Какая причина затрудняет использование в компании сетевых сканеров безопасности в режиме тест

Обновлено: 22.03.2023

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Основными пользователями таких систем являются профессионалы: администраторы, специалисты по безопасности и т.д. Простые пользователи тоже могут использовать сканеры безопасности, но информация, выдаваемая такими программами, как правило специфична, что ограничивает возможности ее использования неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне и с разными возможностями: ISS Internet Scanner, XSpider, LanGuard, ShadowSecurityScanner, X-Scan.

Чтобы сравнивать подобные системы недостаточно просто их запустить. Количество якобы проверяемых уязвимостей или их настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества и фунцкиональных возможностей того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых крупными банками и финансовыми учреждениями: AS/400, Solaris 2.5.1, Compaq/Tandem himalaya K2006 (OS D35), Windows 2000 Server, Windows XP Professional, Linux RedHat 5.2, Bay Networks Router.

• ISS Internet Scanner 6.2.1 с последними апдейтами
• XSpider 6.01
• LanGuard 2.0
• ShadowSecurityScanner 5.31
• XFocus X-Scan v1.3 GUI

Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные например, с временной проблемой в сети. Все полученные данные были помещены в таблицу, наглядно показывающую какие уязвимости были найдены тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Далее после таблицы идет оценка сканеров с подсчетом результатов сканирования.

Таблица найденных уязвимостей:

• серьезная уязвимость (+3 балла)
• уязвимость средней тяжести (+2 балла)
• информация (+1 балл)
• ложная серьезная уязвимость (-3 балла)
• ложная уязвимость средней тяжести (-2 балла)
• ложная информация (-1 балл)

Итоговая таблица:

Что в результате?

ISS Internet Scanner в описании не нуждается. Он показал себя как всегда на высоком уровне, правда на этот раз уступив пальму первенства XSpider-у.

XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов особенно при поиске уязвимостей в Windows и Solaris, что особенно приятно при его небольшом размере и бесплатном распространении. Есть большой минус: очень мало выводится информации при выдаче списка уязвимостей, что предполагает высокий уровень знаний и профессионализма у специалиста использующего эту программу.

LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.

X-Scan бесплатный сканер по возможностям похожий на LanGuard, но немного его превосходящий. Минусы: не очень читабельный интерфейс программы, отсутствие каких-либо комментариев про найденные уязвимости.

Сканеры информационной безопасности (сканеры уязвимостей) — это средства мониторинга и контроля, с помощью которых можно проверять компьютерные сети, отдельные компьютеры и установленные на них приложения на наличие проблем защищенности. Большинство сканеров позволяют детектировать уязвимости, описанные классификатором WASC Threat Classifcation. В сегодняшнем хабратопике мы рассмотрим некоторые вопросы, связанные с тестированием сканеров информационной безопасности веб-приложений как программных продуктов.

Современный сканер веб-приложений — это многофункциональный и весьма сложный продукт. Поэтому его тестирование и сравнение с аналогичными решениями имеет целый ряд особенностей.

Тестовая процедура

В статье «Building a Test Suite for Web Application Scanners» изложены общие принципы тестирования сканеров, на которые мы будем опираться далее. Одним из таких принципов является Тестовая процедура для сравнения работы различных сканеров веб-приложений. В немного модифицированном виде эта процедура выглядит следующим образом:

1. Подготовить необходимый тестовый контент для функциональной проверки всех технических требований и развернуть тестовые стенды.
2. Инициализировать тесты, получить все необходимые настройки для тестов.
3. Сконфигурировать сканируемое веб-приложение и выбрать для него тип уязвимости и уровень защиты.
4. Запустить сканер с выбранными настройками на тестируемом веб-приложении и пройти набор функциональных тестов.
5. Подсчитать и классифицировать найденные сканером веб-объекты (уникальные ссылки, уязвимости, векторы атаки и т. п.).
6. Повторить шаги 2—5 для каждого типа уязвимостей и уровней защиты.

Очевидно, что далеко не все сканеры веб-приложений обладают одинаковым набором сканирующих модулей, однако такую таблицу все равно можно использовать, уменьшая рейтинг сканера при отсутствии тех или иных модулей, той или иной функциональности.

Подготовить тестовое приложение с точно известным заранее числом уязвимостей определенного типа невозможно. Поэтому при составлении подобной таблицы мы неминуемо столкнемся с трудностями определения количества реальных объектов для поиска. Решить эту проблему можно следующим образом.

Типы уязвимостей для реализации в тестовом контенте для проверки сканера можно взять из классификатора WASC Threat Classification.

Ожидаемое число запусков тестовой процедуры для всех возможных комбинаций установленных приложений будет очень и очень велико, что и неудивительно. Уменьшить это число можно благодаря использованию техники тестирования pairwise analysis.

По результатам сканирования получаем числовые векторы вида

(уровень защиты, кол-во обнаруженных объектов, False Positive, False Negative, всего объектов, время сканирования)

Затем необходимо ввести метрику качества сканирования, которою можно будет использовать для сравнения показателей и сканеров между собой. В качестве подобной метрики достаточно использовать простейшую евклидову метрику.

Виды тестовых испытаний

Еще одна статья, на которую можно опираться при тестировании сканеров веб-приложений, называется «Analyzing the Accuracy and Time Costs of Web Application Security Scanners». В этом материале описывается проведение испытаний различных сканеров (BurpSuitePro, Qualys, WebInspect, NTOSpider, Appscan, Hailstorm, Acunetix) и для каждого конкретного инструмента предлагается проводить четыре типа испытаний:

1. Выполнить сканирование веб-приложения в режиме Point and Shoot (PaS) и определить число найденных и подтвержденных уязвимостей.
2. Выполнить повторное сканирование после предварительного «обучения» и настройки сканера на работу с данным типом приложений, определить число найденных и подтвержденных уязвимостей в этом случае.
3. Оценить точность и полноту описания найденных уязвимостей.
4. Оценить общее время, потраченное специалистами на подготовку и проведение тестирования, анализ и обеспечение качества результатов сканирования.

Обучение — включает в себя любые конфигурации настроек, изменение скриптов, связь с поставщиками сканера и т. п.

Для определения количества времени, которое специалистам необходимо затратить для получения качественного результата, в статье предлагается пользоваться простой формулой:

В ходе каждого испытания нужно применять тестовую процедуру, которую мы описывали выше.

Критерии оценки для сканеров веб-приложений

В еще одной полезной статье «Top 10: The Web Application Vulnerability Scanners Benchmark» авторы предлагают общий поход к сравнению характеристик сканеров, а также набор таких характеристик с примерами. Оценку возможностей сканеров веб-приложений в этой статье предлагается задавать в табличном виде, используя следующие критерии:

Типы тестов для сканеров веб-приложений

Опираясь на материалы представленных выше статей, мы разработали классификацию типов тестов, которые можно использовать в тестовой процедуре.

Спасибо за внимание, будем рады ответить на вопросы в комментариях.

Автор: Тимур Гильмуллин, группа автоматизированного тестирования Positive Technologies.

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей, которые могут быть использованы посторонними лицами для доступа к конфиденциальной информации и нарушения работы системы вплоть до полной потери данных и работоспособности.

Основными пользователями систем аудита безопасности являются профессионалы: сетевые администраторы, специалисты по безопасности и т. д. Простые пользователи тоже могут использовать сканеры, но информация, выдаваемая такими программами, как правило, специфична, что ограничивает возможности ее применения неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

Несмотря на повышающийся интерес к области защиты информации, сетевых сканеров безопасности не так уж и много. Несмотря на это, задача выбора оптимального продукта подобного класса непроста, поскольку при анализе нужно учитывать много факторов.

Главный критерий качества работы сканера безопасности — это, конечно, количество обнаруживаемых им уязвимостей. Но не то количество, которое заявлено производителем, а то, какое реально сканер может найти. Например, немаловажным является умение идентифицировать сервисы, установленные на нестандартных портах, поскольку в противном случае известные сканеру уязвимости не будут реально обнаружены.

Второй критерий — это количество ложных срабатываний. Несомненно, всегда лучше перестраховаться, но когда количество ложных срабатываний высоко, то специалист по безопасности или системный администратор начинает тратить огромное количество времени, чтобы все это проверить и отсеять ненужное.

Третий критерий — это удобство пользования сканером. Хотя им и можно пренебречь на фоне предыдущих характеристик, в конечном счете удобство также обеспечивает экономию времени и усилий, минимизацию возможных оплошностей.

Просмотрим итоги двух тестирований.

Тестирование №1

Качество работы ядра

Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне:

Сканер

Производитель

Размер

Цена

ISS Internet Scanner

От 1439$ до 84600$

99$ (для некоммерческого использования бесплатно)

ISSInternetScanner — Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью — обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п.

GFI LanGuard предоставляет подробный анализ состояния вашей сети. Сюда входят приложения или конфигурации по умолчанию, представляющие угрозу безопасности. GFI LanGuard также дает вам полную картину установленных приложений; оборудования в вашей сети; мобильные устройства, которые подключаются к серверам Exchange; состояние приложений безопасности (антивирус, антиспам, брандмауэры и т. д.); открытые порты; и любые существующие акции и услуги, запущенные на ваших машинах.

XSpider. Единственный в мире сканер уже сегодня определяющий более трети уязвимостей, которые принесет завтрашний день. Основная задача сканера XSpider – обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также выдать чёткие и понятные рекомендации по устранению обнаруженных уязвимостей.

Чтобы сравнивать системы, подобные сканерам безопасности, недостаточно просто их запустить. Количество якобы проверяемых уязвимостей, обилие настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества содержательной работы того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых, в частности, крупными банками и финансовыми учреждениями:

• Solaris 2.6.1
• Windows 2000 Server
• Windows XP Professional
• Linux RedHat 5.2
• Compaq/Tandem Himalaya K2006 (OS D35)
• Bay Networks Router
• AS/400

Версии тестируемых сканеров (последние доступные на момент проверки):

• ISS Internet Scanner 6.2.1 с последними апдейтами
• LanGuard 2.0
• ShadowSecurityScanner 5.31
• XFocus X-Scan v1.3 GUI
• XSpider 6.01

Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные, например, с временной проблемой в сети. Все полученные данные были интегрированы в таблицу 1, показывающую, какая информация была получена тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным – серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Остальные строки относятся к нейтральной информации о системе, полученной сканерами.

Таблица 1. Данные тестирования сетевых сканеров для различных операционных систем

На основе таблиц была проведена интегральная оценка сканеров по следующей схеме:

• серьезная уязвимость: +3 балла
• уязвимость средней тяжести: +2 балла
• информация: +1 балл
• ложная серьезная уязвимость: -3 балла
• ложная уязвимость средней тяжести:-2 балла
• ложная информация: -1 балл

Результат представлен в таблице 2. Оставляя в стороне подробные комментарии по отдельным обнаруженным уязвимостям, приведем окончательные данные в виде диаграммы номер 1.

Таблица2. Интегральные результаты тестирования сетевых сканеров для различных операционных систем

Диаграмма №1

Краткое резюме

ISS Internet Scanner – наиболее титулованный представитель в семействе рассматриваемых продуктов – показал себя как всегда на высоком уровне, заняв почетное второе место.

LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.

XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов, особенно при поиске уязвимостей в Windows и Solaris. Есть у XSpider и существенный минус: при выдаче списка уязвимостей выводится очень мало пояснительной информации, что предполагает высокий уровень знаний и профессионализма у специалиста, использующего эту программу. Вероятно, это объясняется тем, что разработчик программы – российская компания PositiveTechnologies, профессионально специализирующаяся на услугах по обеспечению безопасности компьютерных сетей, делала продукт, исходя из своих внутренних потребностей, и не особенно заботилась о массовом пользователе. Правда, надо отдать ей должное, денег она за свой продукт не просит, что очень приятно, учитывая его отличное качество работы.

Мнение пользователей

Перечень сканеров заметно отличается от протестированных в обзоре, но три ведущих по данным нашего анализа представлены и здесь. Сканер от ISS уступил второе место (видимо, в силу своей высокой цены) ShadowSecurityScaner. На первом же месте остался XSpider, набрав больше очков, чем все конкуренты вместе взятые. Эти данные можно рассматривать как косвенное подтверждение справедливости приведенных выше результатов анализа.

Тестирование №2

Протестированные продукты

В данном обзоре протестированы следующие сканеры:

№ Продукт Производитель

1 Internet Scanner 7.0 Internet Security Systems

2 LanGuard 3.2 GFI

3 Nessus 2.0.6 Renaud Deraison

4 NetRecon 3.6 Symantec

5 Retina 4.9.97 eEye Digital Security

6 XSpider 7.0 PositiveTechnologies

Каждый сканер на момент тестирования был обновлен через Интернет до последней версии баз уязвимостей.

Объекты проверки

С помощью сканеров были проверены сервера со следующими операционными системами:

RedHat Linux 7.2 (Enigma) 2.4.18 SMP

Sun Solaris 7 (SPARC)

Windows XP Professional

Windows 2000 Server

Windows 2000 Server (сустановленнымипроброшеннымипортамиот (FreeBSD 4.7, RedHat Linux 8 и Windows XP Professional)

Последний сервер был сконфигурирован особым образом, чтобы затруднить его анализ. При подключении ко всем сервисам кроме HTTP, выдается баннер сервиса и на любой последующий запрос выдается один тот же положительный ответ. Сервис HTTP при запросе выдает один и тот же ответ, чередуя в случайном порядке «200 OK» и «404 Not Found».

Методика сравнения

Качество поиска уязвимостей оценивается в баллах по следующей схеме.

Уязвимость Определена Определена ошибочно

критическая +3 -1.5

доступная информация +1 -0.5

За каждое ложное срабатывание из суммы баллов вычитается 50% от бонуса за правильное определение, поскольку ложное срабатывание не так критично, но замедляет работу по устранению уязвимостей.

Пользовательский интерфейс и удобство использования продуктов оценивалось по следующим критериям:

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Волков В. Е., Шахов В. Г.

В статье рассматриваются наиболее часто используемые в России сканеры безопасности, приводятся их характеристики и рекомендации по использованию.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Волков В. Е., Шахов В. Г.

Обзор способов достоверной идентификации сетевых устройств
Основы классификации угроз информационной безопасности информационно-измерительных систем удаленной обработки данных
Автоматизированные средства тестирования межсетевых экранов
Нейросетевая диагностика аномальной сетевой активности
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Comparative analysis of network security scanners

This article exams security scanners most exploited in Russia. The scanner specifications and application recommendations are given.

Текст научной работы на тему «Сравнительный анализ сетевых сканеров безопасности»

удк 681.3 В.Е.ВОЛКОВ

СРАВНИТЕЛЬНЫЙ АНАЛИЗ СЕТЕВЫХ СКАНЕРОВ БЕЗОПАСНОСТИ

В статье рассматртаются наиболее часто используемые в России сканеры безопасности, приводятся их характеристики и рекомендации по использованию.

Защита компьютерных сетей является неотъемлемой частью любой 1Т-инфраструктуры и в силу увеличения значимости информации важность этого направления будет только увеличиваться. Между тем решение этой задачи требует комплексного подхода, включающего разработку политики безопасности предприятия, использование всевозможных программно-аппаратных средств, обучение персонала и т. д. Кроме того, после выполнения этих мер необходимо контролировать и поддерживать состояние защищенности компьютерной сети. Одним из инструментов, позволяющих следить за уровнем защищенности сети являются так называемые системы анализа защищенности или сканеры безопасности. Цель работы — определение основных характеристик сканеров безопасности, а также сравнение наиболее часто используемых из них в России.

По сравнению с другими средствами защиты сетей, сканеры безопасности имеют несколько отличительных особенностей [ 1 ]. Во-первых, они могут быть использованы к двух противоположных назначениях,

т.е. быть как инструментом контроля и обеспечения безопасности, так и средством сбора информации злоумышленником для последующего нападения. Во-вторых, сканеры безопасности могут оказывать нежелательное воздействие на сканируемый объект. Например, во время работы сканер может генерировать большой объем трафика в сети. В случае проведения проверок на некоторые виды уязвимостей (например, подверженность ООБ-атакам) может происходить выход из строя некоторой службы или всей операционной системы. И наконец, в отличие от других средств, сканер безопасности не является средством противодействия атакам в реальном времени, как, например, брандмауэр или система обнаружения атак (СОА), а лишь определяет уязвимые места для потенциально возможных атак. Кроме того, вероятность использования некоторых уязвимостей может быть довольно низкой.

С точки зрения расположения по отношению к объекту сканирования системы анализа защищенности можно разделить ня 1 группы:

Сканеры «host-based» устанавливаются непосредственно на сканируемом узле, работают от имени учетной записи с максимальными привилегиями и выполняют проверки исключительно по косвенным признакам. Сканеры такого типа еще называют системными. Сканеры второго типа выполняют проверки дистанционно, т. е. по сети. Обычно такой сканер устанавливается на отдельный узел, одной из основных функции которого является периодическое сканирование. Такие сканеры называют сетевыми.

Поскольку сетевые сканеры выполняют проверки по сети, то это существенно влияет па скорость сканирования (примером может служить локальный или удаленный подбор пароля) и на достоверность результатов (ресурс просто может быть недоступен) Кроме того, между сканирующим и сканируемым узлами могут находиться устройства, осуществляющие фильтрацию трафика, что также сказывается на достоверности результатов.

Еще один вариант классификации сканеров — по их назначению:

— сканеры общего характера;

Пояснить это можно следующим образом. Проверки, выполняемые сетевыми сканерами безопасности, направлены, прежде всего, на сетевые службы. Конечно, при этом осуществляется поиск уязви-мостей не только сетевых служб, но и операционных систем, а также некоторых приложений, установленных на сканируемом узле. Однако проверки, встроенные в сетевые сканеры, носят общий характер, а если и направлены в отношении приложений, опять-таки, это наиболее распространенные приложения и наиболее известные уязвимости. Та же ситуация и со сканерами уровня узла. Их проверки, может быть, чуть более направлены на операционную систему узла, где установлен агент, они могут быть направлены и на конкретные приложения, но предпочтение опять-таки не отдается какому-то одному.

