Narzędzia do testów penetracyjnych

Narzędzia do przeprowadzania testów penetracyjnych identyfikują luki w zabezpieczeniach, często jeszcze zanim znajdą je hakerzy. Najlepsi specjaliści do spraw bezpieczeństwa korzystają ze skanera NMAP opracowanego przez Gordona Lyona. Działa on jak narzędzie do przeprowadzania testów penetracyjnych, skanując porty i wskazując miejsca podatne na zagrożenia. ‘NMAP jest pierwowzorem wszystkich obecnie dostępnych darmowych skanerów open source. Jest bardzo skuteczny w analizowaniu słabszych elementów sieci’, mówi Ben Cotton. O ile NMAP doskonale sprawdza się w skanowaniu dużych sieci dzięki możliwości działania na dużą skalę, nie oferuje jednak żadnej funkcji w zakresie reagowania na incydenty.

Wireshark, szeroko używany analizator ruchu sieciowego opracowany przez Geralda Combsa, to kolejne popularne, darmowe narzędzie do przeprowadzania testów penetracyjnych, w głównej mierze obsługiwane przez Riverbed. ‘Wireshak to prawdopodobnie najlepszy analizator służący do zbierania pakietów w sieci’, twierdzi Ben Cotton. Wireshark nie jest jednak skalowalny, dlatego nie jest w stanie uchwycić plików o rozmiarach przekraczających 100 MB.

Zobacz również:

• Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google

Narzędzia informatyki śledczej

Narzędzia informatyki śledczej umożliwiają organizacji badanie naruszeń bezpieczeństwa, które miały miejsce w przeszłości lub dzieją się obecnie. Darmowy projekt open source od Google – GRR – umożliwia reagowanie na incydenty w czasie rzeczywistym za pomocą interakcji między serwerami Python GRR i agentami Python. Można skorzystać z agentów GRR w systemach Windows, Linux i OS X, by uruchomić narzędzie do analityki śledczej w obrębie pamięci systemu. Chociaż jest to dobre narzędzie, nie ma pewności co do jego skalowalność w kontekście zastosowania w dużej organizacji. ‘Czułbym się komfortowo, obsługując 10 maszyn korzystających z darmowego projektu GRR’, twierdzi jednak Ben Cotton.

Często używana łącznie para narzędzi do analityki śledczej Autopsy i SleuthKit od różnych deweloperów (Briana Carriera i @stake) służy do analizy komputerowych dysków twardych i smartfonów, jak również obrazów dysków. Deweloperzy oferują wersje na systemy operacyjne Windows, Linux i Max. ‘Chociaż są to rzetelne i udane narzędzia informatyki śledczej, Autopsy i SleuthKit nie posiadają skalowalności niezbędnej do skutecznego działania w obrębie całej sieci’, mówi Ben Cotton.

Kolejne narzędzie do analizy pamięci, czyli framework open source od Volatility Foundation, to dobre narzędzie informatyki śledczej bazujące na analizie wersji uruchomieniowej systemu z wykorzystaniem danych znalezionych w pamięci ulotnej (RAM)”.

‘Rozwiązanie Volatility Foundation pozwala na uchwycenie pamięci z większości systemów Windows i wyciągnięcie z niej danych o procesach, otwartych portach i połączeniach sieciowych. Posiada ono również wbudowany układ logiczny, który pomaga w identyfikacji złośliwego oprogramowania działającego w obrębie pamięci’, mówi Greg Kelley, EnCE, DFCP, Vestige Digital Investigations.

‘Mogę z czystym sumieniem polecić framework open source od Volatility Foundation do analizy pamięci. Jego minusem jest jednak to, że przed rozpoczęciem analizy trzeba samemu stworzyć obraz pamięci, dlatego trzeba umieć wykonać zrzut pamięci lub coś podobnego, i uzyskać obraz aktywnej pamięci RAM, a następnie przeanalizować ten obraz za pomocą narzędzia Volatility. Narzędzie to określa standardy dla procesów, które nazywam analizą śledczą pamięci w trybie offline’, wyjaśnia Ben Cotton.

Takich rozwiązań jest więcej

Powyższe przykłady stanowią zaledwie garstkę dostępnych darmowych narzędzi cyberbezpieczeństwa, jeśli weźmiemy pod uwagę wszystkie projekty typu open source i wersje testowe oprogramowania na całym świecie. Żadnej firmie nie zaszkodzi przeprowadzenie szczegółowego audytu ani wprowadzenie jednego lub więcej takich rozwiązań. Tym bardziej, że wpłynie to znacznie na poziom oszczędności. Warto też porównać funkcje oferowane przez darmowe i płatne narzędzia, by zastanowić się, czy przypadkiem nie należałoby oczekiwać czegoś więcej od rozwiązań premium oferowanych przez regularnych dostawców.