Програми для сканування мережі на вразливості. Порівняння мережевих сканерів безпеки. Порівняння сканерів уразливостей мережі

ОГЛЯД І ПОРІВНЯННЯ СКАНЕРІВ ВРАЗНОВ

Рожкова Катерина Олегівна

студент 4 курсу, кафедра суднової автоматики та вимірювань СПбДМТУ, РФ, м. Санкт-Петербург

E- mail: rina1242. ro@ gmail. com

Ільїн Іван Валерійович

студент 4 курсу, кафедра безпечних інформаційних технологій

СПб НДУ ІТМО, РФ, м. Санкт-Петербург

E- mail: vanilin. va@ gmail. com

Галушин Сергій Якович

науковий керівник, канд. техн. наук, зам.проректора з науковій роботі, РФ, м. Санкт-Петербург

Для високого рівня безпеки необхідно застосовувати не лише міжмережеві екрани, але й періодично проводити заходи щодо виявлення вразливостей, наприклад, за допомогою сканерів уразливості. Своєчасне виявлення слабких місць у системі дозволить запобігти несанкціонованому доступу та маніпуляції з даними. Але який варіант сканера найбільше відповідає потребам конкретної системи? Щоб відповісти на це питання, перш за все необхідно визначитися з вадами в системі безпеки комп'ютера або мережі. Згідно зі статистикою, більшість атак відбувається через відомі та опубліковані «лазівки» безпеки, які можуть бути не ліквідовані з багатьох причин, чи це брак часу, персоналу чи некомпетентність системного адміністратора. Також слід розуміти, що зазвичай систему недоброзичливець може проникнути кількома способами, і якщо один із способів не спрацює, порушник завжди може випробувати інший. Для забезпечення максимального рівня безпеки системи потрібно ретельний аналіз ризиків та подальше складання чіткої моделі загроз, щоб точніше передбачити можливі діїгіпотетичного злочинця.

Як найпоширеніші вразливості можна назвати переповнення буфера, можливі помилки в конфігурації маршрутизатора або міжмережевого екрану, вразливості Web-сервера, поштових серверів, DNS-серверів, баз даних. Крім цього, не варто оминати одну з найтонших областей інформаційної безпеки- керування користувачами та файлами, оскільки забезпечення рівня доступу користувача з мінімальними привілеями - специфічне завдання, що вимагає компромісу між зручністю роботи користувача та забезпеченням захисту системи. Необхідно згадати проблему порожніх чи слабких паролів, стандартних облікових записів та проблему загального витоку інформації.

Сканер безпеки – це програмний засібдля віддаленої чи локальної діагностики різних елементівмережі щодо виявлення у яких різних уразливостей; вони дозволяють значно скоротити час роботи фахівців та полегшити пошук уразливостей.

Огляд сканерів безпеки

У цій роботі розглядалися сканери, що мають безкоштовну тріал-версію, що дозволяє використовувати програмне забезпечення для ознайомлення з обмеженим списком його можливостей та оцінкою простоти інтерфейсу. Як предмети огляду вибрані такі популярні сканери вразливостей: Nessus, GFI LANguard, Retina, Shadow security scaner, Internet Scanner.

Nessus

Nessus - програма для автоматичного пошуку відомих вад у захисті інформаційних систем. Вона здатна виявити найпоширеніші види вразливостей, наприклад наявність уразливих версій служб або доменів, помилки в конфігурації (відсутність необхідності авторизації на SMTP-сервері), наявність паролів за промовчанням, порожніх або слабких паролів.

Сканер Nessus є потужним і надійним засобом, який відноситься до сімейства мережевих сканерів, що дозволяють здійснювати пошук уразливостей у мережевих сервісах, пропонованих операційними системами, міжмережевими екранами, маршрутизаторами, що фільтрують, та іншими мережевими компонентами. Для пошуку вразливостей використовуються як стандартні засобитестування та збору інформації про конфігурацію та функціонування мережі, так і спеціальні засоби, що емулюють дії зловмисника щодо проникнення в системи, підключені до мережі.