Необходимость специализированных сканеров безопасности продиктована тем обстоятельством, что для детальной проверки используемого в корпоративной сети приложения возможностей обычных сетевых сканеров может не хватить. Здесь на помощь приходят специализированные сканеры, учитывающие специфику конкретного приложения и имеющие гораздо более полную информацию об уязвимос-тях. Вот перечень приложений, при анализе защищенности которых могут потребоваться специализированные сканеры:

— СУБД и приложения их использующие;

— системы электронного документа оборота (например, Lotus Domino);

— системы управления предприятием, так называемые ERP-системы (например, SAP R/3, Oracle Application)

В общем случае сетевые сканеры безопасности могут быть использованы для решения следующих задач.

1. Инвентаризация ресурсов сети: узлов, сетевых служб, приложений. Инвентаризационное сканирование предоставляет обобщенную (базовую) информацию о сети. Параллельно решается задача обнаружения несанкционированно подключенных устройств.

2. Тестирование сети на устойчивость к взлому. Такое тестирование может осуществляться как изнутри сети, так и снаружи. В последнем случае это

Inlsmrt 2%SSS Sijaier Rt-tiir.i

Рис. Результв-ib: oupocj по использованию сетевых сканеров безопасности

часто называют а^ылизом защищенности периметра. В протесте прокел,ени:ч такого исследования могут быть использованы л дополнительные инструменты.

Задачи 1 и 3 чаще всего выполняю тся силами самой организации. Для решения второй задачи, как правило, привлекаются внешние ресурсы. Соответственно задачи 1 и 3 решаются чаще, тестирование сети на устойчивость к взлому осуществляется реже. Для выполнения этих задач перед предприятием возникает проблема выбора конкретного продукта, максимально удовлетворяющего требованиям предприятия и учитывающего его специфику.

Приведем сравнение характеристик 4-х наиболее популярных из них. Данные по ним приведены ниже:

— Internet Scanner 7.2.21;

— LanGuard Network Security Scanner (N. S. S.) 7.0.2006.118;

— XSpider7.5 (Build 1611).

Использование сканера безопасности начинается с планирования развертывания и собственно развертывания. Поэтому первая группа критериев касается архитектуры сканеров безопасности, взаимодействия их компонентов, инсталляция, управления, Перечень критериев и результаты сравнения выбранных сканеров приведены в таблице 1.

Прежде чем приобретать продукт, имеет смысл оценить его, скачав пробную версию. Для всех сравниваемых сканеров данная возможность имеется. Необходимо только учитывать ограничения, имеющиеся в пробных версиях. Как видно из таблицы 2, все сканеры, кроме Nessus, имеют ограничения. Nessus отличается от своих «собратьев» тем, что является бесплатным, и поэтому для него нет смысла создавать ознакомительную версию. Что касается ограничений, то они могут быть временными, в случае Internet Scanner и LANGuard, или функциональными, как у XSpider.

Nessus, а точнее его серверная часть, устанавливается только на Linux-подобные ОС (клиентская часть существует как для Lin их, так и для Windows), в то время как остальные сканеры поддерживают только линейку Windows. Сточки зрения управления, все сканеры поддерживают как командный, так и графический интерфейс, что дает возможность пользователю выбирать более удобный способ «общения».

Немаловажным фактором является поддержка распределенной архитектуры, которая подразумевает установку на отдельный компьютер серверной части, т. р. самого сканера, а на любой другой — кли-

Критерий сравнения Internet Scanner IANGuard Nessus XSpider

Вариант пробной версии Полная с врем, ключ. Полная с врем, огран. Бесплатная Ограниченная

Платформа Windows windows unix windows

Протокол взаимодействия клиекг/сервер Транспортный уровень TCP TCP

Прикладной уровень Собственный с шифрован. SSL (TLS)

Таблица 2 Сравнение сканеров по критерию сканирования

Критерий сравнения Internet Scanner IANGuard Nessus XSpider

Сравнение сканеров по критерию результатов

Критерий сравнения Internet Scanner IANGuard 1 Nessus J XSpider

Хранение резулы гатов сканирования MSDE, MSSQL MSDE, Access Собственная база С мбственная база

Форматы отчетов html, pdf, rtf txt. html, pif, rtf txt, .lim], pdf html, rtf

Итоговый результат срарнення сканеров

Критерий сравнения Internet Scanner . IANGuard Nessus XSpider

Стоимость, 32 IP 2195 (10 IP) 795 0 692

64 IP 7743 (50 IP) 575 0 971

12В IP 12050 (100 IP) 750 0 1317

256 IP 21537 (250 IP) . 1425 0 1737

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

ентскую часть, позволяющую осуществлять управление. Этот критерий очень важен для большой тер-риториально-распределенной сети, когда для качественного анализа необходимо осуществлять сканирование с большого количества разных точек. Эту конфигурацию поддерживают только 2 сканера: 1п-ternetScanner и Nessus. При этом оба они поддерживают безопасный режим обмена информацией между клиентом и сервером.

Следующая группа критериев — сканирование. Результаты сравнения характеристик относящихся к этой группе приведены в таблице 2,

Перед тем как искать уязвимости, сканер безопасности должен убедиться в доступности узла. Эта задача называется идентификацией узла сети и может быть выполнена несколькими методами:

— TCP Ping (SYN Scan);

Метод ICMP Ping является самым простым и легко реализуемым, поэтому он используется всеми сканерами. Однако, если узел блокирует ICMP ECHO или защищен брандмауэром, то данный метод может быть неэффективен. Следующий метод TCP Ping подразумевает посылку на некоторые наиболее часто используемые порты SYN пакета, являющегося за-

просом на соединение. Этот метод очень эффективен, поскольку даже если порт закрыт, узел все равно посылает пакет сброса соединения, тем самым выдавая себя. Метод, основанный на протоколе ARP, тоже является очень эффективным, однако ни один из этих сканеров его не использует.

Следующим этапом сканирования является идентификация открытых портов, которая может осуществляться следующими методами:

Перед последним этапом определения уязвимостей производится идентификация запущенных сетевых

служб, приложений и операционной системы. Хотя этапы идентификации служб и приложений имеют большое значение, эти механизмы реализованы только в сканерах Ыеэзиэ и ХБр1с1ег.

И наконец, критерии, относящиеся к процессу сканирования, т. е. к тому, для чего, собственно говоря, сканер и предназначен. Все проверки, выполняемые сканером безопасности, можно разделить на 2 категории:

• Выводы — проверки, выполняемые по косвенным признакам (без использования уязвимости);

• Тесты — проверки, выполняемые путем атаки в отношении узла.

Первый способ определяет уязвимость, например, по «баннеру» сканируемой службы или по версии какого-либо файла. Второй основан на использовании какой-либо уязвимости и в некоторых случаях может приводить к выведению из строя тестируемой службы или узла. В этой ситуации существуют опции настройки процесса сканирования, например:

— разные методы проверки одной уязвимости;

— возможность отключения опасных проверок;

— возможность включения/выключения отдельных проверок.

Кроме того, сканер может иметь механизмы создания собственных, дополнительных проверок.

Результатом работы любого сканера является перечень найденных уязвимостей, однако кроме этого может предоставляться всевозможная дополнительная информация. От объема этой информации, а также от возможностей ее хранения существенно зависит качество анализа защищенности сети. Таблица 3 содержит характеристики, связанные с предоставлением результатов работы сканеров.

Из таблицы видно, что наибольший объем информации предоставляет Х5р1с1ег.

В заключение приведем таблицу, содержащую дополнительные характеристики, касающиеся обновлений, технической поддержки и стоимости программных продуктов.

Поскольку обновление для данного типа программного обеспечения связано с качеством его работы, то и автоматическое обновление через Интернет, и ручной режим реализованы во всех четырех сканерах. Однако под видом обновлений из Интернета можно получить все, что угодно, и желательно наличие какой либо защиты процесса обновления. Данная возможность предусмотрена только у сканера XSpider.

Обобщая все приведенные выше таблицы можно сказать, что хорошими возможностями обладает сканер Nessus, а в сочетании с тем, что он распространяется бесплатно, его использование дает большие возможности в области защиты компьютерных сетей. Примерно одинаковыми возможностями обладают сканеры XSpider и IntemetScanner, но существенное отличие в стоимости последнего резко сужает возможности его использования. Хотя сканер безопасности является отличным инструментом построения защищенной сети, он должен быть грамотно использован в совокупности с другими средствами защиты.

2. Лукацкий А. В. Обнаружение атак. — СПб.: БХВ-Петербург,

ВОЛКОВ Виктор Евгеньевич, аспирант кафедры автоматики и системы управления. ШАХОВ Владимир Григорьевич, кандидат технических наук, профессор кафедры автоматики и системы управления.

Поступила в редакцию 17.05.06. © Волков В. С., Шахов В. Г.

Читайте также:

  

• Как подключить принтер через роутер yota

  

• Как на лазерном принтере напечатать печать на

  

• Как сделать чтобы принтер печатал 1 страницу на 1 листе

  

• Как увеличить память принтера

  

• Python перенос строки в принтере

Лепихин Владимир Борисович
Заведующий лабораторией сетевой безопасности Учебного центра «Информзащита»

Все материалы отчета являются объектами интеллектуальной собственности учебного центра «Информзащита». Тиражирование, публикация или репродукция материалов отчета в любой форме запрещены без предварительного письменного согласия Учебного центра «Информзащита».

Полный текст исследования:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Введение

Сетевые сканеры безопасности подходят для сравнения как нельзя лучше. Они все очень разные. И в силу специфики задач, для решения которых они предназначены, и в силу их «двойного» назначения (сетевые сканеры безопасности могут быть использованы как для защиты, так и «для нападения», а взлом, как известно, задача творческая), наконец, ещё и потому, что за каждым таким инструментом стоит полёт «хакерской» (в изначальном смысле этого слова) мысли его создателя.

При выборе условий сравнения за основу был взят подход «от задач», таким образом, по результатам можно судить, насколько тот или иной инструмент пригоден для решения поставленной перед ним задачи. Например, сетевые сканеры безопасности могут быть использованы:

• для инвентаризации сетевых ресурсов;
• в ходе проведения «тестов на проникновение»;
• в процессе проверки систем на соответствие различным требованиям.

В настоящем документе представлены результаты сравнения сетевых сканеров безопасности в ходе проведения тестов на проникновение в отношении узлов сетевого периметра. При этом оценивались:

• Количество найденных уязвимостей
• Число ложных срабатываний (False Positives)
• Число пропусков (False Negatives)
• Причины пропусков
• Полнота базы проверок (в контексте данной задачи)
• Качество механизмов инвентаризации и определения версий ПО
• Точность работы сканера (в контексте данной задачи)

Перечисленные критерии в совокупности характеризуют «пригодность» сканера для решения поставленной перед ним задачи, в данном случае – это автоматизация рутинных действий в процессе контроля защищённости сетевого периметра.

2. Краткая характеристика участников сравнения

Перед началом сравнения усилиями портала Securitylab.ru был проведён опрос, целью которого был сбор данных об используемых сканерах и задачах, для которых они используются.

В опросе приняло участие около 500 респондентов (посетителей портала Securitylab.ru).

На вопрос об используемых сканерах безопасности в своих организациях, подавляющее большинство респондентов ответило, что они используют хотя бы один сканер безопасности (70%). При этом в организациях, практикующих регулярное применение сканеров безопасности для анализа защищенности своих информационных систем, предпочитают использовать более одного продукта данного класса. 49 % респондентов ответило, что в их организациях используется два и более сканера безопасности (Рис. 1).

1 . Распределение организаций опрошенных респондентов по числу используемых сканеров безопасности

Причины, по которым используется более одного сканера безопасности, заключаются в том, что организации относятся с недоверием к решениям одного «вендора» (61%), а также в тех случаях, когда требуется выполнение специализированных проверок (39%), которые не могут быть выполнены комплексным сканером безопасности (Рис. 2).

2 . Причины использования более одного сканера безопасности в организациях опрошенных респондентов

Отвечая на вопрос, для каких целей используются специализированные сканеры безопасности, большинство респондентов ответило, что они используются в качестве дополнительных инструментов анализа защищенности Web-приложений (68%). На втором месте, оказались специализированные сканеры безопасности СУБД (30%), а на третьем (2%) утилиты собственной разработки для решения специфического круга задач по анализу защищенности информационных систем (Рис. 3).

3 . Цели применения специализированных сканеров безопасности в организациях опрошенных респондентов

Результат опроса респондентов (рис. 4) о конечных продуктах, имеющих отношение к сканерам безопасности, показал, что большинство организаций предпочитают использовать продукт Positive Technologies XSpider (31%) и Nessus Security Scanner (17%).

Рис. 4. Используемые сканеры безопасности в организациях опрошенных респондентов

Для участия в тестовых испытаниях были отобраны сканеры, представленные в таблице 1.

Таблица 1. Сетевые сканеры безопасности, использованные в ходе сравнения

Итак, первый тест сфокусирован на задаче оценки защищённости систем на устойчивость к взлому.

3. Подведение итогов

Аналогичным образом были посчитаны результаты по остальным узлам. После подсчёта итогов получилась следующая таблица (табл. 2).

Таблица 2. Итоговые результаты по всем объектам сканирования

3.1 Идентификация сервисов и приложений

По результатам определения сервисов и приложений баллы были просто просуммированы, при этом за ошибочное определение сервиса или приложения вычитался один балл (рис. 5).

Рис. 5. Результаты идентификации сервисов и приложений

Наибольшее количество баллов (108) набрал сканер MaxPatrol, чуть меньше (98) – сканер Nessus. Действительно, в этих двух сканерах процедура идентификации сервисов и приложений реализована очень качественно. Данный результат можно назвать вполне ожидаемым.

Далее идут Retina (80 баллов) и Shadow Security Scanner (79 баллов), они «не справились» с некоторыми трудными случаями идентификации сервисов и приложений.

Следующий результат – у сканеров Internet Scanner и NetClarity. Здесь можно упомянуть, что, например, Internet Scanner ориентируется на использование стандартных портов для приложений, этим во многом и объясняется его невысокий результат. Наконец, наихудшие показатели у сканера NetClarity. Хотя он неплохо справляется с идентификацией сервисов (всё-таки он основан на ядре Nessus 2.x), его общий низкий результат можно объяснить тем, что он идентифицировал не все открытые порты.

3.2 Идентификация уязвимостей

На рис. 6 представлено общее число найденных всеми сканерами уязвимостей и число ложных срабатываний. Наибольшее число уязвимостей было найдено сканером MaxPatrol. Вторым (правда, уже со значительным отрывом) опять оказался Nessus.
Лидером по количеству ложных срабатываний оказался сканер Shadow Security Scanner. В принципе, это объяснимо, выше были приведены примеры ошибок, связанные как раз с его проверками.

Рис. 6. Найденные уязвимости и ложные срабатывания

Всего на всех 16 узлах всеми сканерами было найдено (и впоследствии подверждено ручной проверкой) 225 уязвимостей. Результаты распределились так, как на рис. 7. Наибольшее число уязвимостей – 155 из 225 возможных – было выявлено сканером MaxPatrol. Вторым оказался сканер Nessus (его результат практически в два раза хуже). Следующим идёт сканер Internet Scanner, затем NetClarity.
В ходе сравнения были проанализированы причины пропусков уязвимостей и были отделены те, которые были сделаны по причине отсутствия проверок в базе. На следующей диаграмме (рис. представлены причины пропусков уязвимостей сканерами.

Рис. 7. Найденные уязвимости и пропуски

Рис. 8. Причины пропусков уязвимостей

Теперь несколько показателей, получившихся в результате подсчётов.

На рис. 39 представлено отношение числа ложных срабатываний к общему числу найденных уязвимостей, этот показатель в определённом смысле можно назвать точностью работы сканера. Ведь пользователь, прежде всего, имеет дело с перечнем найденных сканером уязвимостей, из которого необходимо выделить найденные правильно.

Рис. 9. Точность работы сканеров

Из этой диаграммы видно, что наивысшая точность (95%) достигнута сканером MaxPatrol. Хотя число ложных срабатываний у него не самое низкое, такой показатель точности достигнут за счёт большого количества найденных уязвимостей. Следующим по точности определения идёт Internet Scanner. Он показал самое низкое число ложных срабатываний. Самый низкий результат у сканера SSS, что неудивительно при таком большом количестве ложных срабатываний, которое было замечено в ходе сравнения.

Ещё один расчётный показатель – это полнота базы (рис. 10). Он рассчитан как отношение числа уязвимостей, найденных правильно, к общему числу уязвимостей (в данном случае — 225) и характеризует масштабы «пропусков».

Рис. 10. Полнота базы

Из этой диаграммы видно, что база сканера MaxPatrol наиболее адекватна поставленной задаче.

4. Заключение

4.1 Комментарии к результатам лидеров: MaxPatrol и Nessus

Первое место по всем критериям данного сравнения достаётся сканеру MaxPatrol, на втором месте – сканер Nessus, результаты остальных сканеров существенно ниже.

Здесь уместно вспомнить один из документов, подготовленный национальным институтом стандартов и технологий США (NIST), а именно — «Guideline on Network Security Testing». В нём говорится, что в ходе контроля защищённости компьютерных систем рекомендуется использовать как минимум два сканера безопасности.

В полученном результате, по сути, нет ничего неожиданного и удивительного. Не секрет, что сканеры XSpider (MaxPatrol) и Nessus пользуются популярностью как среди специалистов по безопасности, так и среди «взломщиков». Это подтверждают и приведённые выше результаты опроса. Попробуем проанализировать причины явного лидерства MaxPatrol (частично это касается и сканера Nessus), а также причины «проигрыша» других сканеров. Прежде всего – это качественная идентификация сервисов и приложений. Проверки, основанные на выводах (а их в данном случае использовалось довольно много), сильно зависят от точности сбора информации. А идентификация сервисов и приложений в сканере MaxPatrol практически доведена до совершенства. Вот один показательный пример.
Вторая причина успеха MaxPatrol – полнота базы и её адекватность поставленной задаче и вообще «сегодняшнему дню». По результатам заметно, что база проверок в MaxPatrol значительно расширена и детализирована, в ней «наведён порядок», при этом явный «крен» в сторону web-приложений компенсируется и расширением проверок в других областях, например, произвели впечатление результаты сканирования представленного в сравнении маршрутизатора Cisco.

