Narzędzia do analizy słabych punktów
- Józef Muszyński,
- Joel Snyder,
- 15.11.2012, godz. 08:30
Analiza słabych punktów $(VA - Vulnerability Analysis)$ obejmuje wyszukiwanie niezałatanych systemów, niezabezpieczonych katalogów oraz błędów konfiguracyjnych. Naturalnym rozszerzeniem tych funkcji jest kontrola zgodności z regułami bezpieczeństwa $(compliance)$. Prezentujemy ocenę działania czterech produktów VA.
Przedstawiamy wyniki testów narzędzi VA (Vulnerability Analysis) czterech producentów: McAfee, Qualys, eEye i Lumension. Z wyjątkiem ostatniego, wszystkie zawierały rozbudowany komponent compliance.
Polecamy Testy penetracyjne pomogą w obronie przed cyberatakami
W analizatorach słabych punktów moduł compliance składa się z 2 części: pierwsza służy do definiowania i kontrolowania zasad polityki zgodności, druga - do tworzenia raportów ze specyficznych kontroli, wynikających z obowiązujących przepisów ogólnych lub regulacji wewnętrznych.
Właściwie użyte narzędzie VA może ułatwić opanowanie zabezpieczeń setek serwerów, urządzeń sieciowych i systemów zagnieżdżonych. Podpowie również, gdzie należy skupić wysiłki w zakresie poprawy bezpieczeństwa. Jednak niewłaściwe korzystanie z tych narzędzi może doprowadzić do powstania tysięcy stron kłopotliwych informacji oraz frustrację zespołów odpowiedzialnych za bezpieczeństwo, a problemów przybędzie.
Skanowanie słabych punktów
Wszystkie analizatory mają wspólny rdzeń: skaner do wynajdywania słabych punktów. Jeżeli planujemy przeprowadzanie testów penetracyjnych sieci, to skaner jest wszystkim, czego potrzebujemy.
W niektórych narzędziach (np. eEye Retina CS) skaner jest niezależną jednostką, która może być uruchamiana bez raportowania i narzędzi zarządzania. W innych (np. QualysGuard) skaner jest nierozdzielnym elementem.
W testach sprawdzano także, czy skanery nie wykazują luk, których w istocie nie ma (fałszywe trafienia - false positive). Niektóre skanery traktowały pewne pliki jako słaby punkt. Z wyjątkiem Qualys, fałszywe trafienia zdarzały się wszystkim skanerom.
Kiedy skaner raportuje luki, ważne by były dostarczane informacje uzupełniające. Gdy np. jeden ze skanerów raportuje lukę: "użytkownik nigdy się nie logował na serwerze Windows", nie podając, który to użytkownik, to jaką wartość ma taka informacja? McAfee i Qualys w zakresie informacji uzupełniających w teście spisywały się dobrze, narzędzia eEye i Lumension - gorzej.
Wszystkie testowane narzędzia obsługują Windows, ale już inne systemy, takie jak Unix czy Mac - w różnym zakresie. Zróżnicowany też jest zakres obsługi infrastruktury: przełączniki, bazy danych, routery.