анализатор создан известной группой экспертов в области безопасности LOpht и предназначен для обнаружения следующих наиболее известных ошибок при программировании, приводящих к возникновению уязвимостей и возможности реализации атак:

• переполнение буфера;

• выход за границы массива при индексации;

• отсутствие проверки аргументов;

• некорректный доступ к памяти;

• неподходящие аргументы вызова критических процедур;

По мнению НТЦ «Атлас» — создателя систем АСТМА и СОТМА, не имеет никакого значения, есть ли исходный текст анализируемого ПО или нет, самое главное, — чтобы при анализе был известен его алгоритм. Процесс верификации ПО разбивается на следующие шаги:

1. Запись алгоритма анализируемого ПО в канонизированном виде (описание, составленное на основе математического понятия «соответствие»).

2. Перевод канонизированного описания в тензорное уравнение при помощи транслятора СОТМА (Словесное Описание — Тензорно- Множественный Аппарат).

3. Воспроизведение исходного текста анализируемого ПО на языке ассемблера или С. При этом первоначальный исходный текст получается на языке ассемблера, который затем переводится в синтаксис С. Обработка исходного текста программы на языке ассемблера или С при помощи детранслятора АСТМА (Ассемблер — Тензорно-Мно-жественный Аппарат) и получение тензорного уравнения.

4. Сравнение тензорных уравнений программы и алгоритма и вывод

заключения об их соответствии.

Анализ исполняемого кода. В большинстве случаев ПО поставляется без исходных текстов. Кроме того, анализ исходных текстов требует высокой квалификации от обслуживающего персонала. Да и отсутствие соответствующих эффективных систем анализа не позволяет проводить исследование на качественном уровне. Именно поэтому большой интерес вызывают системы поиска уязвимостей в исполняемом коде. Эти системы анализа по функциональности могут быть разделены на несколько классов: анализ размера, даты файлов и других признаков; проверка во время выполнения кода; генерация тестов; дизассемблирование; имитация атак.

Метод анализа атрибутов файла основан на простом сравнении размера, даты или каких-либо других признаков файла с имеющимися в базе данных уязвимостей. На основании результатов сравнения делается вывод о наличии или отсутствии уязвимости. Например, проверки такого рода выполняет System Scanner.

Системы, реализующие анализ процесса выполнения файла, обнаруживают различные ошибки (в том числе и уязвимости), которые трудно «отловить» в процессе анализа исходных текстов. Они проверяют:

• корректность выполнения операций с памятью;

• корректность работы с указателями;

• вызов функций.

Система BoundsChecker Pro предназначена для обнаружения ошибок, связанных с неправильным обращением к памяти. При ее использовании препроцессор, имеющийся в BoundsChecker Pro, встраивает в определенные участки проверяемой программы свои фрагменты кода, которые и отвечают за контроль операций с памятью, вызов функций, работу с указателями и массивами и т.д. Необходимо отметить, что за всеми своими достоинствами BoundsChecker Pro скрывает и ряд недостатков. Это, во-первых, замедление работы анализируемой программы за счет «лишнего» кода, осуществляющего проверку. Во-вторых, ошибки, не связанные с неправильным использованием памяти, не обнаруживаются этой системой.

Система HeapAgent не изменяет анализируемый код, как это делает BoundsChecker Pro. Однако она подставляет на место любого пула памяти, выделяемого анализируемому приложению, свой собственный, который и

позволяет отслеживать все неверные операции с данным пулом памяти. К

недостаткам системы HeapAgent можно отнести то, что она не позволяет обнаруживать никаких других ошибок (вызовы функций, переполнение стека и т. д.), кроме непосредственно ошибок пула памяти.

Система Purify NT так же, как и BoundsChecker Pro, вставляет в анализируемый код свои фрагменты, отвечающие за проверку работы с пулом памяти и стеком. Помимо замедления работы диагностируемого ПО, присущего и BoundsChecker Pro, ограничивающим ее распространение фактором служит то, что система Purify NT функционирует только под управлением линейки ОС Windows и очень чувствительна к типу процессора.

Системы генерации тестов проводят ряд внешних воздействий на анализируемое программное обеспечение и изучают ответные действия системы на эти тесты. Очень часто данные средства анализируют реакцию системы на различные граничные значения входных данных, к которым можно отнести:

• переполнение буфера;

• выход за границы массива при индексации;

• отсутствие проверки аргументов;

• некорректный доступ к памяти;

• неподходящие аргументы вызова критических процедур;

Потребность в такого рода тестах закономерна, так как по статистике большинство уязвимостей реализации связано именно с указанными ошибками, например, переполнением буфера. Большинство известных систем генераций-тестов разработано для ОС Unix.

Сам процесс дизассемблирования мало чем может помочь при обнаружении уязвимостей, так как в этом случае объемы анализируемого кода будут намного превосходить размер исходного текста на языке программирования высокого уровня для той же программы. Однако дизассемблированный код может служить источником информации для анализаторов более высокого уровня, например, для системы АСТМА.

Имитаторы атак предназначены для моделирования различных несанкционированных воздействий на компоненты АС. Именно эти системы получили широкую известность ввиду своей относительной простоты и дешевизны. Посредством таких имитаторов уязвимости обнаруживаются еще до того, как они будут использованы нарушителями для реализации атак. К числу систем данного класса можно отнести SATAN, Internet Scanner, Cisco Secure Scanner, NetRecon и т. д. Из российских продуктов можно выделить систему НКВД. Средства имитации атак с одинаковым успехом обнаруживают не только уязвимости реализации, но и уязвимости эксплуатации. Именно эти разработки, наряду с системами поиска уязвимостей эксплуатации, получили наибольшее распространение среди пользователей.

Средства поиска уязвимостей эксплуатации наиболее распространены, поскольку пользователи корпоративной сети чаще всего имеют дело именно с этапом эксплуатации. Такие средства обнаруживают слабости системной политики (например, слабые пароли), ошибки настройки программно-аппаратного обеспечения и т.п.

3аключение. В основе современных методик, используемых для анализа защищенности АС, лежат критерии оценки безопасности информационных технологий, устанавливающие классы и уровни защищенности. Методики и концепции оценки безопасности, а также набор критериев в достаточном объеме содержатся в международных стандартах ISO 15408 и ISO 27002 (17799 (BS 7799)), руководящих документах Гостехкомиссии и ФСТЭК России, ведомственных нормативных документах.

Несмотря на отсутствие каких-либо стандартизированных методик анализа защищенности АС, типовую методику предложить все-таки можно. Она включает в себя изучение исходных данных; анализ рисков и оценку политики безопасности организации; анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, почтовых и DNS-серверов, а также других критических элементов сетевой инфраструктуры; сканирование ЛВС снаружи и изнутри; анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Подводя итог всему вышесказанному, отметим, что в настоящее время вопросы анализа защищенности корпоративных АС являются хорошо проработанными. Имеется богатый арсенал средств и методов для проведения подобных работ. Отработанные методики проведения обследования (аудита) безопасности АС в соответствии с проверенными критериями, утвержденными в качестве международных стандартов, делают возможным получение исчерпывающей информации о свойствах АС, имеющих отношение к безопасности. На практике анализ защищенности АС проводится при помощи мощного программного инструментария, в достаточном объеме представленного на рынке средств защиты информации.

Список литературы

1. Бутин А.А. Средства и методы анализа защищенности информации в автоматизированных системах. Краткий обзор // Информационные технологии и проблемы математического моделирования сложных систем. Иркутск: ИрГУПС, 2014. С. 4-18.

2. Носков С.И. Технология моделирования объектов с нестабильным функционированием и неопределенностью в данных. Иркутск: Облинформпечать, 1996. 320 с.

3. Носков С. И., Протопопов В.А. Оценка уровня уязвимости объектов транспортной инфраструктуры: формализованный подход // Современные технологии. Системный анализ. Моделирование,2011. № 4. С. 241-244.

4. Носков С.И., Бутин А.А., Соколова Л.Е. Многокритериальная оценка уровня уязвимости объектов информатизации // Доклады Томского государственного университета систем управления и радиоэлектроники. № 2, 2014. С. 130-136.

Топ-10 уязвимостей в современных сетях Wi-Fi

Как можно заткнуть дыры в беспроводной сети? Вот 10 советов:

1. Хакеры ищут легкие цели.

Избегайте рекламы присутствия вашей беспроводной локальной сети: чем легче ее найти, тем больше вероятность, что она станет целью. Обязательно измените идентификатор набора служб (SSID), чтобы он не использовался по умолчанию, и отключите широковещательную передачу SSID. Если возможно, отрегулируйте антенны точки доступа (AP) и уровни мощности, чтобы избежать утечки сигнала в области, где покрытие не требуется и не желательно.

2. Устройство легко «преобразовать» так, чтобы оно выглядело как другое устройство.

Утерянные или украденные устройства также представляют серьезную угрозу. Таким образом, адреса управления доступом к среде — плохой метод сетевой аутентификации. Вместо этого полагайтесь на независимую от устройства аутентификацию, такую ​​как имена пользователей и пароли, с интеграцией с существующими сетевыми каталогами или схемами аутентификации. Беспроводные локальные сети являются естественным продолжением развертывания токенов RSA SecurID.

3.Беспроводные данные требуют шифрования данных.

Встроенное шифрование беспроводной локальной сети (например, Wired Equivalent Privacy) слабое. Вместо этого используйте технологии виртуальных частных сетей, такие как IPsec с тройным DES, для защиты данных. Избегайте патентованных схем, чтобы обеспечить максимальную совместимость.

4. Ограничьте или контролируйте, куда может идти трафик беспроводной локальной сети.

Если беспроводная локальная сеть должна использоваться для выбранной цели, например, для доступа к системе планирования ресурсов предприятия, тогда поместите в беспроводную локальную сеть специальные фильтры пакетов, чтобы разрешить только этот доступ.

5. Не размещайте точки доступа на столе или в других легкодоступных местах.

Недобросовестные посетители или нерадивые сотрудники могут легко переместить, заменить или сбросить точки доступа. В таких небезопасных местах нельзя гарантировать безопасность. Вместо этого перенесите управление и безопасность в коммутационный шкаф.

6. Активно отслеживайте конфигурации точек доступа.

Недостаточно правильно настроить точку доступа; после настройки точка доступа должна оставаться правильно настроенной .Учтите, что кто-то может легко выполнить сброс оборудования на точке доступа, установленной на столе или потолке. Активно отслеживая конфигурацию точки доступа, вы можете гарантировать автоматическую перенастройку точки доступа в случае возникновения такого события.

7. Имейте в виду, что точки доступа легко устанавливаются сотрудниками и злоумышленниками и могут легко обойти корпоративные политики безопасности беспроводной сети.

Активное прослушивание этих мошеннических устройств является критическим операционным требованием. Доступны новые инструменты для облегчения этой задачи.

8. Через беспроводную локальную сеть злоумышленник может атаковать самих беспроводных клиентов в одноранговой сети.

Эта атака может дать злоумышленнику доступ к сети, просто используя законного клиента в качестве принятой точки входа. Для решения этой проблемы необходимо развернуть настольные брандмауэры, а также инструменты управления сетью, которые активно проверяют и управляют клиентом, прежде чем разрешить доступ через беспроводную локальную сеть.

9. Предотвратите атаки типа «отказ в обслуживании», обеспечив надлежащее управление полосой пропускания в беспроводной локальной сети.

Пропускная способность беспроводной локальной сети относительно ограничена и используется несколькими пользователями. В частности, в средах, в которых разные пользователи должны выполнять разные критически важные задачи, эта полоса пропускания должна контролироваться для обеспечения справедливого доступа.

10. Разверните управление политиками в реальном времени.

По мере развертывания беспроводные локальные сети будут охватывать целые кампусы и включать несколько глобальных сайтов. Политики безопасности (например, действующие списки пользователей или права доступа) изменятся естественным образом.Эти изменения должны отражаться в реальном времени по всей беспроводной локальной сети, чтобы уменьшить окно возможностей для вторжений и, что более важно, обеспечить немедленную блокировку обнаруженных дыр в безопасности.

Сингхал — технический директор ReefEdge Inc. в Форт-Ли, штат Нью-Джерси.

План действий по обеспечению безопасности

Историй в этом отчете:

Copyright © 2002 IDG Communications, Inc.

Топ-10 уязвимостей внутри сети

Современные устройства сетевой безопасности отлично справляются с задачей не дать кибер-монстрам вторгнуться в ваш бизнес.Но что делать, когда монстр действительно находится внутри периметра безопасности? К сожалению, все кресты, чеснок, деревянные колья и серебряные пули в мире мало влияют на самых гнусных кибер-существ современности. Вот 10 основных способов, которыми ваша сеть может быть атакована изнутри, и что вы можете сделать, чтобы вашему бизнесу никогда не пришлось проводить экзорцизм на ваших серверах.

10 худших моментов в истории сетевой безопасности

1. USB-накопители: Хотите верьте, хотите нет, но USB-накопители на самом деле являются одним из, если не самым, распространенным способом заражения сети изнутри брандмауэра.На это есть несколько причин; они недорогие, небольшие, содержат много данных и могут использоваться на разных типах компьютеров. Повсеместное распространение флэш-накопителей подтолкнуло хакеров к разработке целевых вредоносных программ, таких как пресловутый червь Conficker, который может автоматически запускаться при подключении к действующему USB-порту. Что еще хуже, конфигурации операционной системы по умолчанию обычно позволяют запускать большинство программ (в том числе вредоносных) автоматически. Это эквивалентно тому, что у всех в вашем районе есть электрический открыватель гаражных ворот и возможность использовать его, чтобы открывать гаражные ворота всех остальных.