Третья причина – качественный анализ версий приложений с учётом операционных систем, дистрибутивов и различных «ответвлений». Можно также добавить и использование разных источников (базы уязвимостей, уведомления и бюллетени «вендоров»).

Наконец, можно ещё добавить, что MaxPatrol имеет очень удобный и логичный интерфейс, отражающий основные этапы работы сетевых сканеров безопасности. А это немаловажно. Связка «узел, сервис, уязвимость» очень удобна для восприятия (Прим. ред. это субъективное мнение автора сравнения). И особенно для данной задачи.

Теперь о недостатках и «слабых» местах. Поскольку MaxPatrol оказался лидером сравнения, то и критика в его адрес будет «максимальной».

Во-первых, так называемый «проигрыш в мелочах». Имея очень качественный движок, важно предложить и соответствующий дополнительный сервис, например, удобный инструментарий, позволяющий что-то сделать вручную, средства поиска уязвимостей, возможность «тонкой» настройки системы. MaxPatrol продолжает традицию XSpider и максимально ориентирован на идеологию «нажал и заработало». С одной стороны это неплохо, с другой стороны – ограничивает «дотошного» аналитика.

Во-вторых, остались «неохваченными» некоторые сервисы (можно судить об этом по результатам данного сравнения), например, IKE (порт 500).

В-третьих, в некоторых случаях не хватает элементарного сопоставления результатов двух проверок друг с другом, например, как в описанном выше случае с SSH. Т. е. нет выводов, основанных на результатах нескольких проверок. Например, операционная система узла host4 была определена как Windows, а «вендор» сервиса PPTP классифицирован как Linux. Можно сделать выводы? Например, в отчёте в области определения операционной системы указать, что это «гибридный» узел.

В-четвёртых, описание проверок оставляет желать лучшего. Но здесь следует понимать, что MaxPatrol находится в неравных условиях с другими сканерами: качественный перевод на русский язык всех описаний – очень трудоёмкая задача.

Сканер Nessus показал, в целом, неплохие результаты, а в ряде моментов он был точнее сканера MaxPatrol. Главная причина отставания Nessus – это пропуски уязвимостей, но не по причине отстуствия проверок в базе, как у большинства остальных сканеров, а в силу особенностей реализации. Во-первых (и этим обусловлена значительная часть пропусков), в сканере Nessus наметилась тенденция развития в сторону «локальных» или системных проверок, предполагающих подключение с учётной записью. Во-вторых, в сканере Nessus учтено меньше (в сравнении с MaxPatrol) источников информации об уязвимостях. Это чем-то похоже на сканер SSS, основанный по большей части на базе SecurityFocus.

5. Ограничения данного сравнения

В ходе сравнения были изучены возможности сканеров в контексте только одной задачи – тестирование узлов сетевого периметра на устойчивость к взлому. Например, если проводить автомобильную аналогию, мы увидели, как разные автомобили ведут себя, допустим, на скользкой дороге. Однако есть и другие задачи, решение которых этими же сканерами может выглядеть совершенно иначе. В ближайшее время планируется сделать сравнение сканеров в ходе решения таких задач, как:

• Проведение аудита систем с использованием учётной записи
• Оценка соответствия требованиям стандарта PCI DSS
• Сканирование Windows-систем

Кроме того, планируется сделать сравнение сканеров и по формальным критериям.

В ходе данного сравнения был протестирован только сам «движок» или, выражаясь современным языком, «мозг» сканера. Возможности в плане дополнительного сервиса (отчёты, запись информации о ходе сканирования и т. п.) никак не оценивались и не сравнивались.

Также не оценивались степень опасности и возможности по эксплуатации найденных уязвимостей. Некоторые сканеры ограничились «незначительными» уязвимостями низкой степени риска, другие же выявили действительно критичные уязвимости, позволяющие получить доступ к системе.

Тестирование сканеров безопасности веб-приложений: подходы и критерии

Сканеры информационной безопасности (сканеры уязвимостей) — это средства мониторинга и контроля, с помощью которых можно проверять компьютерные сети, отдельные компьютеры и установленные на них приложения на наличие проблем защищенности. Большинство сканеров позволяют детектировать уязвимости, описанные классификатором WASC Threat Classifcation. В сегодняшнем хабратопике мы рассмотрим некоторые вопросы, связанные с тестированием сканеров информационной безопасности веб-приложений как программных продуктов.

Современный сканер веб-приложений — это многофункциональный и весьма сложный продукт. Поэтому его тестирование и сравнение с аналогичными решениями имеет целый ряд особенностей.

Тестовая процедура

В статье «Building a Test Suite for Web Application Scanners» изложены общие принципы тестирования сканеров, на которые мы будем опираться далее. Одним из таких принципов является Тестовая процедура для сравнения работы различных сканеров веб-приложений. В немного модифицированном виде эта процедура выглядит следующим образом:

1. Подготовить необходимый тестовый контент для функциональной проверки всех технических требований и развернуть тестовые стенды.
2. Инициализировать тесты, получить все необходимые настройки для тестов.
3. Сконфигурировать сканируемое веб-приложение и выбрать для него тип уязвимости и уровень защиты.
4. Запустить сканер с выбранными настройками на тестируемом веб-приложении и пройти набор функциональных тестов.
5. Подсчитать и классифицировать найденные сканером веб-объекты (уникальные ссылки, уязвимости, векторы атаки и т. п.).
6. Повторить шаги 2—5 для каждого типа уязвимостей и уровней защиты.

Изменения после каждой итерации необходимо заносить в сводную таблицу результатов детектирования объектов. Выглядеть это должно приблизительно так:

Очевидно, что далеко не все сканеры веб-приложений обладают одинаковым набором сканирующих модулей, однако такую таблицу все равно можно использовать, уменьшая рейтинг сканера при отсутствии тех или иных модулей, той или иной функциональности.

Подготовить тестовое приложение с точно известным заранее числом уязвимостей определенного типа невозможно. Поэтому при составлении подобной таблицы мы неминуемо столкнемся с трудностями определения количества реальных объектов для поиска. Решить эту проблему можно следующим образом.

1. В качестве одной уязвимости рассматривать класс эквивалентных уязвимостей, которые могут быть найдены в тестовом веб-приложении. Например, для SQL-инъекций классом эквивалентных уязвимостей можно считать все уязвимости, найденные для одного и того же параметра GET-запроса к приложению. Другим словами, если имеется некий уязвимый параметр id, изменение которого вызывает сбой веб-сервера или базы данных, то все векторы атаки, использующие этот параметр, можно считать эквивалентными с точностью до перестановки параметров: example.com/page.php?id=blabla ~ example.com/page.php?a=1&id=bla&b=2.
2. Разработать простейшие тестовые приложения, реализующие или моделирующие некоторую уязвимость, но используя различные фреймворки и разворачивая их на множестве вариантов операционных систем, различных веб-серверах, с использованием различных баз данных, с доступом по различным видам сетевых протоколов, а также через различные цепочки прокси.
3. Развернуть на тестовых стендах множество различных CMS, уязвимых приложений (DVWA, Gruyere, OWASP Site Generator и т. п.) и сканировать их различными сканерами безопасности. Общее число уязвимостей, найденных всеми сканерами, взять за эталон и использовать в дальнейших тестах.

Конфигурировать тестовое приложение и управлять им, устанавливая требуемый уровень защиты, можно, к примеру, с помощью инструмента OWASP Site Generator, конфигурацию которого можно хранить и редактировать в обычном XML-файле. К сожалению, на данный момент этот инструмент считается устаревшим и для эмуляции современных уязвимостей рекомендуется создавать приложения собственной разработки.

Типы уязвимостей для реализации в тестовом контенте для проверки сканера можно взять из классификатора WASC Threat Classification.

Ожидаемое число запусков тестовой процедуры для всех возможных комбинаций установленных приложений будет очень и очень велико, что и неудивительно. Уменьшить это число можно благодаря использованию техники тестирования pairwise analysis.

По результатам сканирования получаем числовые векторы вида

(уровень защиты, кол-во обнаруженных объектов, False Positive, False Negative, всего объектов, время сканирования)

Затем необходимо ввести метрику качества сканирования, которою можно будет использовать для сравнения показателей и сканеров между собой. В качестве подобной метрики достаточно использовать простейшую евклидову метрику.

Виды тестовых испытаний

Еще одна статья, на которую можно опираться при тестировании сканеров веб-приложений, называется «Analyzing the Accuracy and Time Costs of Web Application Security Scanners». В этом материале описывается проведение испытаний различных сканеров (BurpSuitePro, Qualys, WebInspect, NTOSpider, Appscan, Hailstorm, Acunetix) и для каждого конкретного инструмента предлагается проводить четыре типа испытаний:

1. Выполнить сканирование веб-приложения в режиме Point and Shoot (PaS) и определить число найденных и подтвержденных уязвимостей.
2. Выполнить повторное сканирование после предварительного «обучения» и настройки сканера на работу с данным типом приложений, определить число найденных и подтвержденных уязвимостей в этом случае.
3. Оценить точность и полноту описания найденных уязвимостей.
4. Оценить общее время, потраченное специалистами на подготовку и проведение тестирования, анализ и обеспечение качества результатов сканирования.

Режим PaS — это запуск сканирования со стандартными параметрами сканера. Проходит по схеме «установка цели — сканирование — получение результата».

Обучение — включает в себя любые конфигурации настроек, изменение скриптов, связь с поставщиками сканера и т. п.

Для определения количества времени, которое специалистам необходимо затратить для получения качественного результата, в статье предлагается пользоваться простой формулой:

Общее время = Время обучения + #False Positive * 15 мин. + #False Negative * 15 мин.

В ходе каждого испытания нужно применять тестовую процедуру, которую мы описывали выше.

Критерии оценки для сканеров веб-приложений

В еще одной полезной статье «Top 10: The Web Application Vulnerability Scanners Benchmark» авторы предлагают общий поход к сравнению характеристик сканеров, а также набор таких характеристик с примерами. Оценку возможностей сканеров веб-приложений в этой статье предлагается задавать в табличном виде, используя следующие критерии:

1. Сравнение цены продукта по отношению к оценкам критериев. (A Price Comparison — in Relation to the Rest of the Benchmark Results). Пример сравнения можно посмотреть в сводной таблице.
2. Универсальность применения сканера — это число поддерживаемых протоколов и векторов доставки — методов доставки данных к серверу (Scanner Versatility — A Measure for the Scanner’s Support of Protocols & Input Delivery Vectors). Векторы доставки включают в себя такие методы доставки данных к серверу, как HTTP-параметры строк запроса, параметры HTTP-body, JSON, XML, двоичные методы для конкретных технологий — таких как AMF, Java-сериализованные объекты и WCF. Пример сравнения можно посмотреть в сводной таблице.
3. Количество поддерживаемых векторов атаки: количество и тип активных плагинов сканера (Attack Vector Support — The Amount & Type of Active Scan Plugins (Vulnerability Detection)). Пример сравнения можно посмотреть в сводной таблице.
4. Точность обнаружения CSS (Reflected Cross Site Scripting Detection Accuracy). Пример сравнения можно посмотреть в сводной таблице.
5. Точность обнаружения SQL-инъекций (SQL Injection Detection Accuracy). Пример сравнения можно посмотреть в сводной таблице.
6. Точность обхода структуры веб-приложения и обнаружения локальных файлов. (Path Traversal / Local File Inclusion Detection Accuracy). Пример сравнения можно посмотреть в сводной таблице.
7. Удаленное использование файлов, XSS, фишинг через RFI. (Remote File Inclusion Detection Accuracy (XSS / Phishing via RFI)). Пример сравнения можно посмотреть в сводной таблице. Пример тест-кейсов RFI приведен на схеме.
8. WIVET-сравнение: автоматизированный краулинг и получение входных векторов для атаки (WIVET (Web Input Vector Extractor Teaser) Score Comparison — Automated Crawling / Input Vector Extraction). Пример сравнения можно посмотреть в сводной таблице.
9. Адаптивность сканера: количество дополнительных возможностей сканера для преодоления защитных барьеров (Scanner Adaptability — Complementary Coverage Features and Scan Barrier Support). Пример сравнения можно посмотреть в сводной таблице.
10. Сравнение особенностей аутентификации: количество и тип поддерживаемых способов авторизации и аутентификации (Authentication Features Comparison). Пример сравнения можно посмотреть в сводной таблице.
11. Количество дополнительных возможностей сканирования и встроенных механизмов. (Complementary Scan Features and Embedded Products). Пример сравнения можно посмотреть в сводной таблице.
12. Общее впечатление о работе основной функции сканирования (General Scanning Features and Overall Impression). Пример сравнения можно посмотреть в сводной таблице.
13. Сравнение лицензий и технологий (License Comparison and General Information). Пример сравнения можно посмотреть в сводной таблице.

Некоторые из перечисленных пунктов входят в сводную таблицу детектирования объектов. Кроме того, можно заметить, что для большинства критериев требуются экспертные оценки, а это затрудняет автоматизированное тестирование и сравнение сканеров. В результате предложенные критерии оценок можно использовать, к примеру, в качестве разделов для более общего отчета по исследованию характеристик сканера, в котором содержатся все итоги тестирования и сравнения конкретного сканера с конкурентами.

Типы тестов для сканеров веб-приложений

Опираясь на материалы представленных выше статей, мы разработали классификацию типов тестов, которые можно использовать в тестовой процедуре.

• Базовые функциональные (smoke) тесты должны проверять работоспособность основных низкоуровневых узлов сканера: работу транспортной подсистемы, подсистемы конфигурации, подсистемы логирования и т. п. При сканировании простейших тестовых целей не должно быть сообщений об ошибках, exceptions и traceback в логах, сканер не должен зависать при использовании различных транспортов, редиректов, прокси-серверов и т. п.
• Функциональные (functional) тесты должны реализовать проверку основных сценариев для проверки технических требований. Необходимо проверять работоспособность каждого сканирующего модуля по порядку при различных настройках модуля и тестового окружения. Выполняются позитивные и негативные тестовые сценарии, различные стресс-тесты с использованием больших массивов корректных и некорректных данных, оправляемых сканеру в ответ от веб-приложения.
• Тесты на сравнение (compare) функциональности, в ходе которых выполняется сравнение качества и средней скорости поиска объектов выбранным модулем сканера с аналогичными по функционалу модулями в продуктах-конкурентах. Для каждого конкретного сканирующего модуля должны даваться определения, что подразумевать под объектами для него и качеством их поиска.
• Тесты на сравнение показателей оценочных критериев (criteria), в ходе которых проверяется, что скорость и качество поиска объектов каждым сканирующим модулем в каждой новой версии тестируемого сканера — не ухудшились по сравнению с предыдущей версией. Определения скорости и качества должны задаваться так же, как для тестов на сравнение функциональности: за тем исключением, что в данном типе тестов в качестве конкурента для тестируемого сканера выступает его предыдущая версия.

Использовать описанную в топике тестовую процедуру можно для любых сканеров безопасности веб-приложений, а применяя метрику качества сканирования, мы получаем инструмент для качественного сравнения сканеров через сопоставление их метрик. В развитие этой идеи можно использовать нечеткие показатели, шкалы и метрики — для упрощения работ по сравнению сканеров.

Спасибо за внимание, будем рады ответить на вопросы в комментариях.

Автор: Тимур Гильмуллин, группа автоматизированного тестирования Positive Technologies.

Сканеры безопасности

Цель работы:
Ознакомиться с назначением сканеров
безопасности и их представителями –
Shadow
Security
Scanner
и XSpider.

I. Основные понятия

В последнее время
увеличилось число публикаций, посвященных
такому направлению в области защиты
информации, как адаптивная безопасность
сети. Это направление состоит из двух
основных технологий — анализ
защищенности
и обнаружение атак. Именно первой
технологии и посвящена работа.

Сеть состоит из
ряда компонентов, которые нуждаются в
оценке эффективности их защиты. Средства
анализа защищенности исследуют сеть и
ищут «слабые» места в ней, анализируют
полученные результаты и на их основе
создают различного рода отчеты. В
некоторых системах найденная уязвимость
может быть устранена автоматически.

Системами анализа
защищенности могут быть идентифицированы
следующие проблемы:

1. «Люки» в
   программах и программы типа «троянский
   конь»;

2. Восприимчивость
   к проникновению из незащищенных систем;

3. Неправильная
   настройка межсетевых экранов, Web-серверов
   и баз данных;

4. Отсутствие
   необходимых обновлений (patch,
   hot
   fix)
   операционных систем;

5. Наличие работающих
   в сети модемов;

6. Слабые пароли и
   т.д.

Технология анализа
защищенности является действенным
методом реализации политики сетевой
безопасности прежде, чем осуществится
попытка ее нарушения снаружи или изнутри
организации.

Часто пишут об
уникальных возможностях систем анализа
защищенности (сканерах), подводя читателей
к убеждению, что эти системы являются
панацеей от всех бед, и что они позволяют
обнаруживать все вновь обнаруживаемые
уязвимости. Однако это не так.
Сетевой сканер безопасности предназначен
для обнаружения только тех уязвимостей,
описание которых есть у него в базе
данных. Это один из аспектов, присущий
всем системам анализа защищенности.

Функционировать
такие средства могут на сетевом уровне
(network—based),
уровне операционной системы (host—based)
и уровне приложения (application—based).
Наибольшее распространение получили
средства анализа защищенности сетевых
сервисов и протоколов. Связано это, в
первую очередь, с универсальностью
используемых протоколов. Изученность
и повсеместное использование таких
протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п.
позволяют с высокой степенью эффективности
проверять защищенность информационной
системы, работающей в данном сетевом
окружении. Вторыми по распространенности
являются средства анализа защищенности
операционных систем (ОС). Связано это
также с универсальностью и распространенностью
некоторых операционных систем (например,
UNIX и Windows
NT). Однако из-за того, что каждый
производитель вносит в операционную
систему свои изменения (ярким примером
является множество разновидностей ОС
UNIX), средства анализа защищенности ОС
анализируют в первую очередь параметры,
характерные для всего семейства одной
ОС. И лишь для некоторых систем
анализируются специфичные для нее
параметры. Средств анализа защищенности
приложений на сегодняшний день не так
много. Такие средства пока существуют
только для широко распространенных
прикладных систем, типа Web-браузеров
(Netscape
Navigator,
Microsoft
Internet
Explorer),
СУБД (Microsoft
SQL Server,
Sybase
Adaptive
Server)
и т.п.