У програмі є можливість підключення власних перевірочних процедур або шаблонів. Для цього в сканері передбачена спеціальна мова сценаріїв, названа NASL (Nessus Attack Scripting Language). База вразливостей постійно повнішає та оновлюється. Зареєстровані користувачі одразу отримують всі оновлення, тоді як інші (тріал-версії і т. д.) з деякою затримкою.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) - це відзначене нагородою рішення, що використовує для захисту три основні компоненти: сканер безпеки, керування внесенням виправлень та мережевий контроль за допомогою однієї об'єднаної консолі. Переглядаючи всю мережу, він визначає все можливі проблемибезпеки і, використовуючи свої великі функціональні можливостіщодо створення звітів, надає кошти, необхідні для виявлення, оцінки, опису та усунення будь-яких загроз.

У процесі перевірки безпеки проводиться понад 15 000 оцінок уразливості, а мережі перевіряються за кожною IP-адресою. GFI LanGuard N.S.S. надає можливість виконання багатоплатформного сканування (Windows, Mac OS, Linux) по всіх середовищах та аналізує стан мережі по кожному джерелу даних. Це забезпечує можливість ідентифікації та усунення будь-яких загроз, перш ніж хакери досягнуть свого.

GFI LanGuard N.S.S. поставляється з повною та вичерпною базою даних оцінки вразливостей, що включає такі стандарти як OVAL (більше 2 000 значень) та SANS Top 20. Ця база даних регулярно оновлюється інформацією від BugTraq, SANS Corporation, OVAL, CVE та ін. Завдяки системі автоматичного оновлення GFI LanGuard N.S.S. завжди містить новітні відомості про оновлення Microsoft в області захисту, а також інформацію від GFI та інших сховищ, таких як база даних OVAL.

GFI LanGuard N.S.S. сканує комп'ютери, визначає та класифікує вразливості, рекомендує дії та надає засоби, що дозволяють усунути проблеми, що виникли. GFI LANguard N.S.S. також використовує графічний індикатор рівня загрози, який забезпечує інтуїтивну, виважену оцінку стану вразливості перевіреного комп'ютера чи групи комп'ютерів. За можливості надається посилання або додаткова інформаціяз певного питання, наприклад, ідентифікатор у BugTraq ID або в базі знань Microsoft.

GFI LanGuard N.S.S. дозволяє легко створювати власні схеми перевірки вразливості за допомогою майстра. За допомогою машини сценаріїв VBScript також можна писати складні схеми перевірки вразливості для GFI LanGuard N.S.S. GFI LanGuard N.S.S. включає редактор сценаріїв та відладчик.

Retina

Retina Network Security Scanner, сканер уразливостей мережі компанії BeyondTrust, виявляє відомі вразливості мережі та здійснює пріоритезацію загроз для їх подальшого усунення. У процесі використання програмного продуктувідбувається визначення всіх комп'ютерів, пристроїв, ОС, додатків та бездротових мереж.

Користувачі також можуть використовувати Retina для оцінки ризиків інформаційної безпеки, управління ризиками проектів та виконання вимог стандартів за допомогою аудитів згідно з політикою підприємства. Цей сканер не запускає код вразливості, тому сканування не призводить до втрати працездатності мережі та аналізованих систем. З використанням фірмової технології Adaptive Speed ​​на сканування локальної мережікласу С потрібно близько 15 хвилин, цьому сприяє Adaptive Speed ​​- технологія швидкісного безпечного сканування мережі. Крім того, гнучкі можливості налаштування області сканування дозволяють системному адміністраторуаналізувати безпеку всієї мережі чи заданого сегмента, не впливаючи на роботу сусідніх. Відбувається автоматичне оновленнялокальних копій бази, тому аналіз мережі проводиться на основі найбільш актуальних даних. Рівень хибних спрацьовувань становить менше 1%, існує гнучкий контроль доступу до системного реєстру.