Что делать: Измените политики автозапуска компьютера по умолчанию. Здесь вы можете найти информацию о том, как это сделать в среде Windows.

2. Ноутбуки и нетбуки: Ноутбуки незаметны, портативны, включают в себя полную операционную систему, могут работать от внутренней батареи и оснащены удобным портом Ethernet для прямого подключения к сети. Более того, на ноутбуке уже может быть запущен вредоносный код в фоновом режиме, которому поручено прочесать сеть и найти дополнительные системы для заражения.Эта записная книжка может принадлежать внутреннему сотруднику или гостю, который посещает и работает из открытого куба или офиса.

Помимо зараженных ноутбуков, компрометирующих внутреннюю сеть, важно думать о самих ноутбуках. У всех компаний есть некоторые формы конфиденциальной информации, которая абсолютно не может покидать стены здания (информация о зарплате, медицинские записи, домашние адреса, номера телефонов и номера социального страхования — это лишь несколько очевидных примеров). Это становится очень опасным, когда эта информация хранится на незащищенном портативном компьютере, так как с ними легко уйти.Мы видели многочисленные публично раскрытые экземпляры записных книжек с конфиденциальными данными, которые «пропали без вести». Если в ноутбуке не используется надежный алгоритм шифрования, данные часто легко восстановить из любой файловой системы.

Что делать: Внедрить зашифрованную файловую систему для конфиденциальных данных. Существует ряд готовых решений на выбор, а также решения с открытым исходным кодом, такие как TrueCrypt. Также важен контроль над конечными точками, которые входят во внутреннюю систему и выходят из нее.Конфиденциальная информация, такая как доступ к VPN, DV и Wi-Fi, не должна постоянно храниться на таких устройствах, как ноутбуки или нетбуки.

3. Точки беспроводного доступа: Беспроводные точки доступа обеспечивают немедленное подключение к любому пользователю в непосредственной близости от сети. Беспроводные атаки со стороны водителей охранников (людей в автомобилях, ищущих незащищенные сети Wi-Fi) являются обычным явлением и в прошлом наносили значительный ущерб. TJ Stores, владельцы Marshalls и TJMaxx, подверглись атаке с использованием этого метода, и злоумышленники проникли в компьютерные системы компании, которые обрабатывают и хранят транзакции клиентов, включая транзакции по кредитным картам, дебетовым картам, чекам и транзакциям возврата товаров.Сообщается, что на сегодняшний день это вторжение обошлось TJ Stores более чем в 500 миллионов долларов.

Точки доступа беспроводной сети по своей природе небезопасны, независимо от того, используется ли шифрование или нет. Такие протоколы, как протокол беспроводного шифрования, содержат известные уязвимости, которые легко взломать с помощью фреймворков для атак, таких как Aircrack. Более надежные протоколы, такие как защищенный беспроводной доступ (WPA) и WPA2, по-прежнему подвержены атакам по словарю, если не используются надежные ключи.

Что делать: WPA2 Enterprise с использованием RADIUS рекомендуется вместе с точкой доступа, способной выполнять аутентификацию и обеспечивать меры безопасности.Надежные смешанные пароли следует использовать и менять довольно часто. Как правило, беспроводные точки доступа подключаются для удобства, поэтому обычно нет необходимости подключать их к рабочей среде.

4. Прочие USB-устройства: Флеш-накопители — не единственные устройства, подключенные через USB, которым ИТ-специалистам следует опасаться. Многие устройства также могут хранить данные в общих файловых системах, которые можно читать и записывать через USB или аналогичное соединение. Поскольку это не основная функция этих устройств, о них часто забывают как о потенциальной угрозе.Дело в том, что если конечная точка может читать и выполнять данные с устройства, она может представлять такую ​​же угрозу, как и флэш-накопитель. Эти устройства включают цифровые камеры, MP3-плееры, принтеры, сканеры, факсы и даже цифровые фоторамки. В 2008 году Best Buy сообщила, что они обнаружили вирус в рамках для картин Insignia, которые они продавали на Рождество, которые поступили непосредственно от производителя.

Что делать: Внедрить и обеспечить контроль активов и политики в отношении того, какие устройства могут входить в среду и когда.А затем регулярно напоминания о правилах. В 2008 году Министерство обороны разработало политику и запретило USB и другим съемным носителям вход и выход из их среды.

5. Внутренние соединения: Внутренние сотрудники компании также могут непреднамеренно или намеренно получить доступ к областям сети, к которым у них не будет или не должно быть доступа иным образом, и поставить под угрозу конечные точки с помощью любого из средств, описанных в этой статье. Может быть, сотрудник «одалживает» машину у коллеги, пока его нет за обедом.Возможно, сотрудник просит коллегу помочь получить доступ к области сети, к которой у него нет доступа.

Что делать: Пароли следует менять регулярно. Уровни аутентификации и доступа являются обязательными для любого сотрудника — он должен иметь доступ только к системам, общим файлам и т. Д., Которые необходимы для выполнения его обязанностей. Любые особые запросы всегда должны передаваться группе (а не одному пользователю с полномочиями), которая может авторизовать запрос.

6. Человек-троян: Подобно троянскому коню, человек-троян вступает в бизнес под какой-то маскировкой.Он мог быть в деловой одежде или одет как настоящий ремонтник (бытовая техника, телекоммуникации, HVAC). Известно, что эти типы мошенников проникают в некоторые довольно безопасные среды, включая серверные. Из-за нашей собственной социальной обусловленности у нас есть тенденция не останавливаться и не расспрашивать человека, одетого должным образом, которого мы не узнаем в нашей офисной среде. Сотрудник не может дважды подумать, считывая карту доступа, чтобы позволить работнику в униформе войти в свою среду для обслуживания. Неконтролируемому человеку в серверной может потребоваться меньше минуты, чтобы заразить сеть.

Что делать: Следует отправлять сотрудникам напоминания об авторизации третьих лиц. Определите источник, задавая вопросы, а не делая предположений.

7. Оптический носитель: В июне 2010 года аналитик военной разведки был арестован по обвинению в краже и передаче конфиденциальных данных в общедоступные сети. Источники утверждают, что аналитик сделал это, принеся музыкальные компакт-диски с этикетками популярных исполнителей, используя этот носитель только в качестве прикрытия.Получив доступ к сетевой рабочей станции, он получит доступ к секретной информации, для которой он авторизовал учетные данные, и сохранит данные на «музыкальных» компакт-дисках в зашифрованных архивах. Чтобы замести следы, аналитик синхронизировал губы с музыкой, которая якобы хранилась на компакт-дисках, пока он находился на его рабочей станции. Записываемые носители, которые кажутся законными, могут использоваться и использовались для передачи данных в сети и из них. И, как и упомянутые выше флэш-накопители, они могут использоваться как источник заражения сети.

Что делать: Как и в случае с USB-наконечником, важно реализовать и обеспечить контроль активов и политики в отношении того, какие устройства могут входить в среду и когда. А затем регулярно напоминания о правилах.

8. Взгляд в прошлое — 20/20: Хотя большая часть этого списка сосредоточена на смягчении угроз, основанных на цифровых технологиях, мы не должны забывать, что человеческий разум также очень эффективен при хранении информации. Кто наблюдает за вами, когда вы входите в свой рабочий стол? Где хранятся ваши бумажные копии? Какие конфиденциальные документы вы читаете на своем ноутбуке в кафе, в самолете и т. Д.?

Что делать: Лучшая гарантия — осознавать и предупреждать об этой угрозе всякий раз, когда работаете с чувствительным материалом, даже если это означает на мгновение прекратить то, что вы делаете, чтобы осмотреть свое окружение.

9. Смартфоны и другие цифровые устройства: Сегодня телефоны позволяют не только звонить кому угодно в мире из любой точки мира; это полнофункциональные компьютеры с возможностью подключения к Wi-Fi, многопоточными операционными системами, большой емкостью памяти, камерами с высоким разрешением и обширной поддержкой приложений.И им, как и другим портативным устройствам, подобным планшетам, начинают давать зеленый свет в бизнес-среде. Эти новые устройства могут представлять те же угрозы, что и ноутбуки и флэш-накопители. Более того, эти устройства также могут ускользнуть от традиционных решений по предотвращению утечки данных. Что мешает пользователю сделать снимок экрана компьютера с высоким разрешением, а затем отправить его по электронной почте через сеть 3G телефона?

Что делать: Здесь действуют те же правила для USB-устройств и оптических носителей.Внедрение и обеспечение контроля активов и политик в отношении того, какие устройства могут входить в среду и когда.

10. Электронная почта: Электронная почта часто используется на предприятиях для отправки и получения данных; однако им часто злоупотребляют. Сообщения с конфиденциальной информацией можно легко переадресовать любому внешнему адресату. Кроме того, сами сообщения электронной почты могут содержать вредоносные вирусы. Одно целевое электронное письмо может быть использовано фишингом для получения учетных данных от сотрудника. Эти украденные учетные данные затем будут использованы во второй стадии атаки.

Что делать: Для защиты электронной почты ключевым моментом является идентификация источника. Перед отправкой конфиденциальной информации определите отправителя, используя такую ​​технологию, как PGP, или простой набор вопросов. Необходимо обеспечить контроль доступа к широким адресам электронной почты на основе псевдонимов. А политику и напоминания следует разослать сотрудникам.

Присоединяйтесь к сообществам Network World на Facebook и LinkedIn, чтобы комментировать самые важные темы.

Copyright © 2010 IDG Communications, Inc.

5 бесплатных сканеров уязвимостей сети | Сетевой мир

Хотя вы можете знать и самостоятельно соблюдать основные меры безопасности при установке и управлении вашей сетью и веб-сайтами, вы никогда не сможете не отставать от всех уязвимостей и выявлять все уязвимости самостоятельно.

Сканеры уязвимостей могут помочь вам автоматизировать аудит безопасности и могут сыграть решающую роль в вашей ИТ-безопасности.Они могут сканировать вашу сеть и веб-сайты на предмет тысяч различных угроз безопасности, составляя список приоритетов, которые вы должны исправить, описывать уязвимости и предлагать шаги по их устранению. Некоторые даже могут автоматизировать процесс установки исправлений.

Хотя сканеры уязвимостей и инструменты аудита безопасности могут стоить целое состояние, есть и бесплатные варианты. Некоторые смотрят только на конкретные уязвимости или ограничивают количество хостов, которые можно сканировать, но есть и такие, которые предлагают широкое сканирование ИТ-безопасности.

1. Nessus Essentials

Nessus Essentials, ранее Nessus Home, от Tenable позволяет сканировать до 16 IP-адресов одновременно. Компания предлагает 7-дневную бесплатную пробную версию своей профессиональной версии, которая может выполнять неограниченное сканирование IP-адресов, а также добавляет проверки соответствия или аудит контента, результаты в реальном времени и возможность использования виртуального устройства Nessus.

Nessus Essentials устанавливается в Windows, macOS и в различных дистрибутивах Linux / Unix.В графическом веб-интерфейсе вы можете легко увидеть, какие типы сканирования включены — обнаружение хоста и сканирование уязвимостей. Вы также увидите перечисленные, но недоступные типы сканирования, доступные в профессиональной версии: сканирование уязвимостей для мобильных устройств и сканирование на соответствие.

В бесплатной версии вы можете запланировать одно автоматическое сканирование, но это не ограничение для профессиональной версии. Вы также можете настроить уведомления по электронной почте, параметры обнаружения, параметры оценки и отчета, а также некоторые дополнительные параметры.Вы также можете просмотреть плагины и уязвимости или эксплойты, которые они ищут, связанные со сканированием. После запуска сканирования вы можете получить доступ к обзору того, что было обнаружено на каждом хосте, и подробно изучить уязвимости и возможные способы их устранения.

Вы также можете использовать политики для создания настраиваемых шаблонов, определяющих, какие действия выполняются во время сканирования. Кроме того, вы можете использовать правила плагинов, чтобы скрыть или изменить серьезность желаемых плагинов.

В целом, Nessus Essentials надежен и прост в использовании, но, поскольку он ограничен сканированием до 16 IP-адресов одновременно, его полезность в более крупных организациях сомнительна.

2. Nexpose Community Edition

Nexpose Community Edition от Rapid7 может сканировать сети, операционные системы, веб-приложения, базы данных и виртуальные среды. Это годится в течение года, после чего вам нужно будет подать заявку на новую лицензию. Компания также предлагает 30-дневную бесплатную пробную версию своих коммерческих версий.

Nexpose устанавливается на Windows, Linux или виртуальные машины и предоставляет графический веб-интерфейс. Через его веб-портал вы можете создавать сайты, чтобы определять IP-адреса или URL-адреса, которые вы хотите сканировать, выбирать настройки сканирования, расписание сканирования и предоставлять любые необходимые учетные данные для отсканированных ресурсов.

После сканирования сайта вы увидите список активов и уязвимостей. Он показывает подробную информацию об активах, включая информацию об ОС и программном обеспечении, а также подробные сведения об уязвимостях и способах их устранения. При желании вы можете установить политики для определения и отслеживания желаемых стандартов соответствия. Вы также можете создавать и экспортировать отчеты по различным аспектам.

Nexpose Community Edition — надежный полнофункциональный сканер уязвимостей, который легко настроить.

3. Открыть VAS

Открытая система оценки уязвимостей (OpenVAS) — это платформа сканера сетевой безопасности на базе Linux, большинство компонентов которой лицензированы по Стандартной общественной лицензии GNU (GNU GPL).Они называют полностью бесплатное предложение Greenbone Source Edition (GSE) и свое коммерческое предложение Greenbone Security Manager (GSM), которое поставляется с бесплатной 14-дневной пробной версией.