Помимо обнаружения
уязвимостей, при помощи средств анализа
защищенности можно быстро определить
все узлы корпоративной сети, доступные
в момент проведения тестирования,
выявить все используемые в ней сервисы
и протоколы, их настройки и возможности
для несанкционированного воздействия
(как изнутри корпоративной сети, так и
снаружи). Также эти средства вырабатывают
рекомендации и пошаговые меры, позволяющие
устранить выявленные недостатки.

Механизм работы

Существует два
основных механизма, при помощи которых
сканер проверяет наличие уязвимости:

Сканирование
— механизм
пассивного анализа, с помощью которого
сканер пытается определить наличие
уязвимости без фактического подтверждения
ее наличия, т.е. по косвенным признакам.
Этот метод является наиболее быстрым
и простым для реализации. Этот процесс
идентифицирует открытые порты, найденные
на каждом сетевом устройстве, и собирает
связанные с портами заголовки (banner),
найденные при сканировании каждого
порта. Каждый полученный заголовок
сравнивается с таблицей правил определения
сетевых устройств, операционных систем
и потенциальных уязвимостей. На основе
проведенного сравнения делается вывод
о наличии или отсутствии уязвимости.

Зондирование
— механизм
активного анализа, который позволяет
убедиться, присутствует или нет на
анализируемом узле уязвимость.
Зондирование выполняется путем имитации
атаки, использующей проверяемую
уязвимость. Этот метод более медленный,
чем сканирование, но почти всегда гораздо
более точный, чем он. Этот процесс
использует информацию, полученную в
процессе сканирования, для детального
анализа каждого сетевого устройства.
Этот процесс также использует известные
методы реализации атак для того, чтобы
полностью подтвердить предполагаемые
уязвимости и обнаружить другие уязвимости,
которые не могут быть обнаружены
пассивными методами, например
подверженность атакам типа «отказ в
обслуживании» (DoS
— denial
of
service).

На практике
указанные механизмы реализуются
следующими методами:

1. Проверка
заголовков (banner
check)
— указанный
механизм представляет собой ряд проверок
типа «сканирование» и позволяет
делать вывод об уязвимости, опираясь
на информацию в заголовке ответа на
запрос сканера. Типичный пример такой
проверки — анализ заголовков программы
Send
mail
или FTP-сервера,
позволяющий узнать их версию и на основе
этой информации сделать вывод о наличии
в них уязвимости.

Это наиболее
быстрый и простой для реализации метод
проверки присутствия на сканируемом
узле уязвимости. Однако эффективность
проверок заголовков достаточно эфемерна.
И вот почему. Во-первых, вы можете изменить
текст заголовка, предусмотрительно
удалив из него номер версии или иную
информацию, на основании которой сканер
строит свои заключения. Во-вторых,
зачастую, версия, указываемая в заголовке
ответа на запрос, не всегда говорит об
уязвимости программного обеспечения.
Особенно это касается программного
обеспечения, распространяемого вместе
с исходными текстами. Вы можете
самостоятельно устранить уязвимость
путем модификации исходного текста,
при этом, забыв изменить номер версии
в заголовке. В-третьих, устранение
уязвимости в одной версии еще не означает,
что в следующих версиях эта уязвимость
отсутствует.

Процесс, описанный
выше, является первым и очень важным
шагом при сканировании сети. Он
не приводит к нарушению функционирования
сервисов или узлов сети.

2. Активные
зондирующие проверки (active
probing
check)
— также
относятся к механизму сканирования.
Однако они основаны на сравнении
«цифрового слепка» фрагмента
программного обеспечения со слепком
известной уязвимости. Аналогичным
образом поступают антивирусные системы,
сравнивая фрагменты сканируемого
программного обеспечения с сигнатурами
вирусов, хранящимися в специализированной
базе данных. Разновидностью этого метода
являются проверки контрольных сумм или
даты сканируемого программного
обеспечения, которые реализуются в
сканерах, работающих на уровне операционной
системы.
Специализированная
база данных по сетевой безопасности
содержит информацию об уязвимостях и
способах их использования (атаках). Эти
данные дополняются сведениями о мерах
их устранения, позволяющих снизить риск
безопасности в случае их обнаружения.
Зачастую эта база данных используется
и системой анализа защищенности и
системой обнаружения атак. Этот метод
также достаточно быстр, но реализуется
труднее, чем «проверка заголовков».

3. Имитация
атак (exploit
check)
— данные
проверки относятся к механизму
зондирования и основаны на эксплуатации
различных дефектов в программном
обеспечении.
Некоторые
уязвимости не обнаруживают себя, пока
вы не «подтолкнете» их. Для этого
против подозрительного сервиса или
узла запускаются реальные атаки. Проверки
заголовков осуществляют первичный
осмотр сети, а метод «exploit
check«,
отвергая информацию в заголовках,
позволяет имитировать реальные атаки,
тем самым с большей эффективностью (но
меньшей скоростью) обнаруживая уязвимости
на сканируемых узлах.

Имитация атак
является более надежным способом анализа
защищенности, чем проверки заголовков,
и обычно более надежны, чем активные
зондирующие проверки.
Однако
существуют случаи, когда имитация атак
не всегда может быть реализована. Такие
случаи можно разделить на две категории:
ситуации, в которых тест приводит к
«отказу в
обслуживании»
анализируемого узла или сети, и ситуации,
при которых уязвимость в принципе
негодна
для реализации атаки на сеть.

Многие проблемы
защиты не могут быть выявлены без
блокирования или нарушения функционирования
сервиса или компьютера в процессе
сканирования. В некоторых случаях
нежелательно использовать имитацию
атак (например, для анализа защищенности
важных серверов), т.к. это может привести
к большим затратам (материальным и
временным) на восстановление
работоспособности выведенных из строя
элементов корпоративной сети. В этих
случаях желательно применить другие
проверки, например, активное зондирование
или, в крайнем случае, проверки заголовков.

Однако, есть
некоторые уязвимости (например, проверка
подверженности атакам типа «Packet
Storm«),
которые просто не могут быть протестированы
без возможного выведения из строя
сервиса или компьютера. В этом случае
разработчики поступают следующим
образом, — по умолчанию такие проверки
выключены и пользователь может сам
включить их, если желает. При включении
любой из проверок этой группы, системы
выдают сообщение типа «WARNING:
These
checks
may
crash
or
reboot
scanned
hosts«
(«Внимание: эти проверки могут вывести
из строя или перезагрузить сканируемые
узлы»).

Этапы сканирования

Практически любой
сканер проводит анализ защищенности в
несколько этапов:

1. Сбор информации
   о сети.
   На данном этапе идентифицируются все
   активные устройства в сети и определяются
   запущенные на них сервисы и демоны. В
   случае использования систем анализа
   защищенности на уровне операционной
   системы данный этап пропускается,
   поскольку на каждом анализируемом узле
   установлены соответствующие агенты
   системного сканера.

2. Обнаружение
   потенциальных уязвимостей.
   Сканер использует описанную выше базу
   данных для сравнения собранных данных
   с известными уязвимостями при помощи
   проверки заголовков или активных
   зондирующих проверок. В некоторых
   системах все уязвимости ранжируются
   по степени риска: высокая (High),
   средняя (Medium)
   и низкая (Low).

3. Подтверждение
   выбранных уязвимостей.
   Сканер использует специальные методы
   и моделирует (имитирует) определенные
   атаки для подтверждения факта наличия
   уязвимостей на выбранных узлах сети.

4. Генерация
   отчетов.
   На основе собранной информации система
   анализа защищенности создает отчеты,
   описывающие обнаруженные уязвимости.
   В некоторых системах отчеты создаются
   для различных категорий пользователей,
   начиная от администраторов сети и
   заканчивая руководством компании. Если
   первых в первую очередь интересуют
   технические детали, то для руководства
   компании необходимо представить красиво
   оформленные с применением графиков и
   диаграмм отчеты с минимумом подробностей.
   Немаловажным аспектом является наличие
   рекомендаций по устранению обнаруженных
   проблем, когда для каждой уязвимости
   выдаются пошаговые инструкции для
   устранения уязвимостей, специфичные
   для каждой операционной системы. Во
   многих случаях отчеты также содержат
   ссылки на FTP—
   или Web-сервера,
   содержащие patch
   и hot
   fix,
   устраняющие обнаруженные уязвимости.

5. Автоматическое
   устранение уязвимостей.
   Этот этап достаточно редко реализуется
   в сетевых сканерах, но широко применяется
   в системных сканерах. При этом данная
   возможность может реализовываться
   по-разному. Например, создается
   специальный сценарий (fix
   script),
   который администратор может запустить
   для устранения уязвимости. Одновременно
   с созданием этого сценария, создается
   и второй сценарий, отменяющий произведенные
   изменения. Это необходимо в том случае,
   если после устранения проблемы,
   нормальное функционирование узла было
   нарушено. В других системах возможности
   «отката» не существует.

У администратора,
осуществляющего поиск уязвимостей,
есть несколько вариантов использования
системы анализа защищенности – это
различный набор существующих этапов.

Особенности
применения

Если сканер не
находит уязвимостей на тестируемом
узле, то это еще не значит, что их нет.
Просто сканер не нашел их. И зависит это
не только от самого сканера, но и от его
окружения. Например, если Вы тестируете
сервис Telnet
или FTP
на удаленной машине, и сканер сообщает
Вам, что уязвимостей не обнаружено — это
может значить не только, что уязвимостей
нет, а еще и то, что на сканируемом
компьютере установлен, например, TCP
Wrapper.
Да мало ли еще чего? Вы можете пытаться
получить доступ к компьютеру через
межсетевой экран или попытки доступа
блокируются соответствующими фильтрами
у провайдера и т.д. Для ОС Windows
NT характерен
другой случай. Сканер пытается дистанционно
проанализировать системный реестр
(registry).
Однако в случае запрета на анализируемом
узле удаленного доступа к реестру,
сканер никаких уязвимостей не обнаружит.
Существуют и более сложные случаи. И
вообще различные реализации одного
итого же сервиса по-разному реагируют
на системы анализа защищенности. Очень
часто на практике можно увидеть, что
сканер показывает уязвимости, которых
на анализируемом узле нет. Это относится
к сетевым сканерам, которые проводят
дистанционный анализ узлов сети. И
удаленно определить, существует ли в
действительности уязвимость или нет,
практически невозможно. В этом случае
можно порекомендовать использовать
систему анализа защищенности на уровне
операционной системы, агенты которой
устанавливаются на каждый контролируемый
узел и проводят все проверки локально.

Для решения этой
проблемы некоторые компании-производители
пошли по пути предоставления своим
пользователям нескольких систем анализа
защищенности, работающих на всех
указанных выше уровнях, — сетевом,
системном и уровне приложений. Совокупность
этих систем позволяет с высокой степенью
эффективности обнаружить практически
все известные уязвимости. Например,
компания Internet
Security
Systems
предлагает семейство SAFE
suite,
состоящее из четырех сканеров: Internet
Scanner,
System
Scanner,
Security
Manager
и Database
Scanner.
В настоящий момент это единственная
компания, которая предлагает системы
анализа защищенности, функционирующие
на всех трех уровнях информационной
инфраструктуры. Другие компании
предлагают или два (Axent)
или, как правило, один (Network
Associates,
NetSonar
и др.) сканер.

Компания Cisco,
предлагающая только систему анализа
защищенности на уровне сети пошла другим
путем для устранения проблемы ложного
срабатывания. Она делит все уязвимости
на два класса:

1. Потенциальные
   — вытекающие
   из проверок заголовков и т.н. активных
   «подталкиваний» (nudge)
   анализируемого сервиса или узла.
   Потенциальная уязвимость возможно
   существует в системе, но активные
   зондирующие проверки не подтверждают
   этого.

2. Подтвержденные
   — выявленные и существующие на
   анализируемом хосте.

Проверки на
потенциальную уязвимость проводятся
через коллекцию заголовков и использование
«несильных подталкиваний».
«Подталкивание» используется для
сервисов, не возвращающих заголовки,
но реагирующих на простые команды,
например, посылка команды HEAD
для получения версии HTTP-сервера.
Как только эта информация получена,
система NetSonar
использует специальный механизм (rules
engine),
который реализует ряд правил, определяющих,
существует ли потенциальная уязвимость.

Таким образом,
администратор знает, какие из обнаруженных
уязвимостей действительно присутствуют
в системе, а какие требуют подтверждения.

Однако в данном
случае остаются уязвимости, с трудом
обнаруживаемые или совсем не обнаруживаемые
через сеть. Например, проверка «слабости»
паролей, используемых пользователями
и другими учетными записями. В случае
использования сетевого сканера вам
потребуется затратить очень много
времени на удаленную проверку каждой
учетной записи. В то же время, аналогичная
проверка, осуществляемая на локальном
узле, проводится на несколько порядков
быстрее. Другим примером может служить
проверка файловой системы сканируемого
узла. Во многих случаях ее нельзя
осуществить дистанционно.

Достоинства
сканирования на уровне ОС кроются в
прямом доступе к низкоуровневым
возможностям ОС хоста, конкретным
сервисам и деталям конфигурации. Тогда
как сканер сетевого уровня имитирует
ситуацию, которую мог бы иметь внешний
злоумышленник, сканер системного уровня
может рассматривать систему со стороны
пользователя, уже имеющего доступ к
анализируемой системе и имеющего в ней
учетную запись. Это является наиболее
важным отличием, поскольку сетевой
сканер по определению не может предоставить
эффективного анализа возможных рисков
деятельности пользователя.

Многие сканеры
используют более чем один метод проверки
одной и той же уязвимости или класса
уязвимостей. Однако в случае большого
числа проверок использование нескольких
методов поиска одной уязвимости приносит
свои проблемы. Связано это со скоростью
проведения сканирования.

В любом случае
наиболее предпочтительным является
проверка типа «имитация атак»,
которая обеспечивает наибольший процент
точного обнаружения уязвимостей.

Не все проверки,
разработанные в лабораторных условиях,
функционируют так, как должны. Даже,
несмотря на то, что эти проверки
тестируются, прежде чем будут внесены
в окончательную версию сканера. На это
могут влиять некоторые факторы:

1. Особенности
   конфигурации пользовательской системы.

2. Способ, которым
   был скомпилирован анализируемый демон
   или сервис.

3. Ошибки удаленной
   системы и т.д.

В таких случаях
автоматическая проверка может пропустить
уязвимость, которая легко обнаруживается
вручную и которая может быть широко
распространена во многих системах.
Проверка заголовка в совокупности с
активным зондированием в таком случае
может помочь определить подозрительную
ситуацию, сервис или узел. И хотя
уязвимость не обнаружена, еще не значит,
что ее не существует. Необходимо другими
методами, в том числе и неавтоматизированными,
исследовать каждый подозрительный
случай.

Разница в
реализации

Системы различных
производителей могут использовать
различные методы поиска одной и той же
уязвимости, что может привести к ее
нахождению в случае использования
одного средства и не нахождения — в
случае другого.

Кроме того, если
в созданном отчете не сказано о той или
иной уязвимости, то иногда стоит
обратиться к журналам регистрации (log)
системы анализа защищенности. В некоторых
случаях, когда сканер не может со 100%-ой
уверенностью определить наличие
уязвимости, он не записывает эту
информацию в отчет, однако сохраняет
ее в логах.

Существуют различия
и между тем, как влияет одна и та же
проверка на различные версии сервисов
в различных операционных системах.

Перспективы
развития

С 1992 года, когда
появился первый сканер SATAN,
существенно изменились и требования к
ним. Сейчас уже недостаточно, чтобы
система анализа защищенности обладала
только обширной базой уязвимостей.
Поэтому производители стали расширять
функциональность своих продуктов за
счет добавления следующих возможностей:

1. Автоматическое
обновление уязвимостей.
До недавнего
времени пополнение сканера новыми
уязвимостями проводится достаточно
редко (1 раз в месяц и реже). При этом под
пополнением понималось обновление всей
системы анализа защищенности, т.е.
получение новой версии ПО.

Сейчас ситуация
меняется. В некоторых системах существует
возможность автоматического обращения
через Internet
к Web-серверу
компании-производителя и загрузка с
него новых уязвимостей.

2. Единый формат
базы уязвимостей.
В целях
унификации и возможной интеграции
систем анализа защищенности в настоящий
момент ведутся работы по созданию
единого для всех сканеров формата базы
уязвимостей. И хотя работа эта только
началась и ей далеко до своего завершения,
первые шаги уже сделаны. Например,
лаборатория COAST
разработала проект такой базы данных.

3. Языки описания
уязвимостей и проверок.
Попытки
добавить механизмы описания уязвимостей
и проверок в системы анализа защищенности
велись давно. Они предпринимались
практически всеми компаниями-разработчиками.
Механизм описания своих проверок и
уязвимостей является очень полезной
возможностью для администраторов,
отслеживающих уязвимости, описанные в
Bugtraq,
CERT
Advisories,
SecurityFcus
и т.д. Эта
возможность позволяет быстро записать
новое правило и использовать его в своей
сети.

Анализ изменений
уровня защищенности корпоративной сети
– создаются отчеты, в которых сравнивается
состояния защищенности выделенных
участков сети в заданные интервалы
времени, что позволяет определить
увеличивается или уменьшается уровень
защищенности корпоративной сети после
реализации соответствующих мер защиты.

Вся собранная
информация о защищенности ресурсов
корпоративной сети защищается от
несанкционированного ознакомления и
изменения. Кроме того, применяемые
механизмы защиты не позволяют
несанкционированно использовать систему
для обнаружения уязвимостей на узлах
«чужой» сети.

Заключение

Использовать
такого рода средства надо. Необходимо
еще раз заметить, что не стоит считать
их панацеей от всех бед. Они ни в коем
случае не заменяют специалистов в
области безопасности. Они всего лишь
автоматизируют их работу, помогая быстро
проверить сотни узлов, в т.ч. и находящихся
на других территориях. Они помогут вам
обнаружить практически все известные
уязвимости и порекомендовать меры, их
устраняющие. Они автоматизируют этот
процесс, а с учетом возможности описания
своих собственных проверок, помогут
эффективно применять их в сети любой
организации, учитывая именно вашу
специфику.