Shadowsecurityscaner (SSS)

Даний сканер може використовуватися для надійного виявлення як відомих, так і не відомих (на момент випуску нової версіїпродукту) уразливостей. При скануванні системи SSS аналізує дані, зокрема, щодо вразливих місць, вказує можливі помилки у конфігурації сервера. Крім цього, сканер пропонує можливі шляхи вирішення цих проблем та виправлення вразливостей у системі.

Як технологія «лазівок» у системі використовується ядро ​​власної розробки компанії-виробника Shadow Security Scanner. Можна відзначити, що працюючи по ОС Windows, SSS скануватиме сервери незалежно від їх платформи. Прикладами платформ можуть бути Unix-платформи (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows-платформи (95/98/ME/NT/2000/XP/.NET/Win 7 та 8). Shadow Security Scanner здатний також визначати помилки в обладнанні CISCO, HP та інших. Даний сканер створено вітчизняними розробниками, і, відповідно, має російський інтерфейс, а також документацію та лінію гарячої підтримки на ньому.

InternetScanner

Даний сканер забезпечує автоматизоване виявлення та аналіз уразливостей в корпоративної мережі. Серед можливостей сканера - реалізація низки перевірок для подальшої ідентифікації вразливостей мережевих сервісів, ОС, маршрутизаторів, поштових та web-серверів, міжмережевих екранів та прикладного програмного забезпечення. Internet Scanner може виявити та ідентифікувати більше 1450 уразливостей, до яких можуть бути віднесені некоректна конфігурація мережевого обладнання, застаріле програмне забезпечення, мережні сервіси, що не використовуються, «слабкі» паролі і т. д. . Передбачено можливість перевірок FTP, LDAP та SNMP-протоколів, перевірок електронної пошти, перевірки RPC, NFS, NIS та DNS, перевірок можливості здійснення атак типу «відмова в обслуговуванні», «підбір пароля», перевірок Web-серверів, CGI-скриптів, Web -браузерів та X-терміналів. Крім того, існує можливість перевірки міжмережевих екранів, proxy-серверів, сервісів віддаленого доступу, файлової системи, підсистеми безпеки та підсистеми аудиту, системного реєстру та встановлених оновленьОС Windows і т. д. Internet Scanner дозволяє аналізувати наявність однієї вразливості на заданій ділянці мережі, наприклад перевірку установки конкретного патча операційної системи. Internet Scanner може працювати на сервері Windows NT також підтримує ОС AIX, HP-UX, Linux і Solaris.

Перш ніж вибрати критерії порівняння, слід наголосити, що критерії повинні охоплювати всі аспекти використання сканерів безпеки: починаючи від методів збирання інформації та закінчуючи вартістю . Використання сканера безпеки починається з планування розгортання та самого розгортання. Тому перша група критеріїв стосується архітектури сканерів безпеки, взаємодії їх компонентів, інсталяції, керування. Наступна група критеріїв - сканування - має охопити методи, використовувані порівнюваними сканерами до виконання перелічених дій, і навіть інші параметри, пов'язані з зазначеними етапами роботи програмного продукту. Також до важливих критеріїв відносяться результати сканування, зокрема, як вони зберігаються, які можуть бути сформовані звіти на їх основі. Наступні критерії, на яких варто було б загострити увагу, це критерії оновлення та підтримки, які дозволяють з'ясувати такі питання, як методи та способи оновлення, рівень технічної підтримки, Наявність авторизованого навчання і т. д. Остання група включає в себе єдиний, але дуже важливий критерій - вартість.

· Підтримувані системи;

· Дружність інтерфейсу;

· Можливості сканування (профілі сканування);

· Можливість налаштування профілів (наскільки гнучко);

· Ідентифікація сервісів та додатків;

· Ідентифікація вразливостей;

· генерація звіту (формати);

· Можливість генерації довільного звіту (свої);

· Частота оновлення;

· Технічна підтримка.

Таблиця 1. Порівняння сканерів уразливостей
Сканер		