Основным компонентом OpenVAS является сканер безопасности, который может работать только в Linux, но его также можно запускать на виртуальной машине внутри Windows. Он выполняет фактическую работу по сканированию и получает ежедневные обновления тестов на уязвимость сети, которых насчитывается более 85 000. Есть небольшие различия в функциях сканера, но больше различий между фидами, предлагаемыми для каждой версии.

OpenVAS Manager управляет сканером и предоставляет интеллектуальные возможности. Администратор OpenVAS предоставляет интерфейс командной строки и может действовать как демон с полным спектром услуг, обеспечивая управление пользователями и управление потоками.

Есть пара клиентов, которые служат GUI или CLI. Greenbone Security Assistant (GSA) предлагает графический веб-интерфейс. Greenbone Security Desktop (GSD) — это клиент рабочего стола на основе Qt, который работает в различных ОС, включая Linux и Windows. А OpenVAS CLI предлагает интерфейс командной строки.

OpenVAS — не самый простой и быстрый сканер в установке и использовании, но это один из самых многофункциональных и широких сканеров безопасности ИТ, которые вы можете найти бесплатно. Он сканирует тысячи уязвимостей, поддерживает задачи одновременного сканирования и сканирования по расписанию. Он также предлагает заметки и ложные срабатывания управления результатами сканирования. Однако, по крайней мере, для основного компонента требуется Linux.

4. Qualys Community Edition

Qualys Community Edition позволяет отслеживать до 16 ресурсов с помощью Qualys Cloud Agent, сканировать до 16 внутренних и трех внешних IP-адресов с помощью управления уязвимостями и сканировать один URL-адрес с помощью сканирования веб-приложений.Сначала вы получаете доступ к нему через его веб-портал, а затем загружаете программное обеспечение виртуальной машины, если выполняете сканирование в своей внутренней сети. Qualys также предлагает 30-дневную бесплатную пробную версию своей коммерческой версии.

Qualys поддерживает различные типы сканирования: порты TCP / UDP, перебор паролей и обнаружение уязвимостей для скрытых вредоносных программ, отсутствующих исправлений, проблем с SSL и других уязвимостей, связанных с сетью. Вы также можете предоставить детали аутентификации, чтобы он мог входить в хосты для расширения возможностей обнаружения.

Веб-интерфейс предоставляет пошаговый список того, как выполнить сканирование. Это включает в себя ввод IP-адресов для сканирования, загрузку виртуального сканера или настройку физического сканера при сканировании локальной сети, а затем настройку параметров сканирования. После завершения сканирования вы можете просматривать множество различных типов отчетов, таких как общие показатели, исправления, высокий уровень серьезности, индустрии платежных карт (PCI) и отчеты руководителей.

Поскольку Qualys ограничивает сканирование до 16 ресурсов и IP-адресов, это не то, что более крупная организация сочтет очень полезным.Для них рассмотрите возможность использования другого решения для повседневного использования и периодически запускайте Qualys для небольших сетей или сегментов.

5. ManageEngine Vulnerability Manager

ManageEngine Vulnerability Manager предоставляет бесплатную версию, которая полностью функциональна для сканирования до 25 компьютеров под управлением Windows или macOS. В отличие от большинства других сканеров, перечисленных здесь, этот предназначен в основном для сканирования и мониторинга компьютеров, хотя для веб-серверов предлагается некоторое сканирование.Они также предлагают 30-дневную бесплатную пробную версию своих платных выпусков, а также еще один продукт (Desktop Central), который дает вам еще более общий мониторинг компьютера, который можно интегрировать с этим сканером уязвимостей.

Серверная часть ManageEngine Vulnerability Manager может быть установлена ​​только на компьютерах с Windows, но доступ к графическому веб-интерфейсу можно получить где угодно. В отличие от других сканеров, этот требует, чтобы вы добавили программное обеспечение агента конечной точки в системы, которые вы хотите сканировать, и он доступен для систем Windows, macOS и Linux.

После настройки агентов конечных точек вы начнете видеть обнаруженные элементы, классифицированные по программным и уязвимостям нулевого дня, неправильной конфигурации системы и сервера, высокому риску программного обеспечения и аудитам портов. По каждому пункту дается множество объяснений и возможных способов устранения проблемы. Вы также можете управлять исправлениями и отправлять их, а также просматривать основные характеристики и статистику компьютера, такие как установленная ОС, IP-адрес и время последней перезагрузки.

ManageEngine Vulnerability Manager оказался хорошим решением для долгосрочного мониторинга уязвимостей, по крайней мере, для компьютерных систем.Из-за необходимости установки программных агентов это, вероятно, не подходит, если вы хотите выполнить одноразовое сканирование.

В дополнение к бесплатной версии ManageEngine также предлагает 30-дневную бесплатную пробную версию своих платных выпусков, а также другой продукт (Desktop Central), который обеспечивает еще более общий мониторинг компьютера, который можно интегрировать со сканером уязвимостей.

Эрик Гейер — внештатный технический писатель. Он также является основателем компании NoWiresSecurity , предоставляющей облачную службу безопасности Wi-Fi, Wi-Fi Surveyors , обеспечивающих геодезию радиочастот, и On Spot Techs. предоставление общих ИТ-услуг.

Присоединяйтесь к сообществам Network World на Facebook и LinkedIn, чтобы комментировать самые важные темы.

Copyright © 2021 IDG Communications, Inc.

Инструменты и методы для обнаружения угроз и уязвимостей безопасности Учебное пособие

1 Инструменты и методы для обнаружения угроз и уязвимостей безопасности

В повседневной деятельности важно оценивать ситуации, с которыми вы можете столкнуться, прежде чем действовать в них.Это также применимо к отчетам инструментов оценки безопасности. В этом уроке мы узнаем об оценочных отчетах, а также о различных инструментах и ​​методах обнаружения угроз и уязвимостей безопасности в мире сетей. На следующем экране поясняются цели, затронутые в этом уроке. По завершении этого урока вы сможете: • Интерпретировать результаты инструментов оценки безопасности • Описывать использование различных типов инструментов безопасности. • Различать пассивные и активные инструменты • Определите различные типы оценок • Опишите использование различных методов оценки.

2 типа инструментов оценки безопасности

В этом разделе вы познакомитесь с различными типами инструментов оценки безопасности.Давайте начнем с рассмотрения нескольких вопросов: что означает, что порт 25 открыт на трех из шести серверов — в соответствии с политикой безопасности? На что это указывает, когда кто-то говорит, что каталоги FTP были обнаружены, что может привести к эксплуатации — действительно ли доступ к этим каталогам разрешен? Теперь, если вы действительно оцените эти результаты оценки, вы можете обнаружить, что порт 25 не должен быть открыт на этих трех серверах. Поэтому вы незамедлительно примете меры, чтобы закрыть порт на этих серверах.Однако, отвечая на второй вопрос, вы обнаружите, что даны соответствующие разрешения для предотвращения несанкционированного доступа к файлам FTP. Это не имеет значения, это ложное срабатывание, и вы можете фактически проигнорировать его, потому что реализована поддерживаемая мера безопасности, хотя инструмент оценки не отслеживал ее. Поскольку автоматизированные инструменты безопасности могут генерировать несколько ложных срабатываний, что означает выявление несуществующих уязвимостей, становится необходимым подтвердить наличие какой-либо уязвимости или недостатка безопасности перед внедрением решения или исправления.Это особенно важно, если решение или исправление стоит дорого или может помешать производству. Вкратце, инструменты оценки безопасности тестируют систему на предмет изучения известных уязвимостей и слабых мест с помощью отчетов, но не все упомянутые предложения или выводы актуальны. Еще одна проблема с отчетами об оценке безопасности — это неточно сообщаемый уровень критичности. Например, обнаружение той же уязвимости в FTP-файле может считаться критически важным. Следовательно, разумно интерпретировать результаты в свете существующей среды, существующих угроз; реализованные решения и текущий бюджет.Короче говоря, если вы не знаете цель, то, что ищете, у вас появится ложное чувство безопасности.

3 типа инструментов, используемых при исследовании уязвимостей и угроз

В этом разделе вы узнаете о различных типах инструментов, используемых для исследования уязвимостей и угроз. Вы можете использовать несколько инструментов для выполнения сканирования уязвимостей или обнаружения и подтверждения наличия угрозы безопасности, уязвимости или недостатка. Хотя не все являются действительно инструментами, они способны обнаруживать угрозы и уязвимости, связанные с безопасностью.Инструменты, которые мы собираемся изучить в этом уроке, — это анализаторы протоколов, сканеры уязвимостей, медовые горшки; медовые сети; сканеры портов и захватчики баннеров. Анализатор протокола относится к инструменту мониторинга сети для пассивного захвата и анализа сетевого трафика. Это может быть программное приложение, установленное в хост-системе, или выделенное аппаратное устройство. В любом случае анализатор представляет собой инструмент для сбора пакетов, собирающий сетевой трафик и сохраняющий его в файле журнала или буферной памяти. После захвата пакет анализируется с помощью ручных скриптов или сложных автоматических инструментов.Такой инструмент работает, переводя карту сетевого интерфейса или сетевой адаптер в беспорядочный режим для просмотра и захвата всех пакетов, а не только тех, которые имеют MAC-адрес назначения локальной сетевой карты, в сегменте локальной сети. В этом режиме сетевая карта игнорирует MAC-адреса пакетов и собирает каждый обнаруженный пакет. Затем инструмент оценивает отдельные пакеты на двоичном уровне, автоматически анализируя содержимое заголовка, отображая при этом полезную нагрузку пакета в шестнадцатеричной и ASCII-форме.Анализаторы протоколов варьируются от базовых инструментов для захвата сырых пакетов до автоматизированных механизмов. Некоторые часто используемые анализаторы — это приложение Wireshark с открытым исходным кодом для Windows и Linux, Snort для анализа в реальном времени и Microsoft Network Monitor. Путем мониторинга анализаторы протоколов помогают обнаруживать проблемы связи, вызванные проблемами программного и аппаратного обеспечения. Кроме того, они обнаруживают аномалии протокола из-за злого умысла, неисправности или неправильной конфигурации. Администраторы безопасности часто используют анализаторы протоколов для отслеживания проблем связи или определения источника атаки.Анализаторы протокола также известны как сетевые снифферы. Однако сниффер может быть отдельным типом продукта. Следовательно, между ними есть разница. Анализатор протокола может быть для конкретного протокола; тогда как сетевой сниффер отслеживает трафик независимо от используемого сетевого протокола. Сниффер обычно представляет собой инструмент для захвата пакетов, в то время как анализатор протокола — это гораздо больше, чем инструмент для захвата, поскольку он декодирует и интерпретирует его содержимое. Снифферы обычно имеют два фильтра, а именно фильтры захвата и фильтры отображения.Фильтры захвата действуют как правила для принятия решения о том, какие пакеты сохранять, а какие отбрасывать, тем самым сводя количество пакетов к минимуму. Фильтры отображения действуют как поисковые запросы для отображения только тех пакетов, которые соответствуют вашим требованиям. Важно отметить, что снифферы также могут использоваться для сбора данных в незаконных целях, что широко известно как анализ пакетов. Однако вы можете эффективно использовать его, чтобы проверить, действительно ли передаваемые данные зашифрованы или нет. Сканер уязвимостей — это автоматизированное программное приложение, которое проверяет вашу сеть на предмет известных дыр в безопасности.Такое сканирование включает обнаружение слабых мест и лазеек в приложениях, компьютерах и сетях. Это может показаться похожим на тестирование на проникновение, но хотя тестирование на проникновение включает в себя проверку ряда вещей, сканирование уязвимых мест обычно включает выполнение одной программы сканирования. Сканер уязвимостей сканирует систему и сообщает об известных уязвимостях. Он полагается на постоянно обновляемую базу данных уязвимостей, содержащую подробную информацию об атаках, сценариях, исследованиях, которые запускаются против целевых систем контролируемым образом.Во время сканирования инструмент сканера сравнивает уровень исправления и конфигурацию системы с базой данных уязвимостей. Это помогает определить, следуете ли вы лучшим практикам. Сканер уязвимостей может быть сканером портов, веб-приложением, сетевым счетчиком или даже червем. Однако во всех ситуациях он проверяет свою цель на ряд известных уязвимостей. Лучше запустить такой сканер для использования лазеек, уязвимостей и слабых мест в вашей собственной сети, прежде чем посторонний злоумышленник запустит его против вас.Хотя сканеры уязвимостей не причиняют вреда при поиске лазеек, они могут непреднамеренно привести к снижению производительности сети, ошибкам и простою. Поэтому очень важно спланировать их использование, а также возможные действия по восстановлению. Некоторые из самых популярных сканеров уязвимостей — Retina, Nessus, OpenVAS и SAINT. Однако, независимо от используемого инструмента, вам необходимо знать пять основных задач, которые могут выполнять эти сканеры уязвимостей. Это, в частности, пассивное тестирование средств управления безопасностью, выявление уязвимостей, выявление отсутствия средств управления безопасностью и выявление распространенных неправильных конфигураций.Давайте теперь узнаем о сканере портов, который представляет собой тип сканера уязвимостей, предназначенный исключительно для сканирования портов различных систем. Только представьте сценарий, в котором сетевые приложения, такие как FTP и веб-серверы, а также системы с подключением к удаленному рабочему столу, используют разные номера портов для подключения к своим клиентам. Как сетевой администратор, вы получили несколько жалоб на взлом данных. Итак, здесь, в качестве одного из критических шагов для решения, вы должны сначала узнать открытые порты этих систем.Это поможет вам изучить способы взлома системы хакерами. Именно здесь на сцену выходит сканер портов. Эти сканеры выполняют сканирование портов и помогают найти все сетевые системы и определить открытые порты. Они также позволяют идентифицировать службы, работающие в сети. Эти инструменты полезны, особенно для сетей TCP / IP, в которых несколько портов доступны посторонним через маршрутизатор. Воспользовавшись этой конфигурацией, хакер может систематически опрашивать сеть, чтобы обнаружить открытые порты и запущенные службы.Этот процесс известен как сканирование портов, которое позволяет получить структуру вашей сети, раскрывая многие детали о ваших системах, такие как идентификационные данные хост-ОС и типы размещенных служб. Сканирование портов возможно как изнутри, так и извне, что означает, что злоумышленником может быть кто-то в вашей организации. Если злоумышленник знает хотя бы один IP-адрес сетевой системы, он или она может проверить все адреса в диапазоне и найти другие используемые протоколы или системы.Тем не менее, при правильном использовании сканеры портов являются весьма полезными инструментами оценки уязвимостей, которые вы должны внедрить, прежде чем позволять внешнему или внутреннему хакеру сканировать ваши сетевые порты.