Надо помнить, что
сканер — это всего лишь часть эффективной
политики безопасности сети, которая
складывается не только из применения
различных технических мер защиты
(средств анализа защищенности, систем
обнаружения атак, межсетевых экранов
и т.п.), но и из применения различных
организационных и законодательных мер.

Кому нужен сканер
безопасности

Сканер безопасности
помогает устранять уязвимости, возникающие
в компьютерной сети из-за несовершенства
ПО. Чтобы понять, в каких случаях следует
пользоваться сканером безопасности,
надо определить, кто считается посторонним
с точки зрения политики компании и какие
соединения с пользователями предусмотрены.
Ниже рассмотрены наиболее типичные
варианты:

1. Сеть локальная,
доступа в Интернет нет, протокол TCP/IP не
используется. Все сотрудники компании
не считаются посторонними
— это, пожалуй,
единственный случай, когда вы можете
не беспокоиться об имеющихся в сети
уязвимостях. Всем сотрудникам открыт
полный доступ к имеющейся в сети
информации, ни от кого не ожидается
неблагонамеренных или некомпетентных
действий в своей сети. Вывод:
сканер безопасности не требуется.

2. Сеть локальная,
имеется доступ в Интернет. Все сотрудники
компании не считаются посторонними
— это один
из наиболее часто встречающихся
вариантов. В этом случае (в зависимости
от конфигурации сети) возможна атака
на сеть через ваш Интернет-канал.
Атакующим теоретически может быть любой
пользователь Интернета. Вывод:
сканер безопасности может быть нужен
— требуется анализ конфигурации сети.

3. Некоторые
сотрудники компании считаются посторонними
(с точки зрения безопасности сети)
— в этом
случае не важно, какие выходы «во
внешний мир» имеет ваша сеть. Если
внутри сети используется протокол
TCP/IP, то необходимо устранять уязвимости,
чтобы заблокировать случайные ошибки
или преднамеренные действия тех
сотрудников, которые с точки зрения
сети считаются посторонними (например,
если имеются разграничения прав доступа
к различной информации и т.д.). Вывод:
сканер безопасности нужен.

4. У вас имеется
Интернет-сервер того или иного типа,
расположенный в вашей сети —
в этом случае также требуется пристальное
внимание к уязвимостям. Особенно, если
сервер публичный (то есть со свободным
доступом из внешнего мира). Если сервер
внутренний (Интранет-система), то см.
пункт 2. Вывод:
сканер безопасности нужен.

5. У вас имеется
Интернет-сервер, расположенный у
провайдера (в его сети)
— в этом
случае безопасность сервера может
обеспечиваться провайдером. Если у вас
виртуальный хостинг (нет своего
компьютера) — все зависит от технической
службы провайдера. Если вы размещаете
свой сервер, то следить за его уязвимостями
придется самостоятельно, если провайдер
не предложит соответствующее обслуживание
(бывает редко). Безопасность вашей
локальной сети в этом случае, как правило,
не зависит от самого сервера и должна
рассматриваться отдельно по одному из
предыдущих пунктов. Вывод:
сканер может быть нужен — требуется
анализ архитектуры.

Содержание

Введение 3

Глава 1. Аналитическая часть 4

1.1. Область применения 4

1.2. Что такое сканеры безопасности? 4

1.3. Классификация сканеров безопасности 5

1.4. Обзор сканеров безопасности и критерии их качества 7

1.5. Описание сканеров безопасности и их функционал 8

1.5.1 Nessus Professional 8

1.5.2 XSpider 13

1.5.3 GFI LanGuard 16

1.5.4 Retina Network Security Scanner 20

1.5.5 Shadow Security Scanner 26

Глава 2. Практическая часть 29

2.1. Разработка общей структуры 29

2.2. Внедрение программного и аппаратного обеспечения 33

2.3. Контрольный пример реализации 36

Заключение 41

Список литературы. 42

Введение.

Защита компьютерных сетей является неотъемлемой частью любой IT-инфраструктуры и в силу увеличения значимости информации важность этого направления будет только увеличиваться. Между тем решение этой задачи требует комплексного подхода, включающего разработку политики безопасности предприятия, использование всевозможных программно-аппаратных средств, обучение персонала и т. д. Кроме того, после выполнения этих мер необходимо контролировать и поддерживать состояние защищенности компьютерной сети. Одним из инструментов, позволяющих следить за уровнем защищенности сети являются так называемые системы анализа защищенности или сканеры безопасности.

Цель работы — определение основных характеристик сканеров безопасности, а также сравнение наиболее часто используемых из них в России для операционной системы Windows. По сравнению с другими средствами защиты сетей, сканеры безопасности имеют несколько отличительных особенностей.

Во-первых, они могут быть использованы в двух противоположных назначениях, т.е. быть как инструментом контроля и обеспечения безопасности, так и средством сбора информации злоумышленником для последующего нападения.

Во-вторых, сканеры безопасности могут оказывать нежелательное воздействие на сканируемый объект. Например, во время работы сканер может генерировать большой объем трафика в сети. В случае проведения проверок на некоторые виды уязвимостей (например, подверженность DOS-атакам) может происходить выход из строя некоторых служб или всей операционной системы. И наконец, в отличие от других средств, сканер безопасности не является средством противодействия атакам в реальном времени, как, например, брандмауэр или система обнаружения атак (СОА), а лишь определяет уязвимые места для потенциально возможных атак.

Глава 1. Аналитическая часть

Область применения.

В настоящее время деятельность многих организаций зависит от состояния их информационных систем. При этом инфраструктура информационных систем часто содержит узлы и системы, нарушение безопасности которых может привести к нанесению значительного ущерба для ведения бизнеса в организации. Для предотвращения таких случаев, как правило, после соответствующего анализа формируется перечень актуальных угроз и разрабатывается комплекс мер по их нейтрализации. В конечном итоге строится система управления информационной безопасностью, которая включает в себя различные средства защиты, реализующие необходимые защитные механизмы. В состав данной системы может входить подсистема управления уязвимостями, представляющая собой комплекс организационно-технических мероприятий, направленных на предотвращение использования известных уязвимостей, потенциально существующих в защищаемой системе или в сети. В частности, в рамках управления уязвимостями проводятся такие мероприятия, как периодический мониторинг защищенности информационных систем и устранение обнаруженных уязвимостей. В последнее время большое внимание уделяется новому направлению в области защиты информации — адаптивной безопасности компьютерной сети. Это направление включает в себя две основные технологии: анализ защищенности (Security Assessment) и обнаружение атак (Intrusion Detection).

Что такое сканеры безопасности?

Сканеры безопасности — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющие сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.

Такие сканеры позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.

Таким образом, сканеры направлены на решение следующих задач:

• идентификация и анализ уязвимостей;
• инвентаризация ресурсов, таких как операционная система, программное обеспечение и устройства сети;
• формирование отчетов, содержащих описание уязвимостей и варианты их устранения.

Классификация сканеров безопасности

С точки зрения расположения по отношению к объекту сканирования системы анализа защищенности можно разделить на 2 группы:

— локальные (host-based);

— дистанционные (network-based).

Сканеры «host-based» устанавливаются непосредственно на сканируемом узле, работают от имени учетной записи с максимальными привилегиями и выполняют проверки исключительно по косвенным признакам. Сканеры такого типа еще называют системными. Сканеры второго типа выполняют проверки дистанционно, т. е. по сети. Обычно такой сканер устанавливается на отдельный узел, одной из основной функции которого является периодическое сканирование. Такие сканеры называют сетевыми. Поскольку сетевые сканеры выполняют проверки по сети, то это существенно влияет на скорость сканирования и на достоверность результатов. Кроме того, между сканирующим и сканируемым узлами могут находиться устройства, осуществляющие фильтрацию трафика, что также сказывается на достоверности результатов.

Еще один вариант классификации сканеров — по их назначению: сканеры общего характера и специализированные сканеры.

Объясняется это следующим образом. Проверки, выполняемые сетевыми сканерами безопасности, направлены, прежде всего, на сетевые службы. Конечно, при этом осуществляется поиск уязвимостей не только сетевых служб, но и операционных систем, а также некоторых приложений, установленных на сканируемом узле. Однако проверки, встроенные в сетевые сканеры, носят общий характер, а если и направлены в отношении приложений, то это наиболее распространенные приложения и наиболее известные уязвимости. Та же ситуация и со сканерами уровня узла. Их проверки, могут быть, чуть более направлены на операционную систему узла, где установлен агент, а так же могут быть направлены и на конкретные приложения, но предпочтение не отдается какому-то одному. Необходимость специализированных сканеров безопасности продиктована тем обстоятельством, что для детальной проверки используемого в корпоративной сети приложения возможностей обычных сетевых сканеров может не хватить. Здесь на помощь приходят специализированные сканеры, учитывающие специфику конкретного приложения и имеющие гораздо более полную информацию об уязвимостях.

Перед специалистами по информационной безопасности стоит множество задач, и один из комплексов проблем, обязательных для решения, — аудит информационной безопасности и контроль уровня защищенности серверов, рабочих станций и сетевых устройств. Каждый день становятся известными новые уязвимости или рекомендации вендоров по безопасной настройке приложений и операционных систем, и вручную отслеживать обновления баз общеизвестных векторов атак просто невозможно. Проблема часто усугубляется использованием в одной организации различных операционных систем и устройств разных производителей. Еще одна задача, которая периодически встает перед специалистами по информационной безопасности, — это аудит информационной системы на соответствие требованиям регуляторов и выполнение этих требований. Это отнимает много времени и сил у специалистов, так как аудит обычно выполняется вручную.

Обзор сканеров безопасности и критерии их качества.

В данной работе рассматривались сканеры, имеющие бесплатную триал-версию, позволяющую использовать программное обеспечение для ознакомления с ограниченным списком его возможностей и оценкой степени простоты интерфейса. В качестве предметов обзора выбраны следующие популярные сканеры уязвимостей для операционной системы Windows, они отображены в Таблице 1.

Выбор данных сканеров обусловлен их лидирующим положением по объему продаж и декларируемому количеству обнаруживаемых уязвимостей. Из стоимостных соображений в список был включен широко известный и доступный на некоммерческой основе сканер Nessus и Shadow Security Scanner. Кроме того, был добавлен достаточно распространенный сканер Retina. Все сканеры функционируют в среде Windows и имеют нераспределенную архитектуру.

Главный критерий качества работы сканера безопасности — это, конечно, количество обнаруживаемых им уязвимостей. Но не то количество, которое заявлено производителем, а то, какое реально сканер может найти. Например, немаловажным является умение идентифицировать сервисы, установленные на нестандартных портах, поскольку в противном случае известные сканеру уязвимости не будут реально обнаружены.

Второй критерий — это количество ложных срабатываний. Несомненно, всегда лучше перестраховаться, но когда количество ложных срабатываний высоко, то специалист по безопасности или системный администратор начинает тратить огромное количество времени, чтобы все это проверить и отсеять ненужное.

Третий критерий — это удобство пользования сканером. Хотя им и можно пренебречь на фоне предыдущих характеристик, в конечном счете удобство также обеспечивает экономию времени и усилий, минимизацию возможных оплошностей.

Таблица 1. Сетевые сканеры безопасности, использованные в ходе сравнения.

Описание сканеров безопасности и их функционала.

1.5.1 Nessus Professional

Nessus от Tenable Network Security является одним из самых популярных коммерческих сканеров уязвимостей. Тесты на уязвимости написаны с использованием NASL (языка сценариев атак Nessus), и доступны подписки на «каналы» проверок уязвимостей. «HomeFeed» доступен для некоммерческого домашнего и образовательного использования, в то время как «ProfessionalFeed» получает обновления раньше и может использоваться в коммерческих настройках.

Когда Nessus завершит обновление, вас встретит вот такой экран, как показано рисунке 1. Для того, что бы начать сканирование нажимаем кнопку «New Scan».

Рисунок 1. Основное рабочее меню программы Nessus

Перед началом сканирования, необходимо настроить политику сканирования. Пример окна настройки отображен на рисунке 2. После настройки необходимо будет нажать на кнопку “Launch” как на рисунке 3 и запустить сканирование. В данной работе будем выполнять и рассматривать базовое сетевое сканирование.

Рисунок 2. Выбор типа сканирования

Рисунок 3. Начало скнирования

По результатам сканирования мы получаем список с IP адресами и связанные с ними риски, пример такого отображения на рисунке 4.

Рисунок 4. Результаты сканирования

Нажатием «Vulnerabilities» в верхнем меню, мы можем отобразить все уязвимости, обнаруженные в сети. Пример использования данной функции на рисунке 5.

Рисунок 5. Подробное отображений уязвимостей

Если выбрать конкретную уязвимость, то мы получим более детальную информацию по ней. Важно отметить, что помимо описания уязвимости, в отчете присутствует также и способ ее исправления и закрытия, посмотреть это можно на рисунке 6 в разделе “Solution”.

Рисунок 6. Подробная информация по уязвимости и способы ее исправления.

1.5.2 XSpider 7

После установки и запуска XSpider на экран будет выведено главное окно программы, которое показано на рисунке 7.

Рисунок 7. Главное окно программы “XSpider 7”

В список сканируемых хостов нужно добавить адреса для сканирования или добавить сразу диапазон адресов. После этого, нужно выбрать профиль проверки из существующих, или создать новый профиль исходя из собственных предпочтений, пример настройки профиля на рисунке 8.

Рисунок 8. Настройка профиля

Каждое выполненное задание программы сохраняется в файле tsk, и может быть открыт в любое время при помощи XSpider. В файле сохраняется результат не только последней проверки хоста или хостов, а вся история проверок. Таким образом, можно контролировать изменения уровня безопасности после ликвидации обнаруженных ранее уязвимостей и обновления операционных систем и сервисов, как на на рисунке 9.

Рисунок 9. Пример отображения информации из файла tsk

Для демонстрации работы сканеры был установлен Apache, PHP, mySQL, бесплатный скрипт для подписки на новости, демоверсия почтового сервера MERAK Mail Server (SMTP/ESMTP/POP3/IMAP4) с модулем удаленного управления и настройками по умолчанию, Remote Administrator 2.2 от компании FamaTech. Для этой проверки был создан профиль, в котором было включено сканирование всех портов хоста и поиск всех возможных уязвимостей. В результате аудита было выявлено много нареканий к скрипту подписки на новости и был обнаружен паблик-релей на почтовом сервере (так как настройка сервера после его установки не выполнялась). Все остальные сервисы, работающие на тестовом компьютере, были безошибочно обнаружены и идентифицированы. Пример отображения найденных уязвимостей и их решение на рисунке 10.

Рисунок 10. Отображения уязвимостей и предлагаемое решение.

В результатах проверки, помимо информации об обнаруженных уязвимостях, были приведены ссылки на описание уязвимости на сайтах, специализирующихся на безопасности и даны ссылки на загрузку обновленных версий программного обеспечения.

1.5.3 GFI LanGuard

Сканер уязвимости проверяет все: от серверов до сетевого аппаратного обеспечения, виртуальных машин и смартфонов. Пример рабочей области программы на рисунке 11.

Рисунок 11. Рабочая область программы GFI LanGuard

Данная программа работает как виртуальный консультант по безопасности: Управляет обновлениями для Windows, и других операциооных систем (ОС). Обнаруживает уязвимости на компьютерах и мобильных устройствах. Проводит аудит аппаратного и программного обеспечения.  Как сетевой сканер безопасности GFI LanGuard осуществляет обнаружение, определение и исправление уязвимостей в сети. Полное сканирование портов, наличие необходимых обновлений для защиты сети, а также аудит программного и аппаратного обеспечения — все это возможно из единой панели управления.  

Несколько уже созданных профилей сканирования позволяют провести как полное сканирование всех портов, так и быстро проверить только те, которые обычно используются нежелательным и вредоносным программным обеспечением (ПО). GFI LanGuard сканирует сразу несколько узлов одновременно, заметно сокращая затрачиваемое время, а затем сравнивает найденное ПО на занятых портах с ожидаемым. Пример настройки программы и выбора раздела сканирования GFI LanGuard показан на рисунке 12.

Рисунок 12. Настройка GFI LanGuard

Данный сканер уязвимостей сети имеет важное отличие от множества конкурентов. Он может автоматически обновлять программное обеспечение. До установки последних обновлений узлы сети совершенно не защищены, так как именно новейшие уязвимости, которые закрывают актуальные обновления, используются хакерами для проникновения.  В отличие от встроенных в ОС инструментов. GFI LanGuard проверят не только саму ОС, но и популярное ПО, уязвимости которого обычно используется для взлома

Стоит отметить, что после обновления данных об уязвимостях, сканирование сети запускается автоматически. Поставщиками информации об угрозах являются сами вендоры ПО. Это обеспечивает защиту от новейших угроз.  Пример обнаруженных уязвимостей на рисунке 13.

Рисунок 13. Результат и отчет по самым критическим ошибкам

Чтобы получить более полное представление о работе данной программы, необходим аудит сети. GFI LanGuard подготовит подробный список установленного программного и аппаратного обеспечения на каждом из компьютеров, обнаружит запрещенные или недостающие программы, а также лишние подключенные устройства и выведет их в список как на рисунке 14.

Рисунок 14. Список после сканирования программой

После установки и запуска сканирования системы, в приложении сразу разрешен поиск уязвимостей в локальных системах. Детальная информация показывает уровень уязвимости, основные проблемы, требующие решения, состояние сканирования, статус агентов и изменение уязвимости за период наблюдения. Данные процессы отображены на рисунке 15 и рисунке 16.

Рисунок 15. Процесс сканирования системы

Рисунок 16. Результат сканирования сети

Данный продукт дает консолидированную статистику уязвимости сети в целом, показывает уровень угроз, динамику изменения уровня безопасности и список самых незащищенных систем в сети.  В числе дополнительных функций — проверка соответствия IP-адресов DNS, трассировка сети, проверка информации о домене или IP-адресе и другие функции.

1.5.4 Retina Network Security Scanner

В отличие от большинства рассмотренных здесь программных приложений, Retina Network Security Scanner (Retina) от BeyondTrust не является бесплатной. Поскольку это полнофункциональный и универсальный сканер уязвимостей, он распространяется как коммерческое программное обеспечение. Цена на лицензию для Retina составляет $ 1200 за срок действия один год.

