Dziura na radarze

Skanery zabezpieczeń pozwalają regularnie sprawdzać stan zabezpieczeń środowiska informatycznego pod kątem znanych słabości. Z oceny stanu bezpieczeństwa człowieka nie da się jednak wyeliminować - zebrane wyniki ktoś musi sprawdzić i zinterpretować.

Skanery zabezpieczeń pozwalają regularnie sprawdzać stan zabezpieczeń środowiska informatycznego pod kątem znanych słabości. Z oceny stanu bezpieczeństwa człowieka nie da się jednak wyeliminować - zebrane wyniki ktoś musi sprawdzić i zinterpretować.

Współczesne środowiska informatyczne są wielokrotnie bardziej skomplikowane niż jeszcze pięć czy dziesięć lat temu. Przybywa warstw, protokołów, interfejsów, dzięki którym biznes może działać "szybciej" i osiągać "więcej". Ten wzrost funkcjonalności odbywa się jednak nieuchronnie przez zwiększanie ilości kodu, co, pomimo doskonalenia narzędzi programistycznych i kompilatorów, przekłada się na coraz większe ryzyko wystąpienia błędów krytycznych z punktu widzenia bezpieczeństwa. Jedynym rozsądnym działaniem jest w tej sytuacji stałe upewnianie się, czy któryś ze składników środowiska oraz środowisko jako całość spełniają założony poziom bezpieczeństwa.

Aby móc odpowiedzialnie wypowiedzieć się o stanie bezpieczeństwa całego centrum danych, ludzie muszą wesprzeć się narzędziami automatyzującymi najbardziej żmudny etap pracy - tzw. skanerami zabezpieczeń (vulnerability assessment tools lub vulnerability scanners). Bez nich proces "upewniania się" trwałby miesiącami, co z reguły nie wchodzi w grę. Skoro najcięższą pracę wykonują narzędzia, ludziom pozostaje "tylko" modelowanie parametrów ich pracy i interpretowanie zebranych wyników.

Automat się nie męczy

Twórcy współczesnych skanerów zabezpieczeń wychodzą naprzeciw zapotrzebowaniu na testowanie w kontekście przyjętej w organizacji polityki bezpieczeństwa, umożliwiając definiowanie zestawów testów oraz tzw. reguł testowania (testing policy). Przy ich użyciu stosunkowo łatwo można sprawdzić, czy przyjęte plany i instrukcje bezpieczeństwa są realizowane w praktyce, np. czy hasła są wystarczająco silne, albo czy używane oprogramowanie jest podatne na znane ataki. Narzędzia pomagają więc identyfikować zagrożenia, oceniać potencjalne niebezpieczeństwa oraz nadawać im priorytety, zasadniczo ułatwiając i racjonalizując pracę osób odpowiedzialnych za bezpieczeństwo, a pośrednio także wydatki z tym związane.

Narzędzia automatyczne naśladują typowe działania podejmowane przy testach bezpieczeństwa. Pamiętajmy jednak, że w testowaniu bezpieczeństwa zawsze należy pozostawić miejsce na pierwiastek ludzki - w końcu zabezpieczenia są budowane w celu uniemożliwienia szkodliwej działalności ludzi - (intruzów), nawet jeżeli ci także posługują się narzędziami.

Wdrożenie skanerów zabezpieczeń bywa niekiedy porównywane z wewnętrznymi testami penetracyjnymi. Nie do końca słusznie. Niewątpliwie oprogramowanie pozwala stosunkowo niewielkim kosztem sprawdzić ogólny poziom zabezpieczeń i zapewnić powtarzalność tego procesu w dłuższej perspektywie. Skanery mają jednak poważną wadę - brak im "inteligencji" w postaci bardziej zaawansowanych mechanizmów wnioskowania. Zdarza się im popełniać "głupie" błędy lub przeoczyć oczywiste fakty. Większość współczesnych standardów dotyczących bezpieczeństwa systemów informatycznych zaleca okresowe testy penetracyjne, w połączeniu z częstym bądź ciągłym stosowaniem narzędzi automatycznych.

Skanery automatyczne rozwijają się w dwu niezależnych kierunkach. Pierwsza grupa to skanery systemowe, symulujące typowy przegląd zabezpieczeń polegający na sprawdzeniu konfiguracji każdego systemu wchodzącego w skład środowiska informatycznego. Narzędzia te instaluje się na systemie, który ma być testowany. Druga grupa narzędzi to skanery sieciowe, które emulują test penetracyjny sieci. W tym przypadku skaner sieciowy instaluje się na dedykowanej stacji roboczej lub serwerze.

Skanery w akcji

Narzędzia do testowania bezpieczeństwa nie wymagają od ich operatora dużej wiedzy o zabezpieczeniach konkretnych systemów. Zazwyczaj dysponują prostym, intuicyjnym interfejsem użytkownika, a ich użytkownik nie jest przytłaczany nadmiarem opcji.

To co najistotniejsze kryje się "pod maską". Chodzi oczywiście o zaawansowane mechanizmy testujące oraz bazę sygnatur znanych błędów (podatności). Wiedza zebrana w sygnaturach to efekt pracy wielu ludzi. Uruchomienie skanera można więc porównać do zatrudnienia armii ekspertów znających się na kwestiach bezpieczeństwa poszczególnych systemów, aplikacji i urządzeń sieciowych. Nie można jednak zapominać, że "eksperci" ci działają wg ściśle określonych list kontrolnych i nie będą ani na jotę bardziej kreatywni, niż zostało to przewidziane przez twórców programu. Automat zapewnia jedynie powtarzalność, co oczywiście jest cenne.

Testowanie zabezpieczeń za pomocą skanera (zarówno systemowego, jak i sieciowego) niezależnie od konkretnego narzędzia zawsze przebiega wg podobnego scenariusza:

1. Konfiguracja - ustawienie opcji działania skanera, np. rodzaju skanowania portów.

2. Wybór celu - wybór zakresu adresów IP, które będą testowane. Dopuszczalny zakres skanowania jest czasami ograniczony przez licencje. Skanery systemowe opierają się na wielu agentach zainstalowanych na poszczególnych systemach, kontrolowanych z pojedynczej konsoli zarządzającej. W takim przypadku, również w skanerze systemowym, należy wybrać cel testów.

3. Wybór reguł testowania - niekiedy błędnie nazywany "polityką testowania". Reguły testowania tozestaw testów, które będą wykonywane, oraz zestaw parametrów, podlegających sprawdzeniu, np. uprawnienia użytkowników, czas wygasania haseł, długość haseł, prawa dostępu itp.

Testy wybiera się z bazy, która stanowi integralną część skanera.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200