Narzędzia do analizy słabych punktów

Analiza słabych punktów $(VA - Vulnerability Analysis)$ obejmuje wyszukiwanie niezałatanych systemów, niezabezpieczonych katalogów oraz błędów konfiguracyjnych. Naturalnym rozszerzeniem tych funkcji jest kontrola zgodności z regułami bezpieczeństwa $(compliance)$. Prezentujemy ocenę działania czterech produktów VA.

Przedstawiamy wyniki testów narzędzi VA (Vulnerability Analysis) czterech producentów: McAfee, Qualys, eEye i Lumension. Z wyjątkiem ostatniego, wszystkie zawierały rozbudowany komponent compliance.

Typowe skanowanie słabych punktów polega na wyszukiwaniu systemów bez aktualnych łatek bezpieczeństwa, pozbawionych ochrony usług katalogowych czy błędów konfiguracyjnych. Natomiast kontrola zgodności z obowiązującymi przepisami (compliance) wprowadza analizę środowiska pod kątem określonych regulacji prawnych czy wewnętrznych. Może to dotyczyć np. wymogu, aby stacje CD/DVD w systemie mogły być używane tylko przez użytkowników logujących się lokalnie. Nie chodzi tu w rzeczywistości o żadne luki, lecz o pewnego rodzaju sposób na zaostrzenie polityki bezpieczeństwa.

Polecamy Testy penetracyjne pomogą w obronie przed cyberatakami

W analizatorach słabych punktów moduł compliance składa się z 2 części: pierwsza służy do definiowania i kontrolowania zasad polityki zgodności, druga - do tworzenia raportów ze specyficznych kontroli, wynikających z obowiązujących przepisów ogólnych lub regulacji wewnętrznych.

Właściwie użyte narzędzie VA może ułatwić opanowanie zabezpieczeń setek serwerów, urządzeń sieciowych i systemów zagnieżdżonych. Podpowie również, gdzie należy skupić wysiłki w zakresie poprawy bezpieczeństwa. Jednak niewłaściwe korzystanie z tych narzędzi może doprowadzić do powstania tysięcy stron kłopotliwych informacji oraz frustrację zespołów odpowiedzialnych za bezpieczeństwo, a problemów przybędzie.

Skanowanie słabych punktów

Wszystkie analizatory mają wspólny rdzeń: skaner do wynajdywania słabych punktów. Jeżeli planujemy przeprowadzanie testów penetracyjnych sieci, to skaner jest wszystkim, czego potrzebujemy.

W niektórych narzędziach (np. eEye Retina CS) skaner jest niezależną jednostką, która może być uruchamiana bez raportowania i narzędzi zarządzania. W innych (np. QualysGuard) skaner jest nierozdzielnym elementem.

W testach sprawdzano także, czy skanery nie wykazują luk, których w istocie nie ma (fałszywe trafienia - false positive). Niektóre skanery traktowały pewne pliki jako słaby punkt. Z wyjątkiem Qualys, fałszywe trafienia zdarzały się wszystkim skanerom.

Kiedy skaner raportuje luki, ważne by były dostarczane informacje uzupełniające. Gdy np. jeden ze skanerów raportuje lukę: "użytkownik nigdy się nie logował na serwerze Windows", nie podając, który to użytkownik, to jaką wartość ma taka informacja? McAfee i Qualys w zakresie informacji uzupełniających w teście spisywały się dobrze, narzędzia eEye i Lumension - gorzej.

Wszystkie testowane narzędzia obsługują Windows, ale już inne systemy, takie jak Unix czy Mac - w różnym zakresie. Zróżnicowany też jest zakres obsługi infrastruktury: przełączniki, bazy danych, routery.