4 Работа сканеров портов

Сканер портов проверяет или тестирует пакеты к портам целевой системы для определения состояния этих портов. Обычно порт может быть как открытым, так и закрытым. Если на открытый TCP-порт отправляется законный запрос на соединение в виде пакета с пометкой SYN, вы можете ожидать стандартный ответ в виде пакета с пометкой SYN / ACK.Однако, если порт TCP закрыт, этот ответ теперь имеет форму пакета RST. Однако в случае брандмауэра сам брандмауэр фильтрует ответы закрытых портов, из-за чего система зондирования не получает никаких пакетов. Именно это и называется фильтрацией. Следовательно, у сканера портов есть прямое доказательство того, закрыт ли порт или открыт. Хотя такая форма проверки работает эффективно, она генерирует трафик. Этот трафик регистрируется межсетевым экраном или целевой системой.Помимо сканеров и мониторов, вы можете обеспечить безопасность, установив ловушки для всех этих внутренних и внешних хакеров или злоумышленников. Для этого создаются приманки, которые обманывают всех неавторизованных пользователей, чтобы вы могли их поймать или отследить. Попадая между инструментами обнаружения и предотвращения, приманка обычно представляет собой компьютер, предназначенный для атак. Это обычный сетевой компонент в инфраструктуре безопасности, который размещается в частной сети, в демилитаризованной зоне или DMZ.Приманка часто устанавливается как буферная сеть между ненадежной сетью, такой как Интернет или DMZ, и частной сетью. Хакеру кажется, что приманка представляет собой реальную систему, но не имеет достоверных или ценных данных или ресурсов. Он действует как фиктивная среда, чтобы заманить злоумышленников и злоумышленников, чтобы они держались подальше от частной защищенной сети. Следовательно, цель приманки — позволить себе поддаться атаке. В идеале вы можете визуализировать приманку, думая о Винни-Пухе, который несколько раз приставал к кувшинам, получая из них мед.Застряв, Винни или нападавший почти вывели себя из строя. Кроме того, теперь его может быстро найти любой, кто пытается его найти. В то время как хакер тратит время на взлом приманки, хост-система обнаружения вторжений или IDS на приманке уведомляет вас о существовании хакера после входа в систему. Это означает, что вы можете получить информацию о личности хакера, атакуемом ресурсе и используемом механизме или инструменте атаки. Таким образом, система приманки не только уводит злоумышленников от конфиденциальной сети, но также позволяет администраторам получить информацию о стратегии атаки.Более того, сложные приманки могут содержать данные и программное обеспечение, побуждающее хакера провести серьезное исследование с целью захвата системы. Приманка может иметь форму ячейки с мягкой подкладкой. В то время как приманка — это отвлекающая сеть, которая всегда активна, заполненная ячейка — это управляемый компонент, который активируется только при обнаружении вторжения. Обычно приманки не защищены, потому что они созданы для того, чтобы заманить хакера. Однако не следует слишком упрощать злоумышленнику взлом приманки, так как это может заставить хакера легко обнаружить ловушку.Поэтому лучше всего бросить вызов злоумышленнику, укрепив приманку с помощью мер безопасности. Когда система-приманка становится больше, ее обычно называют Honeynet. Honeynet — это фактически целая сеть, состоящая из двух или более объединенных в сеть приманок, используемых по очереди для мониторинга или воссоздания более разнообразных сетей. Honeynet часто является средством содействия IDS. Как следует из названия, баннер-захватчик просматривает заголовок или информационное сообщение баннера, чтобы узнать больше о системах.Он фиксирует приветственное сообщение или начальный ответ от сетевой службы. Обычно баннер показывает идентификатор приложения или хоста вместе с другими деталями, такими как версия и операционная система, в которой оно запущено. Короче говоря, баннеры содержат всю информацию, необходимую для нарушения безопасности при отрицательном использовании или преодоления лазеек в системе безопасности при положительном использовании. Можем ли мы теперь связать захват баннеров со сканированием портов? Что ж, после сканирования порта вы можете выполнить захват баннера, чтобы узнать, какое программное обеспечение работает на каждом открытом порту.Здесь захват баннеров подключается к каждому порту и собирает ответ от сервера в виде сообщения о готовности, указывающего версию программного обеспечения, работающего в системе. Вы можете получить баннеры с помощью Telnet или таких инструментов, как NMAP. Большинство инструментов, которые мы обсуждали до сих пор, либо активны, либо пассивны. Эта классификация показывает, как инструмент реагирует на подозрительную активность, например, предпринимает ли он какие-либо корректирующие действия или просто регистрирует активность. Вы помните инструмент, о котором говорилось выше, который мы рассматривали как пассивный? Ну, это был анализатор протокола.Разница между пассивным и активным инструментом такая же, как разница между камерой и охранником. Камера наблюдения просто фиксирует все, что происходит, и не может ни на что реагировать, в то время как охранник может предпринять быстрые действия. Именно так обстоит дело с этими инструментами. Давайте сейчас посмотрим на такие различия. Пассивный инструмент записывает, что происходит, в то время как активный выполняет действия. Пассивный инструмент отслеживает подозрительную активность и регистрирует ее или отправляет уведомление, когда такая активность имеет место.Это означает, что он ничего не делает для защиты сети от этой активности и известен как детективный инструмент или средство контроля. Однако активный инструмент безопасности не только регистрирует активность или отправляет уведомление, но и предпринимает быстрые действия для защиты системы или сети. Например, активный инструмент может отключить атакованную систему от сети, чтобы она больше не принимала трафик. Вот почему такие инструменты называются превентивными средствами или системами предотвращения вторжений в сеть или IPS. В то время как пассивный инструмент может только записывать детали события, игнорировать атаку и запускать механизмы анализа; Активный инструмент может изменять настройки, перезагружать устройства, открывать или закрывать порты, завершать сеансы, отключать системы, перенаправлять атаки на приманки, перезапускать службы и восстанавливать данные.Наконец, пассивный инструмент остается незамеченным событием или предметом события, так как он не влияет на событие. Однако активный инструмент влияет на событие, благодаря чему его могут обнаружить субъекты события. Прежде чем мы двинемся дальше, можете ли вы угадать активный инструмент, который мы уже обсуждали? Что ж, это приманка!

5 типов оценки

В этом разделе вы узнаете о типах оценки, а именно об уязвимости, угрозе и риске. Безопасность не только ограничивается разрешениями на доступ и брандмауэрами, но и расширяется до оценки различных областей бизнеса для обнаружения связанных с ними рисков, угроз и уязвимостей.Под оценками понимаются оценки безопасности, выполняемые умело на регулярной основе. Если вы являетесь администратором безопасности организации, вы всегда должны спрашивать себя — в чем слабость системы? Ответ на этот вопрос: всегда существующие уязвимости, для которых вы могли или не могли принять надлежащие меры по исправлению положения. Таким образом, оценка уязвимости относится к выявлению лазеек, недостатков, слабых мест, ошибок, опасностей или областей воздействия, которые могут нарушить защиту безопасности сети, системы, программного обеспечения, компьютера и сервера.Проще говоря, оценка уязвимости помогает вам определить области конфигурации, которые делают вашу систему уязвимой для атаки или нарушения безопасности. Эта оценка проводится с помощью сканеров уязвимостей. Например, такой инструмент может проверять статус исправления в системе, чтобы сообщить об отсутствующих исправлениях. Он также может сообщать об учетных записях пользователей без паролей, неиспользуемых учетных записях и слишком большом количестве административных учетных записей. Важно отметить, что оценка уязвимости проверяет только слабые места; они не используют систему, выполняя какие-либо атаки.Это означает, что такие оценки по своей природе пассивны. Когда существует какая-либо уязвимость, существуют угрозы для ее использования. Любая уязвимость способствует возникновению конкретного вреда при реализации угрозы. Итак, что такое угроза? Чтобы узнать, что такое угроза, задайте себе два вопроса. Во-первых, каковы возможные опасности, связанные с риском? Во-вторых, каковы средства и источники потенциальной атаки? Ответы на эти вопросы — возможные угрозы, которые могут быть физическими, логическими или техническими.Проще говоря, угрозой может быть любой инструмент или человек, которые могут воспользоваться существующей уязвимостью. Существует множество видов угроз, таких как экологические, технологические, политические, экономические и социальные. Вам необходимо идентифицировать все такие угрозы активам организации путем проведения оценки угроз. Во время оценки вы обнаружите разные угрозы только для одного актива, но вы должны расставить их по приоритетам. Несмотря на то, что угроза существует, она больше не будет представлять опасность, если вы исправите связанные уязвимости с помощью контрмер, ограничите физический доступ и обучите или обучите пользователей действовать разумно в интересах безопасности.Чтобы узнать, что такое риск, спросите себя — какая вероятная опасность рассматривается? Вероятно, это может быть вероятность того, что повреждение или атака увенчаются успехом. Проще говоря, риск относится к возможности того, что что-то может произойти, чтобы повредить системы или раскрыть данные или другие ресурсы. Следовательно, оценка рисков важна для поддержания безопасной среды. Не все риски для ИТ-инфраструктуры исходят от компьютеров. Фактически, некоторые риски связаны с нетехническими источниками. Следовательно, очень важно идентифицировать все возможные риски для активов организации при выполнении оценки или оценки рисков.Оценка рисков, также известная как анализ рисков, не только определяет различные риски, но и находит решения для снижения, контроля или устранения этих рисков. Также важно помнить, что ИТ-безопасность, также известная как техническая или логическая безопасность, предлагает защиту только от технических или логических атак. Для защиты от физических атак необходимы физические инструменты или средства защиты. Вы должны тщательно проанализировать среду и оценить каждый риск, а также его вероятность возникновения, стоимость ущерба и стоимость мер противодействия.В схематическом представлении риск возникает, когда существует как угроза активу, так и уязвимость. Для успешного возникновения риска достаточно или необходимо трех ингредиентов. Это уязвимость, возможность угрозы и доступность системы или самого актива. Совместное присутствие этих ингредиентов приводит к успешным атакам. Вы можете рассматривать оценку угроз как часть оценки риска. Прежде чем мы перейдем к последней теме этого урока, давайте теперь выясним разницу между вероятностью и угрозой, когда дело доходит до расчета риска.Вероятность относится к измерению вероятности реализации угрозы в течение определенного периода. В рамках оценки риска измерение вероятности проводится ежегодно. Теперь давайте посмотрим на разницу между угрозой и вероятностью. Угроза — это приложение или физическое лицо, которые используют существующую уязвимость. Принимая во внимание, что вероятность относится к потенциалу угрозы, вызывающей повреждение или вред в течение определенного периода. При расчетах рисков возможная угроза сопоставляется с ее вероятностью в данной среде.NIST предлагает рассматривать вероятность как оценку, указывающую на вероятность возникновения угрозы. Таким образом, вероятность может быть выражена качественно или количественно.