Пока период вашей подписки действителен, вы можете загружать и устанавливать обновления для Retina. Эти обновления имеют две формы: исправления для самого сканера Retina и обновления определений уязвимостей, которые позволяют Retina распознавать последние уязвимости. Retina является одним из основных сетевых сканеров, используемых в Министерстве обороны.

Когда вы запустите Retina, вы увидите основной пользовательский интерфейс, как показано на рисунке 17.

Рисунок 17. Основной интерфейс программы

Параметры использования разделены на четыре вкладки интерфейса: «Discоvеr», «Аudit», «Rеmеdiаtе» и «Rеpоrt».

На панели «Discоvеr» вы можете настроить простое сканирование, чтобы обнаружить работающие хосты и открытые на них порты. Это полезно, когда вы хотите сканировать всю подсеть, но не уверены, какие IP-адреса активны. Пример настройки на рисунке 18.

Рисунок 18. Пример настройки поиска хостов

На вкладке «Аudit» которая видна на рисунке 19, доступен ввод параметров для фактического сканирования уязвимостей.

Рисунок 19. Вкладка «Аudit»

Возможность указывать фактические целевые хосты и порты, аудиты, которые должна запускать Retina и другое можно видеть на рисунке 20.

Рисунок 20. «Аudit» — выбор порта

Ввод действительных административных / корневых учетных данных является ключевым шагом, поскольку нам необходимо, чтобы Retina могла проходить аутентификацию на целевых хостах, для получения доступа к их внутренним настройкам и уровням версии ПО можно наблюдать на рисунке 21.

Рисунок 21. Вкладка «Аudit» — выбор учетных данных

На вкладке «Rеmеdiаtе» можно создать базовый отчет о том, что Retina обнаружила во время сканирования, а также предложения по устранению недостатков безопасности. Имеется возможность отсортировать результаты сканирования по машине (хосту), по уязвимости или другим параметрам. Уязвимости могут быть отсортированы по имени, риску или коду серьезности. Пример настройки сортировки показан на рисунке 22.

Рисунок 22. Вкладка «Remediate» — Выбор фильтра

Также можно указать уровень детализации и параметры отображения, такие как разрывы страниц и необязательные показатели работы или подробный статус аудита. После того, как отчет об исправлении создан и отображен в Retina, вы можете экспортировать его в формат HTML или Word .doc. Подробнее видно на рисунке 23.

Рисунок 23. Вкладка «Remediate» — выбор опции

На панели «Rеpоrt» можно создавать более формальные отчеты по сравнению с панелью исправлений. Пример выбора необходимых параметров для составления отчета видно на рисунке 24.

Рисунок 24. Вкладка «Rеpоrt» — выбор необходимых параметров

После того, как выберем нужный формат отчета, нам станет доступен выбор различных компонентов, которые должны отображаться в отчете, такие как основные уязвимости, открытые порты, работающие службы, DNS-имена, MAC-адреса и другие. Пример выбора параметров виден на рисунке 25.

Рисунок 25. Вкладка «Rеpоrt» — выбор параметров

Все отчеты можно экспортировать в HTML или Word в формате DOC. Сводные» отчеты также можно экспортировать в формат .txt; Отчеты «Уязвимость» и «Несоответствие» можно экспортировать в формат XML («Уязвимость» также может идти в CSV). После выбора всех интересующих нас параметров сканирования, программа готова к запуску.

Для проверки работы программы будем сканировать все хосты в сети 192.168.1.x (для этого потребуется маска подсети 255.255.255.0). Однако мы не знаем, какие IP-адреса активны в этом диапазоне. На вкладке «Detected» выбираем раздел «Targets», а затем «IP-address range». Введем адреса с 192.168.1.1 по 192.168.1.254. После ввода всех интересующих нас IP-адресов, нажимаем «Discover». 

После завершения сканирования программа выдаст полную информацию по запросу параметров которые выставлены были ранее. Пример отображения такой информации отображен на рисунке 26.

Рисунок 26. Найденные уязвимости

Так же будет доступна возможность просматривать и отображать результаты различными способами на вкладках «Correction» и «Report». Как на рисунке 27.

Рисунок 27. Подробный просмотр отчета

1.5.5 Shadow Security Scanner

Shadow Security Scanner (сканер для оценки уязвимости сети) заслужил звание самого быстрого и наиболее эффективного сканера безопасности в своем секторе рынка, опередив многие известные бренды. Он был разработан, чтобы обеспечить безопасное, быстрое и надежное обнаружение широкого спектра дыр в системе безопасности. После завершения сканирования системы, сканер анализирует собранные данные, находит уязвимости и возможные ошибки в настройках сервера и предлагает возможные пути решения проблемы. Основное окно программы можно наблюдать на рисунке 28.

Рисунок 28. Основное окно программы

Работая на своей родной платформе Windows, Shadow Security Scanner также сканирует серверы, созданные практически на любой платформе, успешно выявляя уязвимости в Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris и, конечно же, Windows 95/98 / ME / NT / 2000. /XP/.NET. Из-за своей уникальной архитектуры.

Данный сканер является одним из немногих, кто способен обнаруживать неисправности с CISCO, HP и другим сетевым оборудованием, а также отслеживать более 4000 проверок на систему и сетевое оборудование. Пример поиска и вывода на экран уязвимостей можно наблюдать на рисунке 29.

Рисунок 29. Сканирование уязвимостей

В настоящее время поддерживаются следующие ключевые службы: FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBIOS, NFS, NNTP, SNMP, Squid. Также он является единственный сканером для аудита прокси-серверов — другой сканеры просто проверяют наличие портов), LDAP HTTPS, SSL, TCP / IP, UDP и службами реестра.

Поскольку сканер для оценки уязвимости сети обеспечивает прямой доступ к его ядру, вы можете использовать API, чтобы получить полный контроль над сканером.

Редактор правил и настроек будет необходим пользователям, желающим только сканировать нужные порты и службы, не тратя время и ресурсы на сканирование других служб. Гибкая настройка позволяет системным администраторам управлять глубиной сканирования и другими параметрами, чтобы оптимизировать скорость сетевого сканирования без потери качества сканирования. Функция одновременного сканирования нескольких сетей (до 10 хостов за сеанс) также была добавлена ​​для улучшения общей скорости сканирования. Пример настроек на рисунке 30.

Рисунок 30. Пример настрое параметров

Еще одна возможность сканера касается возможности сохранения подробного журнала сеанса сканирования в формате HTML, XML, PDF, RTF и CHM. Мастер обновлений обеспечивает своевременное обновление исполнительных модулей программы самой актуальной информацией о безопасности, гарантируя надежную защиту вашей системы и ее высокую устойчивость к вредоносным атакам.

Глава 2. Практическая часть.

2.1 Разработка общей структуры.

В рамках данной курсовой работы будет рассмотрен самый успешный из перечисленных сканеров, а именно XSpider 7.

Данный сканер представляет собой программное средство, предназначенное для обеспечения автоматизированного контроля и анализа сетевой безопасности, выявления активных компонентов сетевого взаимодействия и

анализа их уязвимостей.

Основные функции, которые будем реализовывать в XSpider 7 для обеспечения безопасности:

− сканирование портов;

− идентификация активных сетевых сервисов и анализ их уязвимостей;

− удалённая идентификация операционных систем;

− сканирование по расписанию;

− генерация отчётов для руководителя и для технического специалиста;

− обновление баз уязвимостей с использованием локального сервера обновлений.

Тем самым, XSpider 7 рассматривается как средство автоматизации деятельности эксперта при проведении оценки безопасности автоматизированных систем. Логика использования ПО XSpider 7 показана на рисунке 30.

Рисунок 30. Логика использования XSpider 7.

Средства формирования расписания сканирования позволяют автоматизировать процесс проведения анализа и способствуют интеграции данного ПО в имеющуюся систему обеспечения информационной безопасности предприятия. Обновление баз уязвимостей проводится ежедневно, при этом (с учётом направленности ПО на применение в защищённых сетях, изолированных от Internet) возможно использование локального сервера обновлений, что демонстрируется на рисунке 31.

Рисунок 31. Структура ПО XSpider

Реализованные средства формирования отчётов позволяют дифференцировать полученную по результатам сканирования информацию в зависимости от требуемого уровня компетенции и направленности последующего анализа. Так, возможно формирование отчётов, ориентированных на технических специалистов и на руководящих работников.

Разработчиком заявлены следующие отличительные черты сканера XSpider 7:

− наличие эффективных механизмов идентификации сервисов в сложной или нестандартной конфигурации;

− широкий перечень поддерживаемых программно-аппаратных платформ (как объектов анализа);

− наличие эффективных механизмов, минимизирующих количество ложных срабатываний;

− возможность использования локального сервера обновлений.

Функционал данного сканера довольно обширный, он признан одним из самых лучших сканеров безопасности на мировой арене т.к. способен на определение обширного числа угроз и уязвимостей в системах как изнутри, так и с внешней стороны.

Вот некоторые из его возможностей;

— эвристический анализ

— определение типа сервера с обходом “honeypot”

— полное сканирование портов и отображение сервисов которые к ним относятся

— проверка на стандартные пароли в системе

— анализ на SQL инъекции

— поиск и предотвращение атак по типу XSS

— ежедневный апдейт уязвимостей

— настройка белых и черных списков пользователей

— создание и редактирование профилей

— а так же многие другие функции которые помогут усилить безопасность сети.

Внедрение программного и аппаратного обеспечения.

Для реализации данного проекта потребуется поднятие сервера на котором будет развернут XSpider.

Конфигурация сервера будет определяться из необходимости быстро обрабатывать запланированные задачи и не замедлять работу других важных функций, иметь высокую пропускную способность для комфортной работы с сетями, а так же возможность установки на него необходимой операционной системы.

Таким образом конфигурация сервера была подобрана следующая:

Серверный корпус: Midi-Tower, 4×3.5» HDD hot-swap SAS/SATA, 2×5.25″ / Super Quiet

Серверная плата: Dual s2011-3, C612, 8xDIMMs DDR4, 10xSATA3, 2x1GbE i210

Процессор: CPU Intel Xeon E5-2620 v4, 2.10-3.00GHz, 8C/16T, 20M, 8.00GT/s, 85W

Оперативная память: 32Gb(2×16) DDR4 2400 ECC REG

Интегрированный рейд: SATA3 software RAID 0, 1, 5, 10 for Windows

Рейд-контроллер: LSI 4-port SAS, 6Gbit/s, RAID 0, 1, 10, 5, 6, 50, 60, 1Gb cache

Жесткие диски: HDD 2х 4000Gb SATA3 6 Гбит/с 7.2krpm 128Mb

Сеть: 2x 1 Gbit/s сетевых порта (2x RJ-45)

Удалённое управление: IPMI 2.0 + KVM с выделенным LAN портом RJ-45

Форм-фактор: MidiTower

Блок питания: 660W 80+Gold

Оптический привод: DVD-RW

Так же, для ПО XSpider будет выбрана одна из конфигураций которая предложена по умолчанию, в дальнейшем есть возможность внести изменения в конфигурации или создать свою собственную, под определенные задания. Пример конфигураций виден на рисунке 32.

Рисунок 32. Набор стандартных профилей.

Выбрав необходимый профиль, мы можем составить блок схему работы самого сканера. Для примера будет рассмотрена блок схема с выбранным профилем “Весь диапазон портов”. Схема отображена на рисунке 33.

Рисунок 33. Блок схема XSpider в работе.

Для удобного понимания расположения оборудования на рабочем месте, была составлена схема рабочего помещения. На ней отображается схематичное расположение рабочей зоны персонала, расположение и связь серверного оборудования, а так же доступные удаленные сервера. Схему можно наблюдать на рисунке 34.

Рисунок 34. Расположение объектов в офисе.

Контрольный пример реализации.

При сканировании TCP-портов все сканеры в целом справились со сканированием, незначительно лидировал в этом тесте XSpider. Сканирование проводилось на операционных системах Windows ХР Professional SP3, Windows 7, Windows Server 2012.

Следующий тест сфокусирован на задаче оценки защищённости систем на устойчивость к взлому. После подсчёта итогов результат можно увидеть на Таблице 2.

Таблица 2. Итоговые результаты по всем объектам сканирования

После проведения теста и систематизации всех результатов на рисунке 35 , стало более понятно на что способен каждый сканер. Заметно выделяется XSpider 7, следом за ним также хорошо показывает себя Nessus, немного отстает от всех GFI LANguard. Для удобного соотношения графика к таблице были добавлены сокращения: 1- Nessus, 2 — XSpider 7, 3 – GFI, 4 – Retina, 5 – Shadow.

Рисунок 35. Систематизация всех результатов

Наибольшее количество идентификаций сделал сканер XSpider 7, чуть меньше – сканер Nessus. Действительно, в этих двух сканерах процедура идентификации сервисов и приложений реализована очень качественно. Далее идут Retina и Shadow Security Scanner, они «не справились» с некоторыми трудными случаями идентификации сервисов и приложений. Замыкает рейтинг GFI LANguard.

На рисунке 36 представлено общее число найденных всеми сканерами уязвимостей и число ложных срабатываний. Наибольшее число уязвимостей было найдено сканером XSpider 7. Вторым, со значительным отрывом опять оказался Nessus. Лидером по количеству ложных срабатываний оказался сканер Shadow Security Scanner, что является довольно плохим показателем.

Рисунок 36. Идентификация уязвимостей

В ходе сравнения были проанализированы причины пропусков уязвимостей и были отделены те, которые были сделаны по причине отсутствия проверок в базе.

На рисунке 37 представлено отношение числа ложных срабатываний к общему числу найденных уязвимостей, этот показатель в определённом смысле можно назвать точностью работы сканера. Ведь пользователь, прежде всего, имеет дело с перечнем найденных сканером уязвимостей, из которого необходимо выделить найденные правильно.

Рисунок 37. Точность срабатывания

Из этой диаграммы видно, что наивысшая точность (95%) достигнута сканером XSpider 7. Хотя число ложных срабатываний у него не самое низкое, такой показатель точности достигнут за счёт большого количества найденных уязвимостей. Следующим по точности определения идёт GFI LANguard, но его общее количество найденных уязвимостей оставляет желать лучшего.

Заключение

Первое место по всем критериям данного сравнения достаётся сканеру XSpider 7, на втором месте – сканер Nessus, результаты остальных сканеров существенно ниже. Но для полноценного и более качественного контроля защищённости компьютерных систем рекомендуется использовать как минимум два сканера безопасности.

В полученном результате, по сути, нет ничего неожиданного и удивительного. Не секрет, что сканеры XSpider 7 (MaxPatrol) и Nessus пользуются популярностью как среди специалистов по безопасности, так и среди «взломщиков». По результатам заметно, что база проверок в XSpider 7 значительно расширена и детализирована, в ней все структурировано. Можно также добавить и использование разных источников (базы уязвимостей, уведомления и бюллетени «вендоров»). Наконец, можно ещё добавить, что XSpider 7 имеет очень удобный и логичный интерфейс, отражающий основные этапы работы сетевых сканеров безопасности. А это немаловажно, ведь все стремятся к комфорту.

Сканер Nessus показал, в целом, неплохие результаты, а в ряде моментов он был точнее сканера XSpider 7. Главная причина отставания Nessus – это пропуски уязвимостей, но не по причине отсутствия проверок в базе, как у большинства остальных сканеров, а в силу особенностей реализации.

Наша работа достигла своей цели и показала, что для достижения максимального результата лучше пользоваться несколькими инструментами, а так же необходимо запомнить, что успех качественной информационной безопасности — это регулярный аудит.

Список литературы.

1. Сравнение Сканеров Уязвимостей // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. XXX междунар. студ. науч.-практ. конф. № 3(29). URL: http://sibac.info/archive/technic/3(29).pdf
2. Сравнительный анализ сканеров безопасности. Часть 1: тест на проникновение (краткое резюме). https://www.securitylab.ru/analytics/365241.php
3. Яцкевич А. И., Кошелев С. О. Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе // Молодой ученый. — 2016. — №28. — С. 45-49. — URL https://moluch.ru/archive/132/36917/.
4. Долгин А.А., Хорев П.Б., Разработка сканера уязвимостей компьютерных систем на основе защищенных версий ОС Windows, Труды международной научно-технической конференции «Информационные средства и технологии», 2005. Информационный портал о безопасности [Электронный ресурс] — Режим доступа. — URL: http://www.securitylab.ru/
5. Онлайн-журнал Softkey.info [Электронный ресурс] — Режим доступа. — URL: http://www.softkey.info/
6. Официальный сайт «GFI Software». [Электронный ресурс] — Режим доступа. — URL: http://www.gfi.ru/
7. Официальный сайт «Beyond trust». [Электронный ресурс] — Режим доступа. — URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/
8. Официальный сайт Tenable Network Security [Электронный ресурс] — Режим доступа. — URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (дата обращения 27.03.15).
9. Решения IBM для обеспечения информационной безопасности [Электронный ресурс] — Режим доступа. — URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf
10. Хорев П.Б., Методы и средства защиты информации в компьютерных системах, М., Издательский центр «Академия», 2005.
11. Рожкова Е.О., Ильин И.В. Обзор И Сравнение Сканеров Уязвимостей // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. XXX междунар. студ. науч.-практ. конф. № 3(29).

Сканеры уязвимостей (или сканеры защищённости) давно стали обязательными инструментами специалистов по информационной безопасности. На сегодняшний день на рынке представлено значительное количество таких продуктов как российского, так и зарубежного производства. Попробуем разобраться в этом многообразии и сделать выводы.

1. Введение
2. Для чего нужны сканеры уязвимостей
3. Мировой рынок сканеров уязвимостей
4. Российский рынок сканеров уязвимостей
5. Обзор отечественных сканеров уязвимостей
   1. 5.1. MaxPatrol 8
   2. 5.2. RedCheck
   3. 5.3. ScanOVAL
   4. 5.4. XSpider
   5. 5.5. «Ревизор сети»
   6. 5.6. «Сканер-ВС»
6. Обзор зарубежных сканеров уязвимостей
   1. 6.1. F-Secure Radar
   2. 6.2. GFI LanGuard
   3. 6.3. Nessus Professional
   4. 6.4. Nexpose Vulnerability Scanner
   5. 6.5. Qualys Vulnerability Management
   6. 6.6. Tenable.io
   7. 6.7. Tripwire IP360
   8. 6.8. Vulnerability Control
7. Обзор сканеров уязвимостей с открытым исходным кодом
   1. 7.1. Nikto
   2. 7.2. OpenVAS
8. Выводы

Введение

Наличие уязвимостей в информационных системах, узлах инфраструктуры или элементах комплекса защиты информации является большой проблемой для подразделений ИТ и ИБ. Конечно, поиском брешей можно заниматься вручную, но это будет крайне трудозатратный процесс, который займёт много времени при высокой вероятности что-нибудь не заметить.

