Programy do wykrywania luk w systemach ochrony

Gdy podłączamy swoją sieć do Internetu, musimy liczyć się z zagrożeniami, takimi jak hakerzy czy różnego rodzaju złośliwe programy. Gdy sieć się rozbudowuje, często wraz z nią rośnie liczba błędów oprogramowania i luk w systemie ochrony. Oszacowanie stanu zabezpieczeń systemu komputerowego pozwala na identyfikację słabych punktów, zanim wykryje je haker. Do tego celu stosowane są specjalne narzędzia określane mianem vulnerability assesment tools (VA).

Gdy podłączamy swoją sieć do Internetu, musimy liczyć się z zagrożeniami, takimi jak hakerzy czy różnego rodzaju złośliwe programy. Gdy sieć się rozbudowuje, często wraz z nią rośnie liczba błędów oprogramowania i luk w systemie ochrony. Oszacowanie stanu zabezpieczeń systemu komputerowego pozwala na identyfikację słabych punktów, zanim wykryje je haker. Do tego celu stosowane są specjalne narzędzia określane mianem vulnerability assesment tools (VA).

Programy do wykrywania luk w systemach ochrony

Retina Networks Security Scaner - konsola sterująca

Współczesne sieci to często zbiorowiska różnorodnych systemów i platform, obejmujące setki serwerów UNIX, NetWare czy Windows NT/2000, a także komputery przenośne, komputery PC, minikomputery i komputery klasy mainframe. Podstawą rzeczywistego bezpieczeństwa informacji w każdym środowisku informatycznym jest strategia zabezpieczeń, w której zachowana jest równowaga między ryzykiem i kosztami. Strategia taka powinna koncentrować się wokół zapewnienia spójności, dostępności i poufności danych. Jednak zdefiniowanie, wdrożenie i kontrolowanie skutecznej strategii w dużych, wieloplatformowych środowiskach jest zadaniem niezwykle złożonym i pracochłonnym.

Wiele organizacji uważa za wystarczające ustanowienie dobrych reguł polityki bezpieczeństwa: co jest dozwolone, a co nie w zakresie dostępu i operacji. Polityka taka realizowana jest zazwyczaj przy użyciu zapór ogniowych. Zabezpieczenia te wymagają jednak precyzyjnego skonfigurowania. Do tego z kolei jest potrzebna rzetelna wiedza o tym, co hipotetyczny haker może osiągnąć oraz jaki "obszar swobody" (dopuszczony przez zapory ogniowe) jest bezpieczny.

Problem polega na tym, że źle skonfigurowania zapora ogniowa może być bardziej niebezpieczna niż jej brak - a to z powodu złudnego poczucia bezpieczeństwa. Tak więc dla pełnego zabezpieczenia sieci niezbędne jest regularne przeprowadzanie audytu sieci pod kątem bezpieczeństwa. Do tego celu służy oprogramowanie Vulnerability Assesment (VA), a programy tego typu są często nazywane skanerami do wyszukiwania luk w systemach komputerowych.

Analizując typ oprogramowania i jego ustawienia konfiguracyjne w sieci, skanery maja możliwość określenia, czy poszczególne typy ataków są w danej sieci możliwe. Wyszukiwanie słabych punktów staje się jednym z podstawowych działań administratorów odpowiedzialnych za bezpieczeństwo sieci. Wyniki uzyskane w czasie takich procesów pozwalają na formułowanie zaleceń dla użytkowników i ustawianie prawidłowych reguł polityki ochrony.

Skanery do wyszukiwania słabych punktów w systemach komputerowych znane są na rynku od prawie dziesięciu lat. Nie osiągnęły one takiego stopnia dojrzałości, jakiego życzyliby sobie administratorzy sieci. Często raportują fałszywe rozpoznania i odnosi się wrażenie, że ich twórcy wychodzą z bezpodstawnego założenia, iż sama liczba zidentyfikowanych słabych punktów - niezależnie od precyzji rozpoznania - określa wartość produktu.

Niezależnie jednak od tych mankamentów znaczenie skanerów w całym systemie ochrony dużych sieci korporacyjnych stale rośnie. IDC spodziewa się w roku 2004 na tym rynku obrotów około 657 mln USD, wobec 359 mln w roku bieżącym.

Produkty tej kategorii oprogramowania noszą także nazwę środków oceny ryzyka (risk assesment) i dzielą się na dwa rodzaje:

Skanery pasywne, zwane też skanerami hostowymi, pozwalają zazwyczaj na definiowanie reguł polityki ochrony dla maszyn pracujących w sieci (reguły te mogą być odmienne dla poszczególnych urządzeń). Skanery tego rodzaju przeprowadzają audyt każdej maszyny automatycznie, tworząc raporty szczegółowo określające odchylenia od przyjętych reguł (ustawień konfiguracyjnych) związanych z bezpieczeństwem oraz zalecające kroki, jakie w związku z tym należy podjąć. Skanery hostowe identyfikują słabe punkty na poziomie systemowym w zakresie uprawnień do plików, właściwości kont użytkowników czy ustawienia rejestrów. Wymagają one zazwyczaj rozmieszczenia modułów agentów instalowanych w systemach działających w sieci. Agenci przekazują informacje do centralnej bazy danych, z której można generować raporty i administrować systemem. Ponieważ moduły agentów instalowane są w każdym systemie funkcjonującym w sieci, administratorzy mają szerszy zakres kontroli nad systemem niż w przypadku skanerów drugiego rodzaju - skanerów sieciowych. Szereg tego typu rozwiązań integruje się z systemami zarządzania w sposób pozwalający na modyfikowanie reguł bezpieczeństwa i wspomagający odpowiednie konfigurowanie maszyn w sieci.

Drugi typ - skanery aktywne, zwane też sieciowymi - to rozwiązania proaktywne, pełniące rolę "hakera na uwięzi", z mechanizmami symulowania pewnych znanych ataków (np. DoS). W ten sposób administrator może sondować zasoby sieciowe pod kątem odporności na te ataki. Sondując sieć skanerem sieciowym, administrator może uzyskać obraz potencjalnych luk w systemie, a także wskazówki, jak je uszczelnić. Niektóre z tych skanerów wykonują wielokrotne przebiegi sondujące w sieci, wykorzystując informacje zgromadzone we wcześniejszych przebiegach do wzmocnienia ataków w kolejnych próbach.


TOP 200