6 различных методов оценки угроз, уязвимостей и рисков

В этом разделе вы познакомитесь с различными методами оценки, а именно с базовыми отчетами, анализом кода, определением поверхности атаки, анализом архитектуры и анализом проектов. Давайте рассмотрим сценарий, в котором один из ваших сетевых серверов работает медленно в течение двух дней с отчетом о производительности с загрузкой ЦП на 90%.Тем не менее, вы также убедитесь, что используете систему в соответствии со стандартами. Теперь вам нужно выяснить, что является причиной низкой производительности вашей системы. В базовых отчетах записываются базовые показатели системы, такие как системные факты, и то, как она работает в нормальных рабочих условиях, а затем сравниваются их с текущими данными о производительности. В сценарии вы можете использовать записанные базовые показатели, которые могут показывать нормальную загрузку ЦП на 35%. При сравнении становится ясно, что какой-то ресурс доминирует над процессорным временем, из-за чего система работает медленно.Таким образом, базовая отчетность проверяется, чтобы гарантировать, что системы работают в рамках своих норм. Он даже может быстро выявить нарушение правил. Вы можете использовать технику базовой отчетности в инцидентах безопасности, таких как атака вредоносного ПО или отказ в обслуживании, когда система не работает должным образом. Это факт, что большинство проблем безопасности возникает из-за небезопасного программирования приложений разработчиками. Например, не реализовано критическое правило безопасности для проверки любых данных, отправляемых в приложение.Это позволяет хакеру легко атаковать систему, в которой работает приложение, например, переполнение буфера или атака с использованием SQL-инъекции. Чтобы избежать таких атак и предотвратить нарушение правил безопасного кодирования, вам необходимо просмотреть код. Цель этого обзора — рассмотреть все написанные коды для существующих лазеек. Обзор должен также оценить изменения в коде, происходящие в любой момент времени. Изучая код, рекомендуется искать ошибки в логике или недостатки программирования, которые часто являются причиной неправильной аутентификации или ее отсутствия, внедрения SQL-кода и подделки межсайтовых запросов.Есть два способа посмотреть исходный код и найти слабые места в приложении. Во-первых, вы можете выбрать ручную оценку, при которой вы читаете код. Во-вторых, вы можете выбрать автоматизированный инструмент для сканирования кода на наличие угроз. Независимо от того, какой вариант вы выберете, разумно уделить время проверке кода на регулярной основе тестировщиками, а не разработчиками, особенно для приложений собственной разработки. Другой метод оценки безопасности — выявление поверхности атаки системы.Эта поверхность представляет собой набор установленных приложений, протоколов и служб, доступных пользователям, прошедшим проверку подлинности, и, что более важно, даже тем, кто не прошел проверку подлинности. То есть поверхность атаки обращена наружу и может стать жертвой атаки. Следовательно, чем меньше поверхность, тем меньше вероятность нападения на нее. Как специалист в области безопасности, очень важно, чтобы вы помогли уменьшить поверхность атаки системы, удалив нежелательное программное обеспечение и службы, отключив нежелательные функции, добавив аутентификацию и сократив привилегии.Это известно как уменьшение поверхности атаки или ASR, направленное на минимизацию вероятности эксплуатации за счет уменьшения или ограничения потенциального ущерба. Важно отметить, что концепция поверхности атаки распространяется не только на приложение, но и на серверы или где угодно, где существует проблема. Следовательно, у вас может быть поверхность для сетевой атаки, поверхность для атаки на систему, поверхность для атаки на организацию и т. Д. Вы также можете просмотреть архитектуру системы для оценки безопасности сети или системы. Благодаря такому архитектурному подходу вы используете структуру управления, чтобы изучить основную инфраструктуру с точки зрения ее устойчивости к насильственному входу и увольнению.Это, вероятно, усилит систему предотвращения преступности с помощью экологического дизайна или CPTED, что побуждает дизайнеров повышать безопасность с помощью строительных элементов. Такой подход соответствует нормативным стандартам безопасности, таким как Международная организация по стандартизации или ISO. Cisco SAFE — это пример архитектурного подхода. Другой пример архитектурной безопасности — это трехкольцевая архитектура компьютерных процессоров, отвечающих за выполнение приложений. Приложения, работающие в нижних кольцах, такие как нулевое кольцо, имеют больше привилегий, чем приложения в более высоких кольцах.Более того, приложения, работающие в кольце, могут получать доступ к ресурсам, доступным в этом кольце или в более высоких кольцах. Таким образом, основной код операционной системы, выполняющийся в кольце 0, может получить доступ к любому ресурсу в кольцах 1, 2 и 3, но те, которые работают в системе в кольце 3, не могут получить доступ к основным ресурсам или коду и повредить их. Следовательно, лучше всего иметь архитектуру, реализующую модульную структуру управления безопасностью. Выполнение анализа проекта до и после реализации плана — еще один метод оценки безопасности.Обзор проекта включает изучение используемых портов и протоколов, механизмов контроля доступа, сегментации и правил. Рекомендуется включать оценки контроля доступа к информации во всех областях безопасности. Очень важно определить проблемы безопасности с самого начала, чтобы вы могли претендовать на статус безопасного проекта. После завершения решения по безопасности для сети или приложения вам необходимо просмотреть проект, чтобы убедиться, что то, что требовалось по мере реализации решения, было реализовано. Потому что оценка проекта более детализирована, чем оценка архитектуры, и анализ проекта следует проводить чаще.

8 Резюме

Давайте подытожим темы, затронутые в этом уроке. • Очень важно интерпретировать результаты оценки в свете существующей среды, существующих угроз и реализованных решений, а также текущего бюджета. • Анализатор протокола — это инструмент пассивного мониторинга для сбора и анализа сетевого трафика. • Сканер уязвимостей сканирует целевую систему на предмет известных слабых мест, лазеек или уязвимостей с помощью специальной базы данных. • Приманка — это фальшивая среда, созданная для того, чтобы злоумышленники выглядели реальными, чтобы отвлечь их от реальной производственной сети.• Могут быть выполнены различные типы оценок, такие как оценка уязвимости, угроз и рисков. • Для определения проблем безопасности используются различные методы оценки, такие как базовая отчетность, проверка кода, проверка архитектуры и проверка проекта. На этом мы завершаем урок «Использование соответствующих инструментов и методов для обнаружения угроз и уязвимостей безопасности». Следующий урок — «Объяснение правильного использования тестирования на проникновение в сравнении со сканированием уязвимостей».

Топ 15 платных и бесплатных инструментов для сканирования уязвимостей

Всем предприятиям нужен способ обнаружения уязвимостей в своих сетях.Это особенно верно для крупных предприятий и тех, у кого есть конфиденциальные данные: банковское дело, правительство, финансы, право, здравоохранение и образование — все это отрасли, в которых защита сетевых данных и инфраструктуры имеет первостепенное значение. Но малые предприятия также должны обеспечивать безопасность своей информации, не тратя все свое время и ресурсы ИТ на выполнение этой задачи. Именно здесь на помощь приходят инструменты автоматического управления уязвимостями (ВМ).

Итак, какие сканеры уязвимостей являются лучшими на рынке сегодня? В этой статье я рассмотрю самые популярные сканеры уязвимостей, как платные, так и бесплатные. Спойлер: Network Configuration Manager — это мой лучший инструмент в целом, поскольку он предлагает не только важную информацию о мониторинге, но и способ быстро исправить проблемы с конфигурацией на массовых устройствах. Мой лучший выбор в пользу бесплатного сканера уязвимостей — Wireshark, хорошо известный и популярный вариант, и не зря.

Как бы вы ни инвестировали свои ресурсы, фундаментальное понимание управления уязвимостями сети является ключевым моментом. В этой статье также изложены основы управления уязвимостями, которые необходимо знать каждому ИТ-специалисту, чтобы вы могли извлечь максимальную пользу из своего инструмента сканирования.

Основы управления уязвимостями
Общие причины уязвимостей
Выявление рисков уязвимостей
Методы управления уязвимостями
Типы сканеров уязвимостей
Сканеры уязвимостей Что делают?
Лучшие платные инструменты
Лучшие бесплатные инструменты
Проблемы мониторинга уязвимостей

Основы управления уязвимостями

Знаете ли вы, защищена ли ваша ИТ-инфраструктура? Даже если конечные пользователи в настоящее время могут получить доступ к своим файлам и ваше сетевое соединение кажется нормальным, вы не можете рассчитывать на безопасность своей сети.В каждой сети есть дыра в безопасности, которую могут использовать злоумышленники или вредоносное ПО. Цель состоит в том, чтобы минимизировать эти уязвимости в максимально возможной степени, что является постоянной задачей, учитывая, что ваша сеть постоянно используется и изменяется, в то время как угрозы безопасности постоянно развиваются.

Управление уязвимостями состоит из множества компонентов. Вы можете подумать, что, например, достаточно установить антивирусное программное обеспечение, хотя на самом деле оно оставляет вас в игре с контролем повреждений. Важно принять превентивные меры, чтобы в первую очередь предотвратить проблемы с безопасностью.Инструменты сканирования уязвимостей могут иметь значение.

По сути, программное обеспечение для сканирования уязвимостей может помочь администраторам ИТ-безопасности в решении следующих задач.

• Выявление уязвимостей — Администраторы должны иметь возможность выявлять дыры в безопасности в своей сети, на рабочих станциях, серверах, межсетевых экранах и т. Д. Требуется автоматизированное программное обеспечение, чтобы отловить как можно больше этих уязвимостей. В то время как очень маленькие офисы, располагающие надежными ИТ-ресурсами, могут испытывать соблазн управлять сетевой безопасностью вручную, предприятия любого размера выиграют от экономящей время помощи, которую предоставляет автоматизированный инструмент.
• Оценка рисков — Не все уязвимости одинаково актуальны. Инструменты сканирования могут классифицировать и классифицировать уязвимости, чтобы помочь администраторам определить приоритетность наиболее тревожных проблем.
• Устранение проблем — После того, как вы определили приоритетные риски, их устранение может оказаться непростой задачей. Правильный инструмент может помочь вам автоматизировать процесс инициализации устройств.
• Отчетность о пробелах в безопасности — Даже после устранения уязвимостей администраторам по-прежнему важно продемонстрировать соблюдение соответствующих правил.Программное обеспечение для сканирования может облегчить создание отчетов о состоянии безопасности сети.

В начало

Что вызывает уязвимости системы безопасности?

Существует бесчисленное множество способов, которыми злоумышленники могут взломать сеть и украсть данные. Тем не менее, есть общие уязвимости в системе безопасности, на которые следует обращать внимание. Не каждый инструмент сетевого сканирования решает все эти проблемы, но вам следует искать программное обеспечение, которое поможет вам определить приоритетность некоторых или всех следующих угроз.

• Структура сети — Слишком много бизнес-сетей по сути «открыты», что означает, что как только неавторизованный пользователь получает доступ, он получает доступ ко всем частям сети.Эту уязвимость можно предотвратить за счет лучшей сегментации сети и управления привилегиями групп пользователей.
• Неизвестные устройства — Неопознанные или неуправляемые активы в вашей сети никогда не являются хорошими новостями. Важно убедиться, что только одобренные устройства имеют доступ к вашим портам.
• Злоупотребление учетной записью — К сожалению, инсайдеры иногда злоупотребляют своими привилегиями, вызывая преднамеренную или непреднамеренную утечку конфиденциальной информации или неправильную конфигурацию программ, вызывая дополнительные бреши в безопасности.Кроме того, администраторы могут разрешить учетные данные по умолчанию, оставить неиспользуемых пользователей или группы в системе или назначить неправильные привилегии, что представляет собой угрозу безопасности.
• Ошибки веб-конфигурации — Чтобы обеспечить безопасность веб-приложений, вам необходимо остерегаться таких проблем, как распределенные атаки типа «отказ в обслуживании», неправильная конфигурация HTTP, просроченные сертификаты SSL / TLS и небезопасный код.
• Конфигурации функций безопасности — То, как вы управляете настройками безопасности и инфраструктурой, может создавать риски.Чтобы избежать уязвимостей, следите за неправильной конфигурацией брандмауэра или ОС.
• Сторонние приложения — Есть причина, по которой никто больше не использует Java. Слишком много сторонних приложений открывают дыры в безопасности, будь то из-за того, как они созданы, или из-за того, как они загружаются и внедряются. Помимо избегания этих приложений, остерегайтесь подозрительных загрузок, небезопасного программного обеспечения для совместного использования удаленного рабочего стола и программного обеспечения, срок службы которого подходит к концу.
• Отсутствующие обновления — Одной из основных причин проблем с безопасностью в сети являются основные ошибки в конфигурации программного обеспечения и микропрограмм или случаи, когда уровни конфигурации в сети становятся неравномерными.Точно так же очень легко отставать в обновлении и установке исправлений для устройств и программ, даже если исправления доступны. Хакеры могут быстро воспользоваться этими пробелами.

В начало

Оценка рисков уязвимостей

Сканеры уязвимостей

часто создают длинный список факторов риска, и администраторы редко могут немедленно и эффективно устранить все выявленные риски — просто требуется слишком много ресурсов для оценки и устранения каждого отдельного элемента. Многие автоматизированные инструменты обеспечивают ранжирование рисков от высокого к низкому, рассчитываемое с использованием таких факторов, как длительность существования риска в системе и то, будет ли влияние на систему значительным или незначительным.

Однако администраторы по-прежнему должны быть готовы самостоятельно оценивать риски, если это необходимо, и понимать причины, лежащие в основе оценок угроз, чтобы они могли предпринять осознанные действия в ответ. Администраторы должны сначала определить наиболее критические уязвимости и определить их приоритетность. По каждому пункту подумайте: если злонамеренный субъект воспользуется этим пробелом в системе безопасности, каковы будут последствия? Под угрозой ли конфиденциальные данные? Открывает ли эта дыра в безопасности большую часть сети для хакеров или ограниченную часть?

Вы также должны учитывать вероятность того, что злоумышленник воспользуется брешей в безопасности: в то время как внутренняя сеть и физический доступ уязвимы для действий сотрудников, дыры во внешней сети оставляют данные вашей компании открытыми для всего мира, что значительно опаснее.Кроме того, дважды проверьте уязвимости, чтобы убедиться, что они не являются ложноположительными — нет необходимости тратить ресурсы на устранение несуществующей проблемы.

Цель оценки пробелов в безопасности — определить приоритеты уязвимостей, требующих безотлагательного внимания. Немногие ИТ-команды имеют неограниченное время и ресурсы для решения каждого отдельного вопроса, который встречается на их пути. На самом деле вам нужно сначала сосредоточиться на дорогостоящих вещах, надеюсь, с автоматизированной помощью через ваше программное обеспечение безопасности.