Поэтому лучше всего использовать автоматические средства для поиска уязвимостей и слабых мест в информационной инфраструктуре предприятия, такие как сканеры защищённости или сканеры уязвимостей. В настоящее время инструменты подобного класса позволяют решать задачи широкого профиля. Это — и сканирование сети, и перебор паролей, и поиск неустановленных патчей и небезопасных версий ПО, и обнаружение паролей и учётных записей, установленных по умолчанию, и поиск открытых портов и запущенных небезопасных служб, а также отслеживание других элементов, которые потенциально несут угрозу информационной безопасности. Также данные инструменты поддерживают большое количество операционных систем, средств защиты информации, сетевого оборудования и прочих объектов, чтобы максимально охватить инфраструктуру предприятия.

В настоящее время на рынке информационной безопасности представлено большое количество сканеров уязвимостей, представляющих собой как российские, так и зарубежные разработки. Также есть как коммерческие версии, так и бесплатные. Ранее мы уже вскользь касались этой темы в разных статьях, например «GFI LanGuard — виртуальный консультант по безопасности» или «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры».

Для чего нужны сканеры уязвимостей

Применение сканеров уязвимостей позволяет решать различные задачи. Такие инструменты используют не только для самостоятельной проверки на наличие брешей в инфраструктуре предприятия, но и для выполнения требований регуляторов — PCI SSC, ФСТЭК России и т. д.

Функциональность сканера уязвимостей даёт, например, возможность провести инвентаризацию ИТ-ресурсов и определить, какие приложения и какой версии установлены на рабочих станциях и серверах. При этом сканер покажет, какое ПО имеет уязвимости, и предложит установить патч, обновить версию или остановить те или иные службы и отключить протоколы, если они представляют собой угрозу информационной безопасности. Если присутствуют ошибки в скриптах, это будет также обнаружено сканером.

Также можно провести сканирование сети, составить её карту и определить, какие именно сетевые устройства в инфраструктуре предприятия используются. Будут также определены все поддомены. Сразу же можно выявить открытые порты, запущенные сетевые сервисы, которые представляют угрозу для безопасности. На сетевых устройствах будет произведён поиск уязвимостей, которые можно будет закрыть установкой патчей, обновлением или изменением конфигураций.

Кроме того, сканер позволяет проверить на стойкость используемые пароли на сервисах с доступной авторизацией, при этом будут выявлены пароли, установленные по умолчанию. Будет произведён и брутфорс (полный перебор возможных вариантов) с использованием актуальной базы паролей.

Сканеры уязвимостей позволяют также сканировать средства защиты информации и определять, когда можно установить новые патчи, обновить программное обеспечение, изменить конфигурацию и настройки, а также проверить актуальность баз сигнатур.

Современные сканеры уязвимостей поддерживают практически все современные операционные системы, как серверные, так и пользовательские. Также всё большую популярность начинают набирать облачные решения такого рода.

По результатам проверки все сканеры позволяют сформировать отчёты различного формата и назначения, где будет отображена вся картина по уязвимостям в инфраструктуре, а также даны рекомендации по их устранению. Каждой уязвимости будет сопоставлен номер из баз CVE (Common Vulnerabilities and Exposures), NVD (National Vulnerability Database) или Банка данных угроз безопасности информации (БДУ) ФСТЭК России. Некоторые из инструментов позволяют делать отчёты для предоставления руководству.

Мировой рынок сканеров уязвимостей

Мировой рынок сканеров уязвимостей (Vulnerability Management / Assessment) активно развивается. Данные инструменты стали полноценными системами для управления уязвимостями, которые можно вести как проекты. В свою очередь проекты по отслеживанию уязвимостей превращаются в процессы, в которых участвуют представители различных подразделений. Также производители сканеров предлагают интеграцию с системами управления рисками или патч-менеджмента, платформами по управлению инцидентами (Incident Response Platform), процессами безопасной разработки (Security Development), не говоря уже о SIEM.

Ещё одной важной особенностью является использование сканеров для соответствия требованиям PCI DSS. Некоторые вендоры, например Tenable, Qualys или Rapid7, являются разрешёнными поставщиками услуг сканирования (ASV) PCI SSC.

Также стоит отметить, что в последние годы наметилась явная тенденция к использованию облачных сканеров уязвимостей. Для некоторых заказчиков данный вариант становится предпочтительным, поскольку исчезает необходимость выделять ресурсы под размещение сканера в своей инфраструктуре.

Производители предлагают как коммерческие версии своих продуктов, так и бесплатные. Последние обычно предоставляются с сильно ограниченными функциональными возможностями и в виде облачного сервиса.

Исследовательская компания IDC провела анализ рынка систем управления уязвимостями за 2019 год и опубликовала свои выводы в материале «Worldwide Device Vulnerability Management Market Shares, 2019: Finding the Transitional Elements Between Device Assessment Scanning and Risk-Based Remediation». На диаграмме (рис. 1) из этой статьи можно увидеть распределение долей мирового рынка среди различных производителей. 

Рисунок 1. Рынок управления уязвимостями устройств в 2019 году

По результатам исследования, проведённого компанией GeoActive Group, объём рынка Vulnerability Management / Assessment достигнет 2,1 млрд долларов в 2020 году.

Согласно аналитическому отчёту Gartner «Market Guide for Vulnerability Assessment», тремя доминирующими вендорами по разработке сканеров безопасности являются Tenable (около 30 000 заказчиков), Qualys (около 16 000 заказчиков) и Rapid7 (чуть больше 9 000 заказчиков). На этих игроков приходится большая часть прибыли в отрасли. В том же отчёте было отмечено, что среди заметных вендоров на этом рынке также присутствуют F-Secure, Positive Technologies, Tripwire и Greenbone Networks. 

Ещё одним разработчиком, на наш взгляд заслуживающим внимания, является GFI Languard, один из лидеров сегмента малого и среднего бизнеса, в том числе на российском рынке. 

В данном обзоре мы рассмотрим следующие продукты вендоров, представляющих мировой рынок сканеров уязвимостей:

• Nessus (Tenable).
• Qualys Vulnerability Management (Qualys).
• F-Secure Radar (F-Secure).
• Rapid7 Nexpose (Rapid7).
• IP360 (Tripwire).
• Tenable.io (Tenable).
• GFI Languard (GFI Software).

Российский рынок сканеров уязвимостей

В отличие от мирового основной особенностью российского рынка сканеров уязвимостей является соответствие требованиям регуляторов: ряд нормативных актов в области информационной безопасности (приказы ФСТЭК России № 17, № 21, № 239, № 31, постановление Правительства РФ № 79 и т. д.) предписывают заказчикам обязательно иметь сканер уязвимостей, а сам продукт должен обладать сертификатом по требованиям безопасности ФСТЭК России. Некоторые сканеры уязвимостей позволяют проводить проверки на соответствие требованиям PCI DSS и других зарубежных нормативных актов.

Также стоит отметить, что российские производители предлагают свои продукты в основном в локальном исполнении (on-premise) для установки в инфраструктуре заказчика. Все отечественные вендоры поставляют только коммерческие версии своих продуктов, за исключением сканера ScanOVAL, который является «детищем» ФСТЭК России.

Наиболее заметными на российском рынке сканеров являются следующие продукты:

• MaxPatrol 8 (Positive Technologies).
• RedCheck («АЛТЭКС-СОФТ»).
• ScanOVAL (ФСТЭК России).
• XSpider (Positive Technologies).
• «Ревизор сети» («ЦБИ-сервис»).
• «Сканер-ВС» (НПО «Эшелон»).

Обзор отечественных сканеров уязвимостей

MaxPatrol 8

Система контроля защищённости и соответствия стандартам MaxPatrol 8 — продукт корпоративного класса (enterprise) с внушительными функциональными возможностями для крупных заказчиков с неограниченно большим количеством узлов в сетевой инфраструктуре. 

Сканер проводит комплексный анализ на наличие уязвимостей в сложных системах, включая платформы Windows, Linux, Unix, сетевое оборудование Cisco, Juniper, Huawei, Check Point, системы виртуализации Hyper-V, VMware, веб-серверы Microsoft IIS, Apache HTTP Server, Nginx, серверы веб-приложений IBM WebSphere, Oracle WebLogic, Apache Tomcat, а также ERP-системы SAP и 1C.

MaxPatrol 8 анализирует безопасность веб-приложений и позволяет обнаружить большинство уязвимостей в них: внедрение SQL-кода, межсайтовое выполнение сценариев (XSS), запуск произвольных программ.

Сканер проверяет СУБД, такие как Microsoft SQL, Oracle, PostgreSQL, MySQL, MongoDB, Elastic. MaxPatrol 8 также анализирует сетевые настройки, парольную политику (включая поиск паролей по умолчанию), права и привилегии пользователей, позволяет управлять обновлениями.

Рисунок 2. Окно настройки задач по сканированию в MaxPatrol 8

Кроме того, продукт проверяет инфраструктуру на соответствие техническим стандартам безопасности CIS, SAP и VMware, предписаниям PCI DSS и ISO/IEC 27001, собственным стандартам Positive Technologies.

MaxPatrol 8 имеет действующий сертификат соответствия требованиям безопасности ФСТЭК России (№ 2922 до 08.07.2024).

Более подробно о продукте можно узнать в посвящённом ему разделе сайта производителя.

RedCheck

Сканер уязвимостей RedCheck от вендора «АЛТЭКС-СОФТ» предлагает комплексный подход к анализу защищённости инфраструктуры предприятия. Данный продукт обладает следующими характерными особенностями:

• Обнаружение узлов сети и сканирование на предмет уязвимостей операционных систем, общесистемного и прикладного ПО. Обеспечивается поддержка таких платформ, как клиентские и серверные редакции ОС Microsoft Windows (за исключением «Домашних») и системы семейства Linux (Red Hat, SUSE, Debian, Ubuntu, CentOS, Astra Linux, Alt Linux, ROSA, «РедОС» и другие), а также сетевого оборудования — Cisco, Huawei, Check Point — и множества различных прикладных программ.
• Выявление уязвимостей и слабых конфигураций в серверах приложений и веб-серверах.
• Контроль конфигураций и оценка соответствия политикам и стандартам безопасности.
• Сканирование в режиме «Пентест», сетевые проверки и сканирование портов.
• Проведение аудита парольной политики и подбор паролей.
• Аудит защищённости СУБД (Microsoft SQL Server, Oracle Database, MySQL, PostgreSQL).
• Выявление уязвимостей в средствах виртуализации Microsoft Hyper-V, VMware ESXi / vCenter, VMware NSX.
• Инвентаризация сети для получения детальной информации об аппаратных и программных средствах.
• Контроль целостности с выбором алгоритма контрольного суммирования.
• Контроль изменений в системе.
• Управление обновлениями для общесистемного ПО.
• Аудит SCADA-систем.

Рисунок 3. Схема работы сканера защищённости RedCheck

Ещё одной ключевой особенностью сканера RedCheck является его работа с унифицированным SCAP-контентом (обновления, уязвимости, конфигурации, политики безопасности), получаемым из собственного репозитория OVALdb. Это — один из крупнейших международных банков контента по безопасности, позволяющий формировать оценку защищённости информационных систем.

Также RedCheck имеет API-модуль для интеграции с различными системами управления ИБ, включая HP ArcSight, Splunk, MaxPatrol SIEM, NeuroDAT SIEM, R-Vision IRP, ePlat4m Security GRC.

Сканер представлен в нескольких редакциях, включая вариант «Enterprise». Модульная компоновка позволяет масштабировать систему и использовать её в территориально распределённых сетях и ЦОД.

RedCheck имеет сертификат соответствия требованиям безопасности ФСТЭК России (№ 3172 до 23.06.2020), который на момент публикации находится на продлении. Техническая поддержка оказывается до 23.06.2025.

Больше сведений о данном сканере можно найти на сайте RedCheck.

ScanOVAL

Программное средство ScanOVAL, разработанное по инициативе ФСТЭК России и при непосредственном участии «АЛТЭКС-СОФТ», предназначено для автоматизированного обнаружения уязвимостей в программном обеспечении на узлах (рабочих станциях и серверах), функционирующих под управлением операционных систем семейства Microsoft Windows (клиентских — 7 / 8 / 8.1 / 10 — или серверных: 2008 / 2008 R2 / 2012 / 2012 R2 / 2016).

Была выпущена и версия сканера ScanOVAL для Linux, позволяющая проводить сканирование и поиск уязвимостей в ОС Astra Linux 1.6 SE, а также проверку общесистемного и прикладного ПО, входящего в состав этого дистрибутива.

Рисунок 4. Окно со списком обнаруженных уязвимостей в ScanOVAL для Linux

Обе версии сканера осуществляют анализ защищённости ОС и прикладного ПО на наличие уязвимостей, сведения о которых содержатся в Банке данных угроз безопасности информации ФСТЭК России и бюллетенях разработчиков.

Выявление уязвимостей производится следующим образом: состояние системных параметров сканируемого программного обеспечения (системного и прикладного) сравнивается с базой уязвимостей, представленной в виде описаний, которые разработаны в соответствии со спецификацией OVAL. Сканер позволяет выявлять одиночные и множественные бреши.

Полная информация об этом сканере размещена в соответствующем разделе сайта ФСТЭК России.

XSpider

Сканер защищённости XSpider компании Positive Technologies впервые появился на рынке ещё в 2002 году — причём в это же время была основана сама компания.

XSpider предназначен для компаний с количеством узлов до 10 000. Он позволяет сканировать сеть на наличие уязвимостей (в том числе в сервисах SMB, RDP, HTTP, SNMP, FTP, SSH), проводить тесты на проникновение, проверять веб-приложения сторонней и внутренней разработки на возможность внедрения SQL-кода, запуска произвольных программ, получения файлов, межсайтового выполнения сценариев (XSS), расщепления HTTP-ответов. Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию.

Ещё данный сканер может проводить инвентаризацию узлов сети (с получением базовой информации о системах), выявлять открытые порты TCP / UDP, идентифицировать серверные приложения.

Рисунок 5. Окно с установкой параметров сканирования в XSpider

XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies.

Продукт имеет действующий сертификат соответствия требованиям ФСТЭК России (№ 3247 до 24.10.2025).

Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя.

«Ревизор сети»

Сканер уязвимостей «Ревизор сети 3.0», разработанный ООО «Профиль Защиты», позволяет осуществлять тестирование сетевых устройств и операционных систем семейств Windows и Linux, поддерживающих стек протоколов TCP/IP.

«Ревизор сети» способен искать уязвимости, включённые в Банк данных угроз безопасности информации ФСТЭК России, в операционных системах семейств Windows и Linux. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com и других.

Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах.

Основными особенностями «Ревизора сети» являются:

• проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных;
• проверка наличия неустановленных обновлений ОС семейства Windows;
• проверки учётных записей для узлов сети, подбор паролей;
• определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей;
• определение NetBIOS- и DNS-имён проверяемых узлов сети;
• проверки наличия и доступности общих сетевых ресурсов на узлах сети;
• сбор дополнительной информации об ОС семейства Windows.

Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3.0»

«Ревизор сети 3.0» поддерживает установку на следующие операционные системы производства Microsoft: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016.

Сканер уязвимости «Ревизор сети» версии 3.0 имеет сертификат соответствия требованиям ФСТЭК России № 3413, действительный до 2 июня 2023 г.

С более подробной информацией о сканере можно ознакомиться на странице разработчика.

«Сканер-ВС»

Продукт «Сканер-ВС» является разработкой НПО «Эшелон» и представляет собой систему комплексного анализа защищённости, позволяющую обеспечить выявление уязвимостей в ИТ-инфраструктуре организаций любого масштаба. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. «Сканер-ВС» включает в себя базу, содержащую более 64 000 проверок, которая обновляется еженедельно. Обеспечивается полная совместимость с БДУ ФСТЭК России.

Рисунок 7. Главное меню системы «Сканер-ВС»

Помимо этого можно отметить наличие следующих возможностей:

• Инвентаризация ресурсов сети.
• Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё.
• Сетевой и локальный анализ стойкости паролей.
• Поиск подходящих эксплойтов на основе собранной информации об узле.
• Перехват и анализ сетевого трафика, а также реализация атак типа MitM (Man in the Middle, «внедрённый посредник»).
• Анализ беспроводных сетей.
• Проверка обновлений ОС Windows — аудит установленных обновлений для ОС Windows 7, 8.1, 10, Server 2012, 2012 R2 и 2016.
• Аудит настроек комплекса средств защиты ОС Astra Linux Special Edition.
• Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей.

Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.

Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.

«Сканер-ВС» имеет действующие сертификаты соответствия от ФСТЭК России (№ 2204) и Минобороны России (№3872).

Больше информации о данном сканере размещено на сайте данного продукта.

Обзор зарубежных сканеров уязвимостей

F-Secure Radar

Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux.

F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Также доступны инструменты для подготовки отчётов о рисках и о соблюдении требований — например, соответствии предписаниям PCI и GDPR.

Рисунок 8. Окно центра управления в F-Secure Radar

Помимо этого Radar предлагает следующие возможности:

• Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов.
• Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц.
• Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах.
• Инвентаризация приложений на узлах сети.
• Отслеживание всех изменений в ИТ-инфраструктуре.

Больше информации о данном сканере размещено на сайте разработчика.

GFI LanGuard

Сетевой сканер безопасности GFI LanGuard от GFI Software позволяет сканировать сеть предприятия для обнаружения, выявления и устранения уязвимостей.

В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует.

GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Сканер анализирует не только саму ОС, но и популярное ПО, уязвимости которого обычно используются для взлома: Adobe Acrobat / Reader, Flash Player, Skype, Outlook, браузеры, мессенджеры и т. д.

