Programy do wykrywania luk w systemach ochrony

Każda organizacja podłączająca swoją sieć do Internetu otwiera się na możliwość jej penetracji przez hakerów czy też różnego rodzaju złośliwe programy. W miarę rozbudowy sieci wzrasta również prawdopodobieństwo pojawienia się w niej coraz większej liczby błędów oprogramowania i luk w systemach ochrony.

Każda organizacja podłączająca swoją sieć do Internetu otwiera się na możliwość jej penetracji przez hakerów czy też różnego rodzaju złośliwe programy. W miarę rozbudowy sieci wzrasta również prawdopodobieństwo pojawienia się w niej coraz większej liczby błędów oprogramowania i luk w systemach ochrony.

Programy do wykrywania luk w systemach ochrony

Przykłady narzędzi do wykrywania luk w systemach ochrony

Oszacowanie stanu zabezpieczeń systemu komputerowego pracującego w sieci pozwala na identyfikację jego słabych punktów, zanim wykryje je haker. Do tego celu stosowane są specjalne narzędzia, określane mianem Vulnerability Assesment tools (VA).

Skanowanie typu VA jest procesem kontroli wszystkich potencjalnych luk wykorzystywanych przez hakerów do atakowania systemów komputerowych. Analizując typ oprogramowania funkcjonującego w sieci i jego ustawienia konfiguracyjne, skanery mają możliwość określenia, czy poszczególne typy ataków są możliwe do przeprowadzenia w danym systemie. Wyniki uzyskane w czasie takich procesów pozwalają na formułowanie zaleceń dla użytkowników oraz ustanowienie prawidłowych reguł polityki ochrony.

Skanery do wyszukiwania słabych punktów w systemach komputerowych znane są na rynku od prawie 10 lat. Nie osiągnęły one jednak takiego stopnia dojrzałości, jakiego życzyliby sobie administratorzy sieci. Często raportują fałszywe rozpoznania i odnosi się wrażenie, że ich twórcy wychodzą z bezpodstawnego założenia, iż sama liczba zidentyfikowanych słabych punktów - niezależnie od precyzji rozpoznania - określa wartość produktu.

Pomimo tych mankamentów znaczenie skanerów w systemie ochrony dużych sieci korporacyjnych stale rośnie. IDC spodziewa się na tym rynku obrotów w wysokości 657 mln USD w 2004 r. (359 mln w 2002 r.).

Rozwiązania z tej kategorii oprogramowania, noszące także nazwę produktów oceny ryzyka (risk assesment), dzielą się na dwa rodzaje: skanery pasywne i aktywne.

Skanery pasywne

Zwane też skanerami hostowymi, pozwalają zazwyczaj na definiowanie reguł polityki ochrony dla maszyn pracujących w sieci. Skanery tego rodzaju przeprowadzają audyt każdej maszyny automatycznie, tworząc raporty szczegółowo specyfikujące odchylenia od przyjętych reguł polityki ustawień konfiguracyjnych na poszczególnych maszynach oraz zalecające kroki, jakie w związku z tym należy podjąć.

Skanery hostowe identyfikują słabe punkty na poziomie systemowym w obszarach, takich jak: uprawnienia do plików, właściwości kont użytkowników czy ustawienia rejestrów. Wymagają zazwyczaj rozmieszczenia modułów agentów instalowanych w systemach działających w sieci. Agenci przekazują informacje do centralnej bazy danych, z której użytkownik może generować raporty i administrować systemem. Ponieważ moduły agentów są instalowane w każdym systemie funkcjonującym w sieci, administratorzy mają szerszy zakres kontroli nad systemem niż w przypadku skanerów drugiego rodzaju - skanerów sieciowych. Wiele tego typu rozwiązań integruje się z systemami zarządzania w sposób pozwalający na modyfikowanie reguł polityki ochrony i wspomagający prawidłowe konfigurowanie maszyn w sieci, spełniając wymagania przyjętej polityki ochrony.

Skanery aktywne

Zwane też sieciowymi, to rozwiązania proaktywne, pełniące rolę swego rodzaju "hakera na uwięzi", zapewniające mechanizmy symulowania pewnych znanych ataków (np. DoS), z pomocą których administrator może sondować zasoby sieciowe pod kątem odporności na te ataki. Sondując sieć skanerem sieciowym administrator może często uzyskiwać wyraźny obraz potencjalnych luk w systemie, a także wskazówki, jak je uszczelnić. Niektóre z tych systemów dokonują wielokrotnych przebiegów sondujących w sieci, używając informacji zgromadzonych we wcześniejszych przebiegach do wzmocnienia siły ataków w kolejnych próbach.

Skanery sieciowe skupiają się na identyfikacji problemów w usługach dostępnych w systemach funkcjonujących w sieci, takich jak HTTP, FTP czy SMTP. Nadają się one przede wszystkim do rozpoznawania systemów pracujących w sieci, usług funkcjonujących w tych systemach i słabych punktów istniejących w usługach. Skanery sieciowe zazwyczaj nie zapewniają szczegółowej informacji ani też tak szczegółowej kontroli specyficznych systemów jak skanery hostowe, natomiast dostarczają bardziej szczegółowej informacji o usługach i sieci. Ponadto nie wymagają instalowania agentów na wszystkich maszynach w sieci, co jest konieczne w przypadku systemów hostowych.

Linia podziału pomiędzy skanerami hostowymi a sieciowymi często nie jest zbyt wyraźna. Wiele skanerów sieciowych zawiera funkcje dostępne w systemach hostowych (mechanizm autopoprawek, analiza uprawnień w rejestrach i właściwości kont użytkowników).

Nowym elementem przy ocenie słabych punktów systemów jest pojawienie się usług online w tym zakresie, świadczonych przez wyspecjalizowanych usługodawców. Usługi te zapewniają automatyczny i kosztowo efektywny sposób kontroli podatności urządzeń obwodowych sieci na potencjalne ataki, a nawet w niektórych przypadkach skanowanie systemów wewnętrznych.


TOP 200