В начало

Основные методы управления уязвимостями

Сканирование уязвимостей — важный метод предотвращения нарушений безопасности в вашей сети. Кроме того, он пересекается с другими методами управления уязвимостями, которые могут предоставить критически важную информацию о сети:

• Тестирование на проникновение — Эта практика, также называемая тестированием на проникновение, по существу заключается в взломе вашей собственной системы до того, как это сделает кто-то другой. Вы этически исследуете свою поверхность атаки (или нанимаете для этого кого-то другого), пытаясь взломать и «украсть» данные.Это может быть очень эффективным способом выявления брешей в безопасности, хотя это требует много времени и потенциально дорого, поэтому регулярное ручное тестирование является жизнеспособным вариантом только для более крупных компаний с хорошими ресурсами.
• Моделирование взлома и атаки — Это похоже на тестирование на проникновение, но оно постоянно, автоматизировано и поддается количественной оценке. По сути, это позволяет вам гарантировать эффективность ваших мер безопасности, подвергая их регулярному тестированию и проверке. Инструменты для моделирования взлома и атак появились на рынке раньше и работают иначе, чем инструменты для сканирования уязвимостей — например, они управляются внешними командами, поэтому вы должны быть уверены, что доверяете поставщику.Из-за того, что инструменты делают упор на точность, они могут привести к раскрытию конфиденциальных данных, а также повлиять на производительность.
• Мониторинг антивируса — Антивирусное программное обеспечение популярно, но оно требует ограниченного подхода к защите вашей сети. Он нацелен на обнаружение и удаление вредоносных программ в сети, в идеале предотвращая их проникновение в сеть. Эти антивирусные инструменты связаны не столько с устранением пробелов в сетевой безопасности, сколько с устранением конкретных угроз, таких как программы-вымогатели, шпионское ПО, трояны и т. Д.
• Сканирование веб-приложений — Внутренние сети — не единственные объекты, нуждающиеся в защите. Инструменты сканирования веб-приложений ищут уязвимости в веб-приложениях, моделируя атаки или анализируя внутренний код. Они могут обнаруживать межсайтовые сценарии, SQL-инъекции, обход пути, небезопасные конфигурации и многое другое. Эти инструменты работают по тому же принципу, что и сканеры уязвимостей.
• Управление конфигурацией — Хотя многие администраторы обеспокоены атаками «нулевого дня», свидетельства того, что неправильная конфигурация и отсутствующие исправления являются основными слабыми местами для вредоносных взломов.Многие администраторы оставляют подобные риски открытыми на месяцы или годы, не осознавая и не устраняя их, даже если исправления доступны. Сканирование и исправление этих ошибок помогает обеспечить согласованность в ваших системах даже при изменении активов. Эти меры также могут иметь решающее значение для соблюдения.

Типы сканирования и обнаружения уязвимостей

Администраторы, планирующие стратегию сканирования уязвимостей, имеют в своем распоряжении несколько подходов. Фактически, вы можете захотеть опробовать различные типы сканирования как часть вашего общего управления безопасностью, поскольку тестирование вашей системы под разными углами может помочь вам охватить все основы.Как указано ниже, два ключевых различия касаются местоположения (внутреннее и внешнее) и объема (всеобъемлющего или ограниченного) сканирования.

• Внутреннее и внешнее — При сканировании внутренней сети вам нужно запустить обнаружение угроз в локальной интрасети, что поможет вам понять бреши в безопасности изнутри. Аналогичным образом администраторы должны протестировать свою сеть как зарегистрированный пользователь, чтобы определить, какие уязвимости будут доступны для доверенных пользователей или пользователей, получивших доступ к сети.
  С другой стороны, есть преимущества выполнения внешнего сканирования, приближения к оценке из более широкого Интернета, поскольку многие угрозы возникают в результате преднамеренных и / или автоматических внешних взломов. Точно так же важно сканировать сеть как злоумышленник, чтобы понять, какие данные могут попасть в руки тех, у кого нет надежного доступа к сети.
• Комплексное против ограниченного — Комплексное сканирование учитывает практически все типы устройств, управляемых в сети, включая серверы, настольные компьютеры, виртуальные машины, ноутбуки, мобильные телефоны, принтеры, контейнеры, межсетевые экраны и коммутаторы.Это означает сканирование операционных систем, установленного программного обеспечения, открытых портов и информации об учетных записях пользователей. Кроме того, сканирование может выявить неавторизованные устройства. В идеале при всестороннем сканировании нельзя упускать из виду риски.

Однако такое сканирование может использовать полосу пропускания, и его частое выполнение может оказаться непрактичным. Ограниченное сканирование фокусируется на определенных устройствах, таких как рабочие станции или программное обеспечение, чтобы выявить более конкретную картину безопасности.

В начало

Что делают инструменты сканирования и обнаружения уязвимостей?

При таком большом количестве потенциальных угроз, возникающих в сетях и веб-приложениях, обнаружение уязвимостей является важной задачей для ИТ-администраторов.Это означает использование инструментов сканирования уязвимостей или аналогичных программ для обнаружения угроз и управления безопасностью на управляемых устройствах и приложениях. Какой бы тип сканера уязвимостей сети вы ни выбрали, ищите инструмент, который выполняет некоторые или все из следующих функций, в зависимости от ваших потребностей:

• Обнаружение слабых мест — Первым шагом сканирования уязвимостей является обнаружение слабых мест системы в сети. Это может означать использование инструмента, чтобы попытаться обнаружить и даже использовать бреши в безопасности при сканировании поверхности атаки.Попытка взломать вашу собственную сеть — это превентивная мера для обеспечения безопасности. Некоторые инструменты обнаружения уязвимостей более целенаправленны и работают для выявления отсутствующих исправлений программного обеспечения или обновлений прошивки.
• Классификация уязвимостей — Второй шаг — классифицировать уязвимости, чтобы определить приоритеты действий для администраторов. Уязвимости могут включать аномалии пакетов, отсутствие обновлений, ошибки скриптов и многое другое, а приоритет угроз обычно определяется сочетанием возраста и рассчитанного уровня риска.Многие инструменты сравнивают обнаруженные ими проблемы безопасности с обновленными базами данных известных рисков уязвимостей, включая Национальную базу данных уязвимостей и Общие уязвимости и воздействия.
• Внедрение контрмер — Не все инструменты безопасности одновременно выявляют проблемы и дают администраторам возможность их автоматически решать. Некоторые инструменты виртуальных машин ориентированы исключительно на мониторинг, оставляя администраторам возможность сделать следующий шаг. Но некоторые из них предназначены для решения проблем с устройствами, таких как ошибки конфигурации, которые потенциально могут достигать многих устройств одновременно, чтобы сэкономить часы работы администраторов.Подобные автоматические ответы могут быть невероятно полезны для снижения рисков в больших сетях.

В начало

1. Диспетчер конфигурации сети

Если вы хотите внести конкретные изменения в свою сеть, чтобы предотвратить нарушения безопасности, я рекомендую SolarWinds ^® Network Configuration Manager (NCM). NCM не является тем, что некоторые могут классифицировать как традиционный инструмент «сканер», но отлично справляется с автоматическим обнаружением проблем конфигурации на сетевых устройствах различных производителей и может быстро развертывать исправления микропрограмм на десятках или сотнях устройств одновременно.

NCM позволяет легко управлять настройками устройства, которые, как известно, создают уязвимости; вы даже можете создать свои собственные сценарии исправления, чтобы ваши устройства соответствовали требованиям. Поскольку ошибки конфигурации и отсутствующие исправления потенциально являются величайшими источниками нарушений безопасности, это действенный способ предотвращения атак и, на мой взгляд, необходимая часть любой стратегии управления уязвимостями.

NCM предлагает наиболее важные преимущества сканеров уязвимостей.Например, он интегрируется с национальной базой данных уязвимостей и базой данных общих уязвимостей и уязвимостей, поэтому вы можете увидеть, какие уязвимости микропрограмм Cisco являются высшим приоритетом безопасности. Это также поможет вам сэкономить время и ресурсы администратора за счет автоматического управления брандмауэром и получения информации о том, когда устройства добавляются или приближается конец срока службы. Кроме того, NCM предлагает важные надежные функции отчетности для эффективного управления уязвимостями. С помощью этого инструмента вы получите полную сетевую инвентаризацию, учет изменений конфигурации, информацию о текущем статусе соответствия и другие отчеты, которые помогут вам заранее спланировать безопасность.

Вы можете попробовать его, загрузив 30-дневную полнофункциональную бесплатную пробную версию, чтобы увидеть, как NCM работает для вас. Для такого универсального инструмента вы должны найти цену более чем разумной. Кроме того, многие продукты SolarWinds хорошо интегрируются друг с другом, поэтому вы можете продолжать наращивать свои ИТ-возможности в будущем.

2. ManageEngine Vulnerability Manager Plus

Программное обеспечение

ManageEngine VM позволяет получить важные сведения с помощью функций оценки уязвимости.Сканируйте устройства, системы Windows и некоторые сторонние приложения на наличие уязвимостей и мгновенно оценивайте их возраст и серьезность. ManageEngine Vulnerability Manager Plus использует стратегию на основе аномалий для обнаружения проблем безопасности, а не подход базы данных.

Инструмент предоставляет хороший набор возможностей. Помимо помощи в управлении антивирусным программным обеспечением для проверки его актуальности, оно позволяет выявлять программы, представляющие угрозу безопасности, порты, используемые в подозрительных целях, и проблемы с конфигурацией.

В платформу ManageEngine включены некоторые инструменты управления, включая развертывание конфигурации и управление исправлениями. Вы также можете обнаруживать уязвимости нулевого дня и использовать готовые сценарии для их устранения. Несмотря на множество функций, это программное обеспечение, как правило, простое в использовании, хотя для небольших сред оно может оказаться слишком сложным. Его можно использовать бесплатно на 25 компьютерах.

3. Paessler PRTG

Этот инструмент обеспечивает тщательный мониторинг инфраструктуры, позволяя администраторам анализировать сеть, приложения, серверы и многое другое.Платформа может отслеживать изменения статуса устройств и предупреждать вас о любых существенных изменениях, поскольку необычная активность может указывать на вторжение. Он может использовать сниффинг пакетов для сканирования данных ловушек SNMP и активности портов.

PRTG — это исключительно инструмент мониторинга, то есть он не предоставляет автоматизированную помощь в управлении или разрешении проблем. Бесплатно для 100 или менее датчиков, он также предлагает 30-дневную бесплатную пробную версию с неограниченным количеством датчиков, что позволит вам испытать все возможности инструмента.

4. Сканер сетевой безопасности BeyondTrust Retina

Инструмент BeyondTrust Retina может сканировать вашу сеть, веб-службы, контейнеры, базы данных, виртуальные среды и даже устройства Интернета вещей.Его встроенная совместимость с Интернетом вещей и аудит доступны не во всех инструментах сканирования, так что это отличный вариант, если вам нужно управлять множеством устройств. В то же время он разработан для сканирования, не влияя на доступность или производительность. Эта программа сравнивает угрозы с базой данных уязвимостей, а не полагается на обнаружение аномалий.

Retina ориентирована на мониторинг, а не на управление безопасностью. Таким образом, хотя он полезен и прост в использовании для понимания вашей среды безопасности, вам придется интегрировать платформу с более дорогостоящим инструментом управления уязвимостями предприятия для большего охвата.

5. Rapid7 Nexpose

Это полезный локальный инструмент управления уязвимостями, предлагающий достойную отправную точку для сканирования безопасности. Nexpose использует уникальный подход к оценке рисков, используя шкалу риска 1–1000, а не шкалу Высокий-Средний-Низкий или 1–10. Этот подробный рейтинг учитывает возраст уязвимостей и их использование в наборах эксплойтов. Некоторым пользователям это нравится; другие считают это излишним. Nexpose также предоставляет пошаговые инструкции для сравнения ваших систем с общепринятыми стандартами политики, помогая обеспечить соответствие.Хотя он не обязательно предлагает все функции, необходимые для стратегии управления, у него есть открытый API, который позволяет интегрировать его данные с другими инструментами.

6. Tripwire IP360

Tripwire IP360 — это программное обеспечение для сканирования уязвимостей интернет-сетей корпоративного уровня, которое позволяет не только сканировать все устройства и программы в сетях, включая локальные, облачные и контейнерные среды, но и находить ранее необнаруженные агенты.Этот инструмент помогает автоматизировать то, как администраторы устраняют уязвимости, ранжируя риски по степени воздействия, возрасту и простоте использования. И, как и Nexpose, он имеет открытый API, позволяющий интегрировать эти функции управления уязвимостями с другими решениями для управления. В остальном IP360 — это стандартный сканер уязвимостей.

7. ImmuniWeb

ImmuniWeb — это платформа на основе искусственного интеллекта, предлагающая несколько инструментов сканирования уязвимостей, таких как ImmuniWeb Continuous для выполнения тестирования на проникновение для обнаружения угроз безопасности и ImmuniWeb Discovery для обнаружения и предоставления оценок возможности взлома на основе ваших активов.Он использует возможности машинного обучения для быстрого обнаружения рисков и предположительно не возвращает ложных срабатываний. В этом инструменте также присутствует элемент человеческого интеллекта — человеческие пентестеры работают за кулисами, чтобы гарантировать точность. Хотя ImmuniWeb слишком дорого и специфичен для большинства организаций, он может быть вариантом для некоторых команд DevOps.

8. Нетспаркер

Если вы ищете именно безопасность веб-приложений, это может быть хорошим выбором.Netsparker предлагает запатентованную технологию Proof-Based-Scanning, которая устраняет ложные срабатывания — большое преимущество при масштабировании вашего прицела. Кроме того, Netsparker построен для интеграции с другими системами управления, чтобы помочь автоматизировать рабочий процесс уязвимостей. Этот инструмент оценки уязвимости в Интернете — это автоматизация и точность; Вы можете проверить демонстрацию, чтобы убедиться, что это правда. Его используют некоторые крупные клиенты, в том числе Министерство внутренней безопасности США.