Рисунок 9. Окно мониторинга уязвимостей в GFI LanGuard

LanGuard проводит каждое сканирование после обновления данных об уязвимостях. Источниками информации об угрозах являются сами вендоры ПО, а также хорошо зарекомендовавшие себя списки SANS и OVAL.

Обеспечивается поддержка всех популярных ОС для рабочих станций и серверов (Windows, macOS, дистрибутивы Linux и Unix), а также iOS и Android для смартфонов. GFI LanGuard позволяет установить отдельные пары «логин-пароль» для доступа, а также файл ключа для связи по SSH.

LanGuard способен создавать отчёты в соответствии с требованиями PCI DSS, HIPAA, SOX, GLB / GLBA и PSN CoCo. Также можно добавлять собственные шаблоны в планировщик.

Больше сведений о GFI LanGuard можно почерпнуть на сайте разработчика.

Nessus Professional

Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке.

Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии:

• Поиск и выявление уязвимых версий служб или доменов.
• Обнаружение уязвимостей в различных ИТ-активах, включая сетевые устройства (например, Cisco, Juniper, HP, F5 и SonicWall), MDM-платформы MobileIron и VMware AirWatch, операционные системы (Windows, macOS, Linux) и различные приложения — от небольших утилит для обновления драйверов до сложных офисных пакетов.
• Обнаружение ошибок в конфигурациях.
• Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей.

Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus

Nessus Professional характеризуется следующими особенностями:

• Предварительно настроенные шаблоны сканирования (450 шаблонов, в том числе для выполнения требований различных стандартов по безопасности).
• Группировка обнаруженных уязвимостей по приоритетам.
• Широкие возможности по работе с отчётами и архивными данными.
• Высокоскоростное сканирование с минимальным количеством ложных срабатываний.
• Возможность выявления около 60 000 уязвимостей, которым присвоены идентификаторы CVE ID, а также множества других.

Больше информации о Nessus размещено на сайте разработчика.

Nexpose Vulnerability Scanner

Nexpose Vulnerability Scanner от Rapid7 предлагается в исполнении «on-premise» для локальной установки на территории заказчика. Облачная версия доступна в редакции Rapid7 InsightVM, предлагающей расширенные функциональные возможности за ту же стоимость.

Данный продукт вычисляет показатель реального риска по шкале от 1 до 1000, где оценка CVSS является лишь одной из составляющих, что даёт более полезную информацию. При этом учитываются такие параметры, как значимость узла, срок уязвимости, наличие общедоступных эксплойтов / готовых вредоносных объектов и др. Nexpose предоставляет контекстную бизнес-аналитику, акцентируя внимание на самых значимых рисках для бизнеса, посредством автоматизированной классификации активов и рисков.

Отметим следующие возможности Nexpose:

• Применение различных стратегий с адаптацией под различные задачи и инфраструктуру.
• Интеграция с DHCP Service, VMware и AWS / Azure для понимания динамики среды и обнаружения новых устройств и уязвимостей.
• Доступ к данным из Project Sonar для выявления компонентов инфраструктуры, наиболее подверженных распространённым уязвимостям.
• Создание динамических групп активов с более чем 50 фильтрами.
• Выявление более чем 75 000 уязвимостей.
• Широкий выбор готовых шаблонов отчётов и возможность создания собственных шаблонов с необходимыми параметрами (включая таблицы, диаграммы, сравнения) с большими возможностями импорта.

Функция Adaptive Security позволяет автоматически обнаруживать и оценивать новые устройства и уязвимости в режиме реального времени. В сочетании с подключениями к VMware и AWS, а также интеграцией с исследовательским проектом Sonar сканер Nexpose обеспечивает постоянный мониторинг изменяющейся среды в ИТ-инфраструктуре.

Также Nexpose позволяет проводить аудит политик и конфигураций. Сканер анализирует политики на соответствие требованиям и рекомендациям популярных стандартов. Отчёты об уязвимостях содержат пошаговые инструкции о том, какие действия следует предпринять, чтобы устранить бреши и повысить уровень безопасности.

Рисунок 11. Окно мониторинга в Nexpose Vulnerability Scanner

Nexpose предлагает большие возможности по интеграции, в том числе двусторонней, с инструментом для проведения пентестов Metasploit, а также с другими технологиями и системами безопасности, в том числе посредством OpenAPI: SIEM, межсетевыми экранами, системами управления патчами или системами сервисных запросов (тикетов), комплексами технической поддержки (service desk) и т. д.

Помимо этого Nexpose позволяет решать задачи по соответствию требованиям различных стандартов, в частности — PCI DSS, NERC CIP, FISMA (USGCB / FDCC), HIPAA / HITECH, Top 20 CSC, DISA STIGS, а также стандартов CIS по оценке рисков.

Полная информация о данном сканере расположена на сайте разработчика.

Qualys Vulnerability Management

Особенностью продукта Qualys является разделение процессов сбора и обработки информации:

• информация по уязвимостям собирается либо с помощью сканера (безагентно), который может быть выполнен в виртуальном или «железном» формате, либо с помощью облачных агентов;
• обработка и корреляция информации, поступающей с сенсоров, происходит в облаке Qualys. Таким образом не нагружается локальная инфраструктура и существенно упрощается работа с данными, которые отображаются в интерфейсе в консолидированном и нормализованном виде.

Отдельно стоит отметить, что крупным заказчикам доступна возможность развёртывания облака Qualys в локальной сети.

Облачные агенты Qualys обеспечивают непрерывный сбор данных и их передачу на облачную платформу, которая является своего рода аналитическим центром, где информация коррелируется и распределяется по приоритетам для обеспечения видимости всего того, что происходит на конечных точках и в сети компании, в режиме реального времени.

Рисунок 12. Окно мониторинга уязвимостей и ИТ-активов в Qualys Vulnerability Management

Также заслуживают упоминания следующие возможности платформы:

• Инвентаризация всей ИТ-инфраструктуры, включая обнаружение и классификацию активов, проверку типа лицензий ПО (коммерческие / с открытым исходным кодом) и цикла поддержки (End of Life / End of Support).
• Поиск уязвимостей и критических ошибок в конфигурациях в соответствии с критериями CIS, VMware, Microsoft, Qualys, NIST, DISA по активам с возможностью исправления конфигураций.
• Автоматическая приоритизация угроз на основе информации о реальных атаках злоумышленников, а также данных киберразведки (Threat Intelligence).
• Инвентаризация цифровых сертификатов SSL / TLS.
• Соблюдение требований PCI DSS.
• Защита конечных узлов от атак с возможностью расследования инцидентов и поиска следов компрометации (EDR).
• Мониторинг целостности файлов.
• Проверка на наличие уязвимостей на протяжении всего цикла разработки.
• Защита веб-приложений с применением виртуальных патчей.
• Сканирование контейнеров на всех этапах.
• Пассивное сканирование сетевого трафика и выявление аномалий.
• Собственный патч-менеджмент для ОС и приложений.
• Сканирование облачных аккаунтов и сред Azure, AWS, GCP.
• Сканирование внешнего периметра из дата-центра Qualys.
• Анализ безопасности сетей АСУ ТП.
• Открытый документированный API для интеграции с CMDB, NAC, WAF, SIEM, Service Desk, Skybox, R-Vision и другими системами.

Больше сведений о данном сканере можно почерпнуть на сайте производителя.

Tenable.io

В отличие от Nessus Professional другой продукт того же вендора — Tenable.io — имеет только облачное исполнение. В части функциональных возможностей есть сходство с Nessus. Тем не менее Tenable.io вполне самодостаточен, особенно в части управления всеми данными об активах и уязвимостях. Продукт предлагает следующие возможности:

• Получение оперативных данных об ИТ-активах за счёт сканирования, использования агентов, пассивного мониторинга, облачных коннекторов и интеграции с базами данных управления конфигурациями (CMDB).
• Комбинирование сведений об уязвимостях с киберразведкой (Threat Intelligence) и исследованием данных (Data Science) для более простой оценки рисков и понимания того, какие уязвимости следует исправлять в первую очередь.
• Группировка обнаруженных уязвимостей по приоритетам.
• Широкие возможности по работе с отчётами и архивными данными.
• Высокоскоростное сканирование с минимальным количеством ложных срабатываний.
• База Tenable.io содержит данные о порядка 60 000 уязвимостей.

В лицензию Tenable.io также входит безлимитное количество сканеров Nessus Professional.

Рисунок 13. Окно мониторинга уязвимостей в Tenable.io

Образно говоря, Tenable.io представляет собой разноплановый набор сенсоров, который автоматически собирает и анализирует данные о безопасности и уязвимостях, тем самым показывая полную информацию об атаке для любого актива на любой вычислительной платформе.

Также в компании Tenable есть несколько смежных продуктов, построенных на платформе Tenable.io, например специализированный инструмент для проведения сканирования в соответствии с требованиями PCI DSS, сканер для обнаружения уязвимостей в контейнерах, средство проверки веб-приложений и сервисов.

Ранее мы уже рассматривали разработки этого вендора в статье «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры». Также полная информация о данном сканере размещена на сайте разработчика.

Tripwire IP360

Tripwire IP360 позиционируется как продукт корпоративного уровня («enterprise») для управления уязвимостями и рисками. Сканер построен на модульной архитектуре, что позволяет легко масштабировать данную систему. Возможна поставка версий для локального (on-premise), облачного или гибридного развёртывания. Также IP360 позволяет размещать на узлах агенты для более эффективного мониторинга сети и выявления уязвимостей.

Помимо этого сканер обладает следующими возможностями:

• Проведение инвентаризации в сети для выявления и идентификации всех ИТ-активов, включая локальные, облачные и контейнерные.
• Отслеживание изменений в активах.
• Ранжирование уязвимостей на основе их степени воздействия и возраста.
• Управление временем запуска сканирования через планировщик.
• Аудит безопасности в контейнерных средах с поддержкой инструментальных средств DevOps.
• Централизованное управление через веб-интерфейс для администрирования, настройки, получения отчётов, распоряжения задачами.

Рисунок 14. Окно процесса сканирования в IP360

IP360 поставляется в виде программного или аппаратного обеспечения, причём для увеличения производительности и надёжности работы системы возможна её установка в кластере. Сканер также доступен на торговых площадках AWS и Azurе.

Tripwire IP360 предоставляет возможности интеграции со сторонними системами, такими как комплексы технической поддержки (helpdesk / service desk), решения по управлению активами, SIEM, IDS / IPS и другие средства обеспечения информационной безопасности, посредством API-модуля.

Больше сведений о Tripwire IP360 можно получить на сайте разработчика.

Vulnerability Control

Система Skybox Vulnerability Control позволяет автоматизировать различные процессы управления уязвимостями на единой платформе. Продукт способен собирать данные из различных систем с учётом особенностей сети и выявлять наиболее опасные угрозы.

Vulnerability Control обладает следующими возможностями:

Анализ данных из систем инвентаризации и патч-менеджмента, а также ряда других позволяет собирать сведения в недоступных для сканирования областях.

Получение сведений об уязвимостях из различных источников, таких как сетевые устройства, IPS / IDS, публичные и частные облака (Amazon Web Services, Microsoft Azure, Cisco ACI и VMware NSX), средства безопасности конечных точек (EDR), комплексы патч-менеджмента, системы управления конфигурацией баз данных (CMDB), сканеры уязвимостей и приложений, веб-сканеры.

Проведение имитации атак на динамической модели сети для выявления уязвимостей, которые доступны для эксплуатации на критически важных активах. Также это позволяет понять эффективность текущих настроек компонентов сети.

Функция моделирования сети позволяет определять альтернативные методы борьбы с угрозами, включая изменения правил доступа или сигнатур систем предотвращения вторжений (IPS).

Использование скоринговой модели, учитывающей различные критерии (уязвимости, активы, бизнес-сегменты), в том числе уникальные параметры и атрибуты, применяемые в конкретной инфраструктуре.

Выявление очерёдности установки патчей и других компенсирующих мер по устранению уязвимостей на основе уровня угроз и ранжирования их по степени опасности.

Рисунок 15. Окно с информацией об уязвимостях в Skybox Vulnerability Control

Vulnerability Control реализует гибкий подход к анализу уязвимостей, позволяющий лучше понять возможные последствия. Помимо основных данных собираются разнообразные дополнительные сведения: настройки и условия использования ОС и других приложений, материалы из национальной базы данных уязвимостей США (NVD), CVSS, бюллетени поставщиков, итоги анализа брешей и рисков из других источников (IBM X-Force, прочие сканеры уязвимостей и т. д.), история изменений уязвимости в зависимости от степени серьёзности, эксплуатации, доступных патчей, обновлений и т. д.

Skybox Vulnerability Control может интегрироваться с более чем 140 различными ИТ- и ИБ-системами, такими как инструменты поиска уязвимостей, сетевые устройства, ОС, средства сетевой защиты, SIEM и другие.

Более подробная информация о продукте находится на сайте разработчика.

Обзор сканеров уязвимостей с открытым исходным кодом

Помимо рынка с коммерческими проприетарными версиями продуктов есть также небольшая ниша сканеров с открытым исходным кодом (Open Source). Они являются полностью бесплатными для пользователей при соблюдении требований лицензии.

Наиболее заметными представителями данного сектора являются инструменты Nikto и OpenVAS, которые мы и рассмотрим далее.

Nikto

Сканер уязвимостей Nikto распространяется по лицензии GNU General Public License (GNU GPL). Отличительной особенностью данного инструмента является отсутствие графического интерфейса. Управление сканером осуществляется через интерфейс командной строки.

Nikto позволяет выполнять комплексное сканирование на веб-серверах, охватывая более 6700 потенциально опасных файлов и программ. Сканер проверяет устаревшие версии серверов (1250 единиц) и ищет проблемы, связанные с конкретными версиями (270 единиц), а также проверяет элементы конфигурации, такие как наличие нескольких файлов индекса или параметры HTTP-сервера, и пытается идентифицировать установленные веб-серверы и программное обеспечение. Компоненты Nikto и плагины часто обновляются; новые их версии могут устанавливаться автоматически. Также обеспечивается поддержка методов LibWhisker anti-IDS на случай проверки IDS-системы.

Рисунок 16. Окно с интерфейсом командной строки Nikto с результатами проверки

Отметим следующие возможности сканера:

• Проверка на наличие устаревших серверных компонентов.
• Самостоятельное создание шаблонов отчётов.
• Сканирование нескольких портов на сервере или нескольких серверах с помощью файла ввода (input file).
• Определение установленного программного обеспечения с помощью заголовков, значков (favicons) и файлов.
• Возможность аутентификации хостов с помощью Basic и NTLM.
• Поиск поддоменов.
• Установление имён пользователей Apache и cgiwrap.
• Проверка паролей на стойкость и выявление паролей по умолчанию.
• Возможность интеграции с Metasploit.

Более подробная информация о Nikto находится на сайте разработчика.

OpenVAS

Этот сканер уязвимостей с открытым кодом является разработкой компании Greenbone, которая постоянно его дорабатывает и поддерживает с 2009 г. OpenVAS тоже доступен по лицензии GNU General Public License (GNU GPL).

OpenVAS позволяет осуществлять тестирование с аутентификационными данными и без них, проводить анализ различных высокоуровневых и низкоуровневых сетевых и промышленных протоколов, настройку производительности для крупномасштабного сканирования; имеется широкофункциональный внутренний язык программирования для реализации любого типа тестирования уязвимостей.

OpenVAS реализует активный мониторинг: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки, получает доступ к консоли управления и выполняет там команды. Далее сканер анализирует собранные данные и делает выводы о наличии каких-либо брешей, чаще всего обусловленных наличием на узле необновлённого или небезопасно настроенного ПО.

Сканер использует большую ежедневно пополняемую базу уязвимостей (более 50 000), а также подключение к базе CVE, описывающей известные проблемы безопасности.

Рисунок 17. Окно со списком задач для поиска уязвимостей в OpenVAS

Greenbone разрабатывает OpenVAS как часть своего коммерческого семейства продуктов для управления уязвимостями Greenbone Security Manager (GSM). OpenVAS — это один из элементов более крупной архитектуры. В сочетании с дополнительными модулями с открытым исходным кодом он образует решение Greenbone Vulnerability Management.

Более подробная информация о сканере находится на сайте разработчика.

Выводы

Рассмотренные сканеры уязвимостей, как российские, так и зарубежные, обладают некоторыми сходствами — в частности, поддерживают большинство популярных операционных систем, умеют проводить инвентаризацию ИТ-ресурсов и сканирование сетевых портов, сервисов и веб-приложений, выявляют недостаточно стойкие и установленные по умолчанию пароли, ведут поиск уязвимостей с использованием баз cve.mitre.org и стандарта OVAL, решают задачи по соответствию требованиям стандарта PCI DSS, а также обеспечивают интеграцию с SIEM.

Тем не менее стоит отметить различия между зарубежными и отечественными продуктами: например, российские сканеры дополнительно обеспечивают поиск уязвимостей из Банка данных угроз безопасности информации ФСТЭК России, имеют сертификаты соответствия требованиям отечественного регулятора, позволяют проверять некоторые средства защиты и не поставляются в качестве облачного сервиса.

В свою очередь, зарубежные системы дают возможность обеспечивать защиту конечных точек за счёт использования локальных агентов и облачной платформы. Этот вариант помимо прочего позволяет лучше и оперативнее отслеживать изменения в ИТ-инфраструктуре и вовремя реагировать на новые уязвимости или атаки: ведь при такой схеме узлы сети начинают играть роль сетевых сканеров для мониторинга трафика. Также зарубежные продукты предлагают больше возможностей для интеграции со сторонними системами, такими как IDS / IPS, межсетевые экраны, средства патч-менеджмента, комплексы технической поддержки (service desk) или инструменты для пентестов.

Что касается продуктов с открытым исходным кодом, то нужно сказать, что они также предлагают достаточные для выявления уязвимостей функции, но при этом приходится мириться с не очень удобным интерфейсом и некоторыми ограничениями в части возможностей.

По итогам хочется сказать, что представленные в обзоре сканеры позволят при регулярном их использовании своевременно обнаруживать уязвимости и недостатки в безопасности ИТ-инфраструктуры. Но необходимо отметить, что данный класс средств защиты стремительно развивается и постепенно сканеры превращаются в более масштабные системы, решающие большее количество задач.