Сканеры информационной безопасности: краткий обзор состояния и перспектив

Размещено на http://www.allbest.ru//

1

Размещено на http://www.allbest.ru//

Сканеры информационной безопасности: краткий обзор состояния и перспектив

Мухаметьянова А.Р.

Сканер безопасности - это программное или аппаратно-программное средство, позволяющее путем осуществления различных проверок выявить подверженность различным уязвимостям исследуемого объекта. Уязвимость - это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы (например, к хищению информации). В качестве объекта исследования может выступать любой компонент информационной системы: web-сервер, СУБД, различное сетевое оборудование и т.д. Современный рынок представлен многими решениями, которые предназначены для анализа защищенности информационных ресурсов компании. Стоит учитывать, что основой любого подобного решения является сканирующее ядро сканера безопасности. Остальные модули - это расширение некоторого функционала. Например, решение может содержать множество различных модулей вроде «Vulnerability Assessment», «Policy Management», «Risk Assessment» и т.п., но реальная польза от всех этих модулей будет лишь тогда, когда сканирующее ядро сканера безопасности будет достоверно выявлять все существующие уязвимости в обследуемой информационной системе. Сканеры безопасности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Первоначально сканеры безопасности зародились как инструментальные средства, используемые злоумышленниками при организации атак на информационные системы. В последствии, подобный инструментарий взяли на вооружение специалисты в области защиты информации. Более того, наиболее удачные инструменты для анализа защищенности переросли в коммерческие продукты. А в последние годы наблюдается тенденция ориентации подобных продуктов на удовлетворение потребностей крупных компаний в отношении обеспечения комплексной оценки защищенности всей инфраструктуры в целом. Ярким примером подобных тенденций является новый продукт компании Positive Technologies MaxPatrol, который пришел на смену сканеру безопасности XSpider. 2 Комплексная оценка защищенности достигается путем использования сканеров безопасности в разных частях корпоративной сети, в том числе использование сетевых сканеров, как из внутренней сети (ЛВС, ДМЗ), так и со стороны глобальной сети Интернет. Это позволяет получить наиболее полную информацию о текущем состоянии защищенности информационной системы компании. Распределенная архитектура современных сканеров безопасности позволяет консолидировать данные об обнаруженных уязвимостях и недостатках в одном месте. В связи с этим появляется возможность отслеживать изменения в информационной системе путем автоматизированного сравнения данных по завершению сканирований в различное время. Это позволяет полностью управлять процессом устранения уязвимостей в информационной среде. А значит соответствовать подходам, заложенным в ITIL и COBIT. Возможность централизованного управления распределенной архитектурой современных сканеров безопасности позволяет построить такую систему, в которой, например, сканирующие модули будут установлены в филиалах компании, а управление и принятие решений будет полностью исходить из центрального офиса. Могут быть построены и более сложные модели их использования, а также процессы взаимодействия сотрудников подразделений администрирования и управления информационной безопасностью. Сегодняшний рынок информационной безопасности представлен различными продуктами, относящимися к сканерам безопасности. Большинство из них ориентируются на поиск уязвимостей в определенной технологической области. В основном это следующие области: - безопасность Web-приложений (HP WebInspect, Acunetix Web Vulerability Scanner, Open Source w3af и др.); - безопасность СУБД (AppSecInc AppDetective, NGSS, Safety-Lab Shadow Database Scanner и др.); - безопасность ОС и сетевых приложений (GFI LANguard Network Security Scanner, Microsoft Baseline Security Analyzer и др.). Также существуют продукты, совмещающие в себе возможности анализа защищенности всех перечисленных выше технологических областей (Positive Technologies XSpider/MaxPatrol, TENABLE Nessus, IBM Internet Scanner и др.). Использование подобных продуктов (All-in-One) позволяет компании добиться максимальной отдачи от вложенных в них инвестиций (Return on investment, ROI) по следующим причинам: - Продукт охватывает все основные технологические области. - Стоимость лицензии ограничена лишь одним продуктом. - Уменьшается стоимость владения решением в целом (total cost of ownership, TCO).

3 Как отмечалось ранее, эффективность применения комплексного сканера безопасности в большей степени зависит от способности правильно обнаружить все присутствующие уязвимости в информационных системах, в отношении которых производится сканирование. Здесь можно провести некоторую параллель с антивирусными решениями. Эффективность в применении антивирусного решения в большей степени заключается в количестве обнаруживаемых им вирусов, а также в модулях, позволяющих распознавать различные типы вирусов. Кроме того, такие критерии, как поддержка эвристического анализа и время, затраченное на сканирование системы, являются также достаточно важными при выборе антивирусного решения.

Проводя параллель со сканером безопасности, можно отметить, что эффективность сканера безопасности заключается в количестве обнаруживаемых уязвимостей (аналогично базе обнаруживаемых вирусов), поддерживаемых транспортов (возможность находить уязвимости в БД, WEB, ОС и т.д.) и наличия эвристических механизмов детектирования версий операционных систем и функционирующих на ней сервисов. Вообще наличие эвристического анализатора в сканерах безопасности позволяет избежать ошибок первого и второго рода (false positive/false negative), когда некоторые уязвимости не были выявлены или было выявлено множество несуществующих уязвимостей в информационной системе. Минимизация появления ошибок первого и второго рода, в конечном счете, облегчает процесс обработки результатов сканирования. Современный сканер безопасности способен оценить защищенность информационной системы «изнутри». Другими словами, современный сканер безопасности может совмещать в себе, как сетевой сканер безопасности, так и системный. Такой подход позволяет оценить защищенность информационной системы с точки зрения удаленного и локального злоумышленника.

Список литературы

информационная безопасность сканер

1. Борисов М.А., Заводцев И.В., Чижов И.В. Основы программно-аппаратной защиты информации. - М.: Книжный дом «ЛИБРОКОМ», 2014. - 376 с.

2. Гафнер В.В. Информационная безопасность. - Ростов н/Д: Феникс, 2010. - 324 с.

3. Уилсон Э. Мониторинг и анализ сетей. Методы выявления неисправностей. - М.: Лори, 2013. - 350 с.

Размещено на Allbest.ru