Обзор средств анализа защищенности

Механизмом активного анализа является зондирование, которое позволяет убедиться присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. На практике этот механизм реализуется методом “имитация атак”.

Метод имитации атак основан на использовании различных дефектов в ПО и реализует зондирование.

Некоторые уязвимости не обнаруживают себя, пока не "подтолкнуть" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Существуют уязвимости, которые не могут быть обнаружены без блокирования или нарушения функционирования сервисов ОС в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков. [6]

5. Нормативная база анализа защищенности

Наибольшее распространение получили средства анализа защищенности сетевых протоколов и сервисов. Обусловлено в первую очередь, универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов как IP, TCP, HTTP, FTP, SMPT и т.п., позволяют с высокой степенью эффективности проверять защищенность ИС, работающей в сетевом окружении.[2]

6.1 Средства анализа защищенности сетевых протоколов и сервисов

Взаимодействие абонентов в любой сети базируется на использовании сетевых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами. При разработке сетевых протоколов и сервисов к ним предъявлялись требования по обеспечению безопасности обрабатываемой информации. Поэтому постоянно появляются сообщения об обнаруженных в сетевых протоколах уязвимостях. В результате возникает потребность в постоянной проверке всех используемых в защищенной сети протоколов и сервисов

Системы анализа защищенности выполняют серию тестов по обнаружении уязвимостей. Эти тесты аналогичны действиям злоумышленников при осуществлении атак.

Сканирование с целью обнаружения уязвимостей начинается с получения предварительной информации о проверяемой системе. Заканчивается сканирование попытками имитации проникновения, используя широко известные атаки, например подбор пароля методом полного перебора.

При помощи средств анализа защищенности на уровне сети можно тестировать не только возможность НСД в защищенную сеть, но и оценить уровень безопасности организации, эффективность настроек сетевого ПО.

Типичная схема проведения анализа защищенности( на примере системы Internet Scanner) [16]:

1. Подсистема Intranet Scanner (рис. 2) используя тесты, позволяет оценить эффективность и надежность конфигурации рабочих станции в составе ИС. К системам, тестируемым Intranet Scanner, относятся ИС, использующие ОС UNIX, ОС Microsoft Windows и др. ОС, поддерживающие стек протоколов TCP/IP, а также интеллектуальные принтеры (имеющие IP-адрес), удаленные терминалы и т. п.

2. Подсистема Firewall Scanner (рис. 3) повышает уровень защищенности ИС путем тестирования МСЭ на наличие известных уязвимостей и некорректной конфигурации.

3. Подсистема Web Security Scanner (рис. 4) позволяет выявить известные уязвимости и неправильную конфигурацию Web-сервера и формирует рекомендации по повышению уровня его защищенности.

Риc. 2 Подсистема Intranet Scanner

Риc 3 Подсистема Firewall Scanner

Риc. 4 Подсистема Web Security Scanner

Рис. 5 Cхема проведения анализа защищенности сетевого уровня

Средства анализа защищенности данного класса анализируют не только уязвимость сетевых сервисов и протоколов, но и системного и прикладного ПО, отвечающего за работу с сетью. К такому обеспечению можно отнести Web-, FTP- и почтовые серверы, МЭ, браузеры и т.п.[2]

Достоинства сетевого анализа:

· Находится "дыры" (открытые порты, службы) защиты на целом ряде платформ и систем.

· Поскольку анализ уязвимостей на сетевом уровне не зависит от платформы и типа системы, его можно легко и быстро задействовать.

· Поскольку такой анализ не предполагает доступа на системном уровне, его легко использовать с организационной точки зрения.

Недостатки сетевого анализа:

· Поскольку такой анализ не учитывает уязвимости, характерные для платформы, он часто менее точен, чем анализ на системном уровне.

· Он может оказывать влияние на производительность сети и ее характеристики. [18]

В настоящее время известно более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Самые распространенные: Internet Scanner, NetSonar, CyberCop.

6.2 Средства анализа защищенности ОС

Средства этого класса предназначены для проверки настроек ОС, влияющих на ее защищенность. К таким настройкам можно отнести:

1. Учетные записи пользователей

2. Права пользователей на доступ к системным файлам

3. Уязвимые системные файлы

4. Установленные патчи

Системы анализа защищенности на уровне ОС могут быть использованы также для контроля конфигурации ОС.

В отличие от средств анализа защищенности сетевого уровня данные системы проводят сканирование не снаружи, а изнутри анализируемой системы, т.е. они не имитируют атаки внешних злоумышленников.[2]

Анализ на системном уровне использует пассивные, не оказывающие заметного влияния на работу, методы для проверки настроек и конфигурации системы на наличие ошибок, которые могут вызвать проблемы с защитой. Эти проверки обычно окружают внутренности системы и включают такие вещи, как права доступа к файлам и права наследования, а также использованы или нет патчи для устранения уязвимостей операционной системы.

Средства анализа защищенности ОС позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек правилам, установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимостей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей. [8]

Достоинства системного анализа:

· Дается очень точная, конкретную для данного хоста картина дыр защиты.

· Охватывается дыры защиты, которые не находятся в течение анализа на системном уровне.

Недостатки системного анализа:

· Эти методы анализа зависят от типа конкретной платформы и, таким образом, требуют точной конфигурации каждого типа хоста, используемого организацией.

· Эксплуатация и обновление часто требуют намного больше усилий, чем при анализе на сетевом уровне. [18]

Типичная схема проведения анализа защищенности на системном уровне( на примере системы System Scanner) [16]:

Рис. 6. Cхема проведения анализа защищенности системного уровня

6.3 Средства анализа защищенности СУБД

В условиях, когда растет количество несанкционированных обращений к информационным ресурсам, очевидна необходимость защиты компьютерной среды. Поэтому совсем не безразлично, где хранится наиболее ценная информация о компании, финансовые данные о ней и ее клиентах. Однако, несмотря на это часто забывают, защитить одну из самых важных частей информационной инфраструктуры - базы данных, где обычно хранится наиболее ценная и важная информация.

Независимо от того, какая применяется СУБД - Oracle, Sybase, IBM DB2, Progress и т.д., именно она содержит наиболее важную информацию

Средства анализа защищенности СУБД - Database Scanner - позволяет обнаруживать различные проблемы, связанные с безопасностью БД: «слабые» пароли, права доступа к объектам БД. В результате анализа формируются отчеты, содержащие рекомендации по корректировке действий, направленных на устранение обнаруженных уязвимостей.

Проверка сканером безопасности затрагивает все аспекты безопасности СУБД, такие как:

1. Настройки сетевого взаимодействия

2. Система аутентификации

3. Механизмы разграничения доступа

4. Права и привилегии пользователей

5. Управление обновлениями.

Анализ безопасности СУБД «изнутри» позволяет выявить уязвимости, которые либо невозможно, либо крайне сложно идентифицировать методами тестирования на проникновение.[10]

Средств анализа защищенности, работающих на уровне сети и операционной системы, существует не один десяток, а средств, анализирующих базы данных намного меньше. На сегодняшний день всего два. Это система Database Scanner от Internet Security Systems, Inc. и система SQL Secure Policy компании BrainTree Security Software.[10]

7. Виды средств анализа защищенности

Рассмотренные выше виды средств анализа защищенности позволяют подвести итог и дать сравнительный анализ относительно друг друга .

Данные классы средств имеют свои достоинства и недостатки, но на практике взаимно дополняют друг друга.

Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки).

Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых протоколов, они выполняют четыре основные задачи:

· Идентификацию доступных сетевых ресурсов

· Идентификацию доступных сетевых служб

· Идентификацию имеющихся уязвимостей сетевых служб

· Выдачу рекомендаций по устранению уязвимостей.

В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые службы.

Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит. При этом используются известные уязвимости сетевых служб, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

К преимуществам сетевых сканеров можно отнести то, что для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего агента (своего для каждой ОС). Кроме того, сканеры являются более простым, доступным, дешевым и, во многих случаях, более эффективным средством анализа защищенности.

К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток осуществления атак. Сетевыми сканерами также с успехом пользуются злоумышленники.

Средства анализа защищенности системного уровня выполняют проверки конфигурационных параметров ОС и приложений «изнутри». Такого рода системы зачастую строятся с применением интеллектуальных программных агентов. Это обусловлено тем, что системы анализа защищенности, построенные на интеллектуальных программных агентах, обладают следующими достоинствами:

1. Являются потенциально более мощным средством, чем сетевые сканеры

2. Обычно способны выполнять более сложные проверки и анализировать параметры ПО, недоступные сетевым сканерам, поскольку действуют изнутри;

3. Анализ защищенности может планироваться по времени и выполняться одновременно на всех контролируемых компьютерах;

4. Не оказывают большого влияния на пропускную способность сети

5. Осуществляют шифрование результатов проверок при передаче данных по сети (23)

7.1 Сканер безопасности “XSpider”

Программа XSpider было разработана российской компанией Positive Technoligies.

Сканер универсальный, т.е. работает с уязвимостями на разном уровне - от системного до прикладного. В частности, он включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений (например, Интернет-магазинов).

XSpider может полностью в автоматическом режиме проверять компьютеры и сервисы в сети на предмет обнаружения уязвимостей. База уязвимостей постоянно пополняется специалистами Positive Technologies, что в сумме с автоматическим обновлением баз и модулей программы постоянно поддерживает актуальность версии XSpider.[12]

Ключевые достоинства программы:

1. Полная идентификация сервисов на случайных портах

2. Дает возможность проверки на уязвимость серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты

3. Эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы

4. Служит для определения настоящего имени сервера и корректной работы проверок в тех случаях, если конфигурация WWW-сервера скрывает его настоящее имя или заменяет его на другое

5. Обработка RPC-сервисов (Windows и *nix) с их полной идентификацией

6. Обеспечивает возможности определения RPC-сервисов и поиска уязвимостей в них, а также определения детальной конфигурации компьютера в целом

7. Проверка слабости парольной защиты

8. Производится оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогая выявить слабые пароли

9. Глубокий анализ контента WEB-сайтов

10. Анализ всех скриптов HTTP-серверов (в первую очередь, пользовательских) и поиск в них разнообразных уязвимостей

11. Анализатор структуры HTTP-серверов

12. Позволяет осуществлять поиск и анализ директорий доступных для просмотра и записи, давая возможность находить слабые места в конфигурации

13. Проведение проверок на нестандартные DoS-атаки

14. Существует возможность включения проверок "на отказ в обслуживании", основанных на опыте предыдущих атак и хакерских методах

15. Специальные механизмы, уменьшающие вероятность ложных срабатываний

16. В различных видах проверок используются специально под них разработанные методы, уменьшающие вероятность ошибочного определения уязвимостей

17. Ежедневное добавление новых уязвимостей и проверок

18. Оригинальная технология обновления программы не только позволяет пользователям каждый день иметь актуальную базу уязвимостей при минимальном трафике и временных затратах не прекращая при этом работы программы, но и обеспечивает регулярное обновление программных модулей по мере их совершенствования. [11]

Помимо сканера безопасности XSpider включает в себя дополнительные утилиты:

· Простые сканеры (TCP и UDP портов);

· СGI-сканер с Brute-словарём;

· Определитель исходящего трафика на удаленном компьютере;

· WhoIs сервис;

· Проверка анонимности прокси-сервера;

· TCP и UDP клиенты;

· TCP-прокси (позволяет пропускать TCP пакеты через себя, с возможностью их коррекции);

· Работа с почтой, удаление ненужной почты с сервера;

· Локальные настройки безопасности компьютера.

Сканер XSpider сертифицирован ФСТЭК России (сертификат № 2530) и Минобороны России (сертификат № 2034).

Стоимость лицензии на 1 год зависит от ограничения на количество одновременных целей для сканирования (IP-адресов) и варьируется от 9000 рублей для 4 IP-адресов до 1000000 рублей для версии на 10000 IP-адресов.[19]

Рис. 7 Архитектура сканера XSpider

7.2 Сканер безопасности “SCADA-аудитор”

На сегодня существует достаточно много таких средств, которые предназначены для поиска уязвимостей информационной инфраструктуры.

Большая часть - иностранного производства, но есть и отечественные, в том числе сертифицированные ФСТЭК России по требованиям безопасности информации.

Все эти сканеры - универсальные, предназначены для поиска уязвимостей сетевого оборудования, ПО рабочих станций и серверов на платформах Windows, Linux, различных СУБД и Web-служб.

При этом уязвимости компонентов АСУ ТП либо не выявляются, либо ограничены весьма небольшим списком.

В этой связи НТЦ «Станкоинформзащита» предлагает свою разработку - сканер «SCADA - Аудитор», специализированный именно для анализа защищенности АСУ ТП.

Сканер безопасности предназначен для анализа защищённости автоматизированных систем управления технологических процессов (АСУ ТП), реализованных на базе систем SCADA (Supervisory Control and Data Acquisition, Диспетчерское управление и сбор данных) и оценки уровня защищенности АСУ ТП с учетом специфических особенностей их построения, включая характеристики типовых уязвимостей подобных систем.

Сканер адаптирован к наиболее известным системам АСУ ТП, используемых для управления объектами критически важных инфраструктур.

Сканер может устанавливаться на ПЭВМ под управлением операционной системы семейства Microsoft Windows.

Возможности сканера SCADA-аудитор:

1. Выявляет узлы сети (host) в промышленных сетях (сеть АСУ ТП), построенных на основе Ethernet(IndustrialEthernet) и TCP/IP;

2. Определяет их тип и характеристики;

3. Выявляет установленное программное обеспечение АСУ ТП (компоненты SCADA систем);

4. Сообщает об известных уязвимостях установленного ПО;

5. При технической возможности осуществляет проверку присутствия уязвимости без нарушения функциональности системы.

Сканер «SCADA-аудитор» осуществляет пассивное выявление уязвимостей в обнаруженных компонентах АСУ ТП. Выявление уязвимостей проводится путем идентификации компонентов и их версий и поиском информации об известных уязвимостях в базе уязвимостей сканера

Основная особенность сканера заключается в использовании, в дополнение к стандартным средствам анализа уязвимостей программного обеспечения (ПО), специализированной базы данных (БД) сигнатур и оригинальных эвристических процедур, учитывающих специфику SCADA-систем, получивших наибольшее распространение при управлении объектами критически важных инфраструктур современных государств. Благодаря этому обеспечивается автоматизированное выявление элементов АСУ ТП в глобальных вычислительных сетях и поиск уязвимостей в выявленных элементах, присущих как сетевому ПО в целом, так и системам SCADA в частности.

База данных уязвимостей сканера поддерживает интеграцию с существующими БД учёта уязвимостей в сетевом программном обеспечении общего назначения, а также содержит специфичные проверки безопасности существующих АСУ ТП.

Сканер поддерживает протоколы: BACnet/IP, Ethernet/IP, Modbus TCP/UDP, OPC DA V.2.

Сканер адаптирован к работе со многими АСУ ТП, использующимися во всём мире: Genesis, IGSS, RealWin, и т.д[13]

SCADA-Аудитор прекрасно дополняет существующие сканеры в области выявления уязвимостей специализированного ПО и оборудования АСУ ТП.

Компания "НТЦ "Станкоинформзащита" получила сертфикат соответствия на программный комплекс сканера "SCADA-аудитор" - в системе сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России

Сертификат удостоверяет, что программный комплекс сканера "SCADA-аудитор" является средством контроля (анализа) защищенности АСУ ТП, функционирующих под управлением оборудования и ПО, указанного в формуляре, и соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. “Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей” - по 4 уровню контроля и технических условий ТУ 4012-001-61722397-13 [14]

7.3 Система контроля защищенности “MaxPatrol”

Cистема контроля защищенности MaxPatrol - комплексное программное решение, разработанное компанией Positive Technologies.

Это первый в мире продукт, объединивший механизмы системных проверок, тестирования на проникновение и контроля соответствия стандартам, включая анализ сетевого оборудования, операционных систем, СУБД, прикладных и ERP-систем и веб-приложений.

Основой для разработки MaxPatrol послужил другой продукт - профессиональный сканер безопасности XSpider и десятилетний опыт экспертов Positive Technologies, полученный в ходе внедрения и эксплуатации XSpider в ведущих российских и зарубежных компаниях. В результате, в системе MaxPatrol реализованы общемировые передовые технологии, а также учтены особенности российского рынка. [28]

MaxPatrol позволяет централизованно управлять всеми элементами ИТ-инфраструктуры, не затрачивая дополнительные ресурсы на выполнение каждой отдельной задачи. С его помощью можно получить целостную картину ИБ-процессов организации и контролировать настройки более 70 платформ и приложений: сетевую и системную инфраструктуры, серверы, беспроводные сети и сети IP-телефонии, базы данных, приложения, системы ERP и веб-приложения. При этом MaxPatrol решает задачи безопасности информационных систем на всех структурных уровнях организации: от технических специалистов ИТ-отделов до первых лиц компании.

Основные функции сканера безопасности MaxPatrol:

1. Системные проверки операционных систем, клиентских и серверных приложений;

2. Анализ безопасности WEB-приложений;

3. Тесты на проникновение операционных систем и серверных приложений;

4. Сетевое сканирование узлов ЛВС и открытых портов.

Основные возможности сканера безопасности MaxPatrol:

1. Защита информационных ресурсов компании средствами автоматического мониторинга ИБ;

2. Автоматизация процессов инвентаризации ресурсов и контроля соответствия политикам и стандартам ИБ;

3. Автоматизация анализа соответствия требованиям ИБ сложных систем информационной инфраструктуры;

4. Оценка системы ИБ с помощью расширяемого набора метрик безопасности и KPI.

5. Комплексный анализ сложных систем, включая сетевое оборудование.

6. Встроенная поддержка основных стандартов

Ключевые особенности MaxPatrol:

· Оценка уязвимостей

· Межплатформенная совместимость

· Безопасность веб-приложений

· Анализ безопасности систем ERP

· Аудит политики паролей

· Обнаружение вредоносного ПО

· Автономная проверка целостности системы

· Обнаружение важной информации

· Гибкая система отчетности

· Интерфейс для интеграции на базе XML

Механизм оценки уязвимостей и настроек MaxPatrol не требует установки программ-агентов на удаленных системах и предоставления повышенных привилегий, а также не вмешивается в работу информационной системы. Преимущество MaxPatrol - самое низкое число ложных срабатываний в отрасли.[17]

Система MaxPatrol построена на основе трехуровневой архитектуры, что обеспечивает высокое масштабирование и позволяет производить внедрения в компаниях любых размеров.

В зависимости от ситуации могут быть использованы различные дистрибутивы и наборы компонентов системы, что позволяет строить систему мониторинга состояния информационной безопасности в соответствии с потребностями компании.[19]

Рис. 8 Система для крупной структурированной сети