9. Acunetix

Это еще один сканер безопасности веб-сайтов, а не сетевой сканер.Acunetix рекламирует свою способность обнаруживать более 4500 уязвимостей в пользовательских, коммерческих приложениях и приложениях с открытым исходным кодом с низким уровнем ложных срабатываний. Помимо видимости строк кода и подробных отчетов, которые помогут вам более легко устранять проблемы безопасности, он дает вам возможность настраивать рабочий процесс по мере необходимости на привлекательной визуальной платформе. Для команд, управляющих веб-сайтами, такой гибкий инструмент может стать спасением.

10. Злоумышленник

Этот облачный сканер уязвимостей использует оптимизированный подход к обнаружению рисков.Злоумышленник проверяет конфигурации, обнаруживает ошибки в веб-приложениях, отлавливает отсутствующие исправления и пытается снизить количество ложных срабатываний. Вы можете подключиться к своему облачному провайдеру, чтобы включить в сканирование внешние IP-адреса и имена хостов DNS. Некоторым командам понравится возможность получать уведомления в Slack, Jira и по электронной почте. Другим этот инструмент покажется слишком упрощенным для всестороннего использования, но цена делает его доступным.

В начало

1. Wireshark

Этот широко известный анализатор сетевых протоколов с открытым исходным кодом помогает с определенными задачами сканирования уязвимостей.Бесплатный сканер уязвимостей Wireshark использует анализ пакетов для анализа сетевого трафика, что помогает администраторам разрабатывать эффективные меры противодействия. Если он обнаруживает вызывающий беспокойство трафик, он может помочь определить, является ли это атакой или ошибкой, классифицировать атаку и даже реализовать правила для защиты сети. Благодаря этим возможностям Wireshark является абсолютно мощным инструментом. Однако, как и многое другое программное обеспечение с открытым исходным кодом, оно не обязательно простое в использовании — будьте готовы тщательно настроить эту платформу и управлять ею в соответствии со своими потребностями.

2. Nmap

Nmap — классический инструмент с открытым исходным кодом, используемый многими сетевыми администраторами для базового ручного управления уязвимостями. Этот бесплатный сканер уязвимостей в основном отправляет пакеты и считывает ответы для обнаружения узлов и служб в сети. Это может означать обнаружение хоста с помощью запросов TCP / ICMP, сканирование портов, определение версии и обнаружение ОС. Для администраторов, которым удобно создавать сценарии, этот инструмент также позволяет обнаруживать некоторые расширенные уязвимости.Nmap полностью ориентирован на использование командной строки на уровне экспертов и не предлагает интуитивно понятный дисплей для удобного запуска сканирования или интерпретации результатов. Хотя это делает его подходящим для некоторых профессионалов, большинству администраторов потребуется более рациональный подход к сканированию уязвимостей.

3. OpenVAS

Открытая система оценки уязвимостей (OpenVAS) — это программная структура из нескольких сервисов для управления уязвимостями. Это бесплатный инструмент с открытым исходным кодом, поддерживаемый Greenbone Networks с 2009 года.Созданный как универсальный сканер, он запускается из ленты безопасности, содержащей более 50 000 тестов на уязвимости, которые обновляются ежедневно. Этот бесплатный сканер уязвимостей, разработанный специально для работы в среде Linux, является хорошим вариантом для опытных пользователей, которые хотят выполнять целевое сканирование или тестирование на проникновение. Его установка и использование требуют значительного обучения, и по этой причине он не подходит для большинства сетевых администраторов. Greenbone также предлагает платный продукт с более регулярными обновлениями, гарантиями обслуживания и поддержкой клиентов.

4. Qualys Community Edition

Эта бесплатная облачная служба заменяет старый инструмент Qualys FreeScan. Community Edition предоставляет урезанную версию Qualys Cloud Platform, подходящую для небольших организаций, поскольку она обеспечивает неограниченное сканирование 16 внутренних ресурсов, трех внешних ресурсов и одного URL-адреса. Он обладает многими функциями полного инструмента, поскольку платформа использует информацию из более чем трех миллиардов ежегодных сканирований уязвимостей.Одним из преимуществ Qualys Community Edition является возможность поиска по результатам сканирования и создания гибких отчетов. К тому же интерфейс приятен в использовании.

5. Burp Suite Community Edition

Эта бесплатная версия инструмента оценки уязвимости в Интернете также доступна на корпоративном и профессиональном уровнях. Для администраторов, которым требуется больше ручного контроля над сканированием уязвимостей через Интернет, Burp Suite Community Edition является сильным соперником.Вы можете управлять запросами и ответами (перехватывать и редактировать), аннотировать элементы и даже использовать правила сопоставления и замены для применения пользовательских изменений. Вы также получаете детальный контроль над правилами, а также возможность получить представление о карте сайта, просмотреть некоторые диаграммы статистического анализа и получить доступ к бесплатным расширениям от сообщества пользователей. По сути, если вы заинтересованы в создании инструмента, необходимого для веб-сканирования, Burp — это мощный и бесплатный вариант.

В начало

Проблемы с мониторингом уязвимостей

Инструменты сканирования уязвимостей полезны, но важно знать, что запуск этих программ может вызвать проблемы в вашей сети.Например, сканеры вторгаются в работающий код целевых устройств, что может привести к ошибкам или перезагрузкам. В некоторых сетях сканеры занимают полосу пропускания и могут вызывать общие проблемы с производительностью. По этой причине администраторы могут предпочесть запускать сканирование в нерабочее время, чтобы минимизировать влияние на сотрудников. Фактически, некоторые сканеры сконструированы таким образом, чтобы минимизировать это воздействие. Например, некоторые программы включают агентов конечных точек для передачи информации на платформу, вместо того, чтобы позволять платформе извлекать информацию во время запланированного сканирования.

Другой вариант — использовать адаптивное сканирование, которое обнаруживает изменения в сети, например добавленное устройство, и немедленно сканирует эту новую систему. Это позволяет выполнять частичное сканирование, а не более медленное и полное сканирование.

Несмотря на то, что на рынке существует множество типов программных средств безопасности, использование программного обеспечения для сканирования уязвимостей является критически важным первым шагом на пути к защите вашей сети, при этом уменьшая ручную нагрузку на виртуальные машины. Оцените такой инструмент, как Network Configuration Manager, как универсальное решение, чтобы сэкономить время и лучше управлять стратегией обнаружения уязвимостей.

7 Сканер сетевых уязвимостей для малого и среднего бизнеса

Найдите уязвимости в своей сетевой инфраструктуре раньше всех.

Иметь сетевую инфраструктуру, уязвимую для известных или неизвестных рисков, опасно. Но вопрос в том, как узнать об угрозах?

Примечание : речь идет не о поиске уязвимостей на веб-сайте, как я объяснил здесь. Это около базовой инфраструктуры .

Последний отчет Edgecan показывает 81% уязвимостей, обнаруженных в сети .

Существует много сканеров, и не все они соответствуют требованиям. Вот некоторые из них, которые выглядят подходящими для малого и крупного бизнеса .

AlienVault USM

Теперь AT&T, AlientVault USM (Unified Security Management) — это готовое к корпоративному использованию решение для локальной или облачной инфраструктуры.

USM доступен как SaaS, что означает, что вам не нужно беспокоиться об установке программного обеспечения и его настройке. Вы можете запустить его за считанные минуты, чтобы просканировать всю инфраструктуру.Он поддерживает основные облака, такие как Azure и AWS.

Наряду со сканированием уязвимостей сети он также помогает в обнаружении активов, поведенческом мониторинге, обнаружении вторжений, управлении событиями и журналами. С их красивой панелью управления вы можете получить представление о безопасности своей инфраструктуры и перейти к подробному обзору, чтобы понять и снизить риски.

Для обеспечения соответствия вам доступны готовые шаблоны отчетов, такие как PCI-DSS, NIST CSF, HIPPA, ISO 27001. AlienVault хорошо интегрируется с облачными продуктами безопасности (Cloudflare, SOPHOS, ServiceNow, Google Workspace, Cisco Umbrella, Okta, McAfee EPO и т. Д.)) и получил более 350 плагинов.

InsightVM

Отмеченный наградами сканер уязвимостей Nexpose вдохновляет InsightVM от Rapid7. InsightVM — это оперативное управление уязвимостями и аналитика конечных точек.

С помощью InsightVM вы можете собирать, отслеживать и анализировать риски для новых и существующих сетей.

Некоторые из функций:

Мощная аналитика — получите расширенную аналитику подверженности угроз с действенной информацией о рисках для более быстрого устранения.

Непрерывный мониторинг — агент Insight автоматически и непрерывно отслеживает уязвимости конечных точек и обеспечивает мониторинг в реальном времени. Он предлагает динамический мониторинг для AWS, VMware, Azure.

Liveaboards — интерактивная панель управления с данными в реальном времени для CISO для системного администратора для анализа безопасности инфраструктуры.

Оценка риска — уязвимости помечены стандартным рейтингом CVSS, поэтому вы можете принять меры в соответствии с приоритетом.

Интеграция — Интеграция с вашими любимыми инструментами, включая Metaspoilt, InsightIDR, Nexpose, ServiceNow, McAfee, Splunk и т. Д.

Вы можете начать работу с БЕСПЛАТНОЙ 30-дневной пробной версией InsightVM.

Злоумышленник

Intruder — это проактивный сканер уязвимостей, который сканирует вас при обнаружении новых уязвимостей.

Разработанный для внешних систем, Intruder обнаруживает более 10 000 слабых мест в системе безопасности, включая WannaCry, Heartbleed и SQL Injection, и помогает уменьшить поверхность атаки, выделяя порты и службы, которые не должны быть доступны в Интернете.

Другие уникальные функции включают интеграцию AWS и Slack, которая позволяет Intruder отслеживать, какие системы вы используете в Интернете, и уведомлять вас при обнаружении новых уязвимостей. Интеграция с Jira означает, что новые задачи можно отправлять прямо вашей команде разработчиков.

Intruder популярен среди стартапов и среднего бизнеса, поскольку он упрощает управление уязвимостями для небольших команд.

Intruder предлагает 14-дневную бесплатную пробную версию, чтобы вы могли сами увидеть все функции в действии.

Acunetix

Сканер сети

Acunetix тестирует периметр сети на наличие более 50 000 известных уязвимостей и неправильной конфигурации.

Acunetix использует сканер OpenVAS для комплексного сканирования сетевой безопасности. Это онлайн-сканер, поэтому результаты сканирования доступны на панели инструментов, где вы можете детализировать отчет, риски и угрозы.

элементов риска связаны со стандартной оценкой угроз и информацией о действиях, поэтому вам легко исправить ситуацию.

Выполнены некоторые из следующих проверок.

• Оценка безопасности маршрутизаторов, межсетевых экранов, балансировщиков нагрузки, коммутаторов и т. Д.
• Аудит слабого пароля на сетевых службах
• Тестирование уязвимостей и атак DNS
• Проверить неправильную конфигурацию прокси-сервера, шифров TLS / SSL, веб-серверов.

Acunetix предлагает 14-дневную пробную версию, поэтому попробуйте посмотреть, как она работает.

OpenVAS

Одно из самых известных решений для поиска уязвимостей и управления ими с открытым исходным кодом.

OpenVAS — это фреймворк, который включает множество сервисов и инструментов и идеально подходит для тестирования сетевой уязвимости.

Взгляните на их демо, чтобы узнать, как это выглядит. Это открытый исходный код, поэтому он бесплатный; однако у них есть корпоративная поддержка.

Nessus

Nessus — одно из популярных средств управления уязвимостями, используемое миллионами пользователей. Он охватывает большое количество типов активов.

• Операционная система
• Гипервизоры
• Сетевые устройства
• База данных
• Веб-серверы
• Межсетевой экран

Nessus быстро обнаруживает и обеспечивает высокую точность с низким уровнем ложных срабатываний.

Некоторые из замечательных функций Nessus от Tenable:

• Детализированная отчетность
• Отчеты можно автоматизировать для загрузки с помощью API
• Готовность к аудиту соответствия и конфиденциального контента.
• Возможность сканирования IPv4 / IPv6 и гибридных сетей
• Развернуть как программное обеспечение или виртуальные устройства
• Доступно локально или в облаке
• Оценка риска на основе CVSS

Более 24 000 организаций доверяют Nessus.Они предлагают БЕСПЛАТНУЮ пробную версию в течение семи дней.

Qualys

Защитите свой центр обработки данных и сети с помощью Qualys.

Qualys предлагает набор продуктов безопасности для защиты всей инфраструктуры. С помощью непрерывного мониторинга вы можете контролировать свою сеть и получать предупреждения в режиме реального времени об угрозах и изменении системы.

А с помощью приложения для управления уязвимостями вы можете обнаруживать, обнаруживать и защищать устройства.

Вы можете начать с пробной версии, чтобы испытать это на себе.

Заключение

Управление уязвимостями сети — сложная задача, и я надеюсь, что приведенные выше решения помогут вам обеспечить безопасность вашей инфраструктуры.

Обзор кибер-уязвимостей | CISA

Системы управления уязвимы для кибератак как изнутри, так и за пределами сети системы управления. Чтобы понять уязвимости, связанные с системами управления, вы должны знать типы коммуникаций и операций, связанных с системой управления, а также понимать, как злоумышленники используют уязвимости системы в своих интересах.Это обсуждение обеспечивает общий обзор этих тем, но не обсуждает подробные эксплойты, используемые злоумышленниками для осуществления вторжений.

---

Понимание кибер-уязвимостей системы управления

Чтобы понять уязвимости, связанные с системами управления (CS), вы должны сначала знать все возможные пути связи в и из CS. На рисунке 1 представлены различные устройства, пути связи и методы, которые можно использовать для связи с типичными компонентами системы процессов.

большая версия
Рисунок 1: Доступ к коммуникационным системам

Как показано на Рисунке 1, существует множество способов взаимодействия с сетью CS и ее компонентами с использованием различного вычислительного и коммуникационного оборудования. Человек, знакомый с технологическим оборудованием, сетями, операционными системами и программными приложениями, может использовать эти и другие электронные средства для получения доступа к CS. Точки беспроводного доступа, позволяющие несанкционированное подключение к системным компонентам и сетям, представляют собой уязвимости.

В типичной крупномасштабной производственной системе, использующей конфигурацию SCADA или распределенной системы управления (DCS), имеется множество компонентов компьютеров, контроллеров и сетевых коммуникаций, интегрированных для обеспечения эксплуатационных потребностей системы. Типичная сетевая архитектура показана на рисунке 2.

большая версия
Рисунок 2: Типичная сетевая архитектура с двумя брандмауэрами

Контроллеры подключаются к технологическим устройствам и датчикам для сбора данных о состоянии и обеспечения оперативного управления устройств.Блок контроллера обменивается данными с сервером сбора данных CS, используя различные протоколы связи (структурированные форматы для упаковки данных для передачи). Связь между сервером сбора данных и контроллерами в системе может быть обеспечена локально с использованием высокоскоростного провода, оптоволоконных кабелей или удаленных контроллеров через беспроводную связь, коммутируемое соединение, Ethernet или комбинацию методов связи.

Оператор или диспетчер контролирует и управляет системой через подсистему человеко-машинного интерфейса (HMI).HMI предоставляет графические дисплеи для отображения состояния устройств, сигналов тревоги и событий, состояния системы и другой информации, относящейся к системе. Оператор может взаимодействовать с системой через дисплеи HMI для удаленного управления системным оборудованием, устранения проблем, разработки и запуска отчетов и выполнения других операций.

Системные данные собираются, обрабатываются и хранятся на главном сервере базы данных. Эти данные сохраняются для бизнес-потребностей в тенденциях, архивировании, регулировании и внешнем доступе.Типы данных включают данные из следующих источников: сервер сбора данных, взаимодействие оператора с управлением, сигналы тревоги и события, а также рассчитанные и генерируемые из других источников.

В большинстве систем управления используются специализированные приложения для обработки операционных и бизнес-данных. Эти задачи обычно выполняются на серверах расширенных приложений, извлекающих данные из различных источников в сети системы управления. Эти приложения могут приводить к корректировкам оперативного управления в реальном времени, отчетам, сигналам тревоги и событиям, к расчетному источнику данных для архивации главного сервера базы данных или поддержке аналитических работ в реальном времени, выполняемых с рабочей станции инженера или других интерфейсных компьютеров.

Инженерная рабочая станция предоставляет средства для мониторинга и диагностики различных аспектов работы системы, установки и обновления программных элементов, восстановления после сбоев и выполнения различных задач, связанных с системным администрированием.

Критически важные системы управления обычно конфигурируются в полностью резервированной архитектуре, что обеспечивает быстрое восстановление после потери различных компонентов в системе. Резервный центр управления используется в более важных приложениях для обеспечения дополнительной системы управления в случае катастрофической потери основной системы.

Сеть системы управления часто подключается к сети бизнес-офиса для обеспечения передачи данных из сети управления в реальном времени в различные элементы корпоративного офиса. Это часто включает планирование технического обслуживания, центр обслуживания клиентов, контроль запасов, управление и администрирование, а также другие подразделения, которые полагаются на эти данные для принятия своевременных бизнес-решений.

Злоумышленник, желающий взять на себя управление системой управления, сталкивается с тремя проблемами:

1. Получить доступ к системе управления LAN
2. Путем обнаружения получить понимание процесса
3. Получить контроль над процессом.

В начало

Доступ к локальной сети системы управления

Первое, что нужно сделать злоумышленнику, — это обойти защиту периметра и получить доступ к локальной сети системы управления. Большинство сетей систем управления больше не имеют прямого удаленного доступа из Интернета. Обычной практикой в ​​большинстве отраслей является межсетевой экран, отделяющий корпоративную локальную сеть от локальной сети системы управления. Это не только защищает от хакеров, но и изолирует сеть системы управления от сбоев, червей и других проблем, возникающих в корпоративной локальной сети.Большинство готовых хакерских инструментов злоумышленника можно напрямую применить к проблеме. Существует несколько распространенных способов, которыми злоумышленник может получить доступ, но количество различных путей превышает количество обычных.

В начало

Общие сетевые архитектуры

большая версия
Рисунок 3. Два межсетевых экрана

В большинстве систем управления есть три общие архитектуры. У каждого бизнеса есть свои небольшие вариации, продиктованные их средой.Все три являются защищенными, если используются надлежащие брандмауэры, системы обнаружения вторжений и привилегии на уровне приложений. Безусловно, наиболее распространенной архитектурой является архитектура с двумя брандмауэрами (см. Рисунок 3). Деловая ЛВС защищена от Интернета брандмауэром, а ЛВС системы управления защищена от деловой ЛВС отдельным брандмауэром. Брандмауэр для бизнеса администрируется ИТ-персоналом компании, а брандмауэр системы управления администрируется персоналом системы управления.

большая версия
Рисунок 4: Система управления как DMZ

Вторая по распространенности архитектура — это сеть системы управления как демилитаризованная зона (DMZ) за пределами бизнес-локальной сети (см. Рисунок 4).Единый межсетевой экран администрируется ИТ-персоналом компании, который защищает локальную сеть системы управления как от корпоративной локальной сети, так и из Интернета.

Большой DCS часто необходимо использовать части бизнес-сети в качестве маршрута между несколькими локальными сетями системы управления (см. Рисунок 5). Каждая локальная сеть системы управления обычно имеет свой собственный межсетевой экран, защищающий ее от корпоративной сети, а шифрование защищает процесс передачи данных по корпоративной локальной сети. Администрирование межсетевых экранов обычно является совместным усилием системы управления и ИТ-отделов.

большая версия
Рисунок 5: Деловая локальная сеть как магистраль

большая версия
Рисунок 6: DMZ данных

Новой тенденцией является установка DMZ данных между корпоративными LAN и LAN системы управления (см. Рисунок 6). Это обеспечивает дополнительный уровень защиты, поскольку не происходит прямого обмена данными между локальной сетью системы управления и бизнес-локальной сетью. Дополнительная надежность DMZ данных зависит от особенностей ее реализации.

В начало

Коммутируемый доступ к RTU

большая версия
Рисунок 7. Коммутируемый доступ к RTU

Один из наиболее распространенных маршрутов входа напрямую набирает модемы, подключенные к полевому оборудованию (см. рисунок 7). Модемы используются в качестве резервных каналов связи в случае выхода из строя основных высокоскоростных линий. Злоумышленник набирает все телефонные номера в городе в поисках модемов. Кроме того, злоумышленник наберет каждый внутренний номер в компании в поисках модемов, подключенных к корпоративной телефонной системе.Большинство удаленных терминалов (RTU) идентифицируют себя и производителя, который их сделал. Большинство RTU не требуют аутентификации или пароля для аутентификации. Обычно можно найти удаленные терминалы с паролями по умолчанию, которые все еще активированы в полевых условиях.

Злоумышленник должен знать, как использовать протокол RTU для управления RTU. Управление обычно, но не всегда, ограничивается одной подстанцией.

Вернуться к началу

Поддержка поставщика

большая версия
Рисунок 8: Поддержка поставщика

Большинство систем управления поставляется с соглашением о поддержке поставщика.Необходима поддержка во время обновлений или при сбоях в работе системы. Наиболее распространенными средствами поддержки поставщика были модем удаленного доступа и PCAnywhere (см. Рисунок 8). В последние годы это перешло на VPN-доступ к локальной сети системы управления. Злоумышленник попытается получить доступ к внутренним ресурсам поставщика или полевым портативным компьютерам и подключиться к локальной сети системы управления.

Вернуться к началу

Средства связи, управляемые ИТ

, большая версия
междугородные линии связи.В этом случае обычно обнаруживается, что один или несколько каналов связи контролируются и администрируются из корпоративной LAN. Мультиплексоры для микроволновых каналов и волоконно-оптических линий являются наиболее распространенными изделиями. Опытный злоумышленник может перенастроить или скомпрометировать эти части коммуникационного оборудования для управления полевыми коммуникациями (см. Рисунок 9).

Вернуться к началу

Корпоративные сети VPN

большая версия
Рис. .Наиболее распространенный механизм — подключение к управляющему брандмауэру через VPN (см. Рисунок 10). Злоумышленник попытается захватить компьютер и дождаться, пока законный пользователь подключится к сети VPN в локальной сети системы управления и подключится к соединению.

Вернуться к началу

Ссылки на базу данных

большая версия
Рис. в бизнес-локальную сеть.Часто администраторы делают все возможное, чтобы настроить правила брандмауэра, но не тратят время на обеспечение безопасности среды базы данных. Опытный злоумышленник может получить доступ к базе данных в локальной сети предприятия и использовать специально созданные операторы SQL, чтобы захватить сервер базы данных в локальной сети системы управления (см. Рисунок 11). Практически все современные базы данных допускают этот тип атаки, если не настроены должным образом для ее блокировки.

В начало

Плохо настроенные межсетевые экраны

Часто межсетевые экраны плохо настроены по историческим или политическим причинам.Распространенные недостатки брандмауэра включают передачу сетевых пакетов Microsoft Windows, передачу rservices и наличие доверенных хостов в корпоративной локальной сети. Самая распространенная проблема конфигурации — отсутствие правил для исходящих данных. Это может позволить злоумышленнику, который может скрыть полезную нагрузку на любой машине системы управления, перезвонить из локальной сети системы управления в бизнес-локальную сеть или Интернет (см. Рисунок 7).

Вернуться к началу

Связи одноранговых служебных программ

большая версия
Рис. партнеры-производители.Исторически сложилось так, что ссылкам от партнеров или сверстников доверяли. В этом случае безопасность системы — это безопасность самого слабого участника (см. Рисунок 12). В последнее время одноранговые ссылки были ограничены за брандмауэрами для определенных хостов и портов.

В начало

Обнаружение процесса

Злоумышленник, который закрепляется в локальной сети системы управления, должен обнаружить детали реализации процесса, чтобы хирургическим путем атаковать его. Если бы дюжине инженеров-химиков было поручено создать завод по производству талька, каждый из них использовал бы различное оборудование и настраивал бы оборудование уникальным образом.Злоумышленнику, желающему прибегнуть к хирургическому вмешательству, для того, чтобы действовать эффективно, нужны особенности. Злоумышленнику, который просто хочет завершить процесс, требуется очень небольшое обнаружение.

Двумя наиболее ценными элементами для злоумышленника являются точки в базе данных сервера сбора данных и экраны дисплея HMI. Каждый поставщик системы управления называет базу данных по-своему, но почти каждая система управления присваивает каждому датчику, насосу, выключателю и т. Д. Уникальный номер. На уровне протокола связи устройства просто обозначаются номерами.Хирургическому злоумышленнику нужен список используемых ссылочных номеров точек и информация, необходимая для присвоения значения каждому из этих номеров.

Экраны HMI оператора обычно предоставляют самый простой способ понять процесс и присвоить значение каждому из номеров точек. Каждый поставщик системы управления уникален тем, где он хранит экраны оператора HMI и базу данных точек. Правила, добавленные в систему обнаружения вторжений (IDS) для поиска этих файлов, эффективны для обнаружения злоумышленников.

В начало

Управление процессом

Отправка команд непосредственно на оборудование для сбора данных

большая версия
Рисунок 13: Отправка команд непосредственно на оборудование для сбора данных

Самый простой способ управлять процессом — отправлять команды непосредственно на оборудование для сбора данных (см. Рисунок 13). Большинство ПЛК, преобразователей протоколов или серверов сбора данных не имеют даже базовой аутентификации.Обычно они принимают любую правильно отформатированную команду. Злоумышленник, желающий получить контроль, просто устанавливает соединение с оборудованием для сбора данных и выдает соответствующие команды.

Вернуться к началу

Экспорт экрана HMI

большая версия
Рисунок 14: Экспорт экрана HMI

Эффективной атакой является экспорт экрана консоли HMI оператора обратно злоумышленнику (см. рисунок 14).Стандартные инструменты могут выполнять эту функцию как в среде Microsoft Windows, так и в среде Unix. Оператор увидит «мышь вуду», щелкающую по экрану, если злоумышленник не закроет экран. Злоумышленник также ограничен командами, разрешенными для текущего вошедшего в систему оператора. Например, он, вероятно, не мог изменить отвод фазы на трансформаторе.

В начало

Изменение базы данных

большая версия
Рис. база данных может выполнять произвольные действия с системой управления (см. рисунок 15).

Вернуться к началу

Атаки Man-in-the-Middle

large version
Рисунок 16. Атаки Man-in-the-middle

Man-in-the- Атаки среднего уровня могут выполняться на протоколах системы управления, если злоумышленник знает протокол, которым он манипулирует. Злоумышленник может изменять пакеты в пути, обеспечивая как полную подделку дисплеев операторского интерфейса HMI, так и полный контроль над системой управления (см. Рисунок 16).Вставляя команды в поток команд, злоумышленник может выдавать произвольные или целевые команды. Изменяя ответы, оператор может получить измененную картину процесса.

Вернуться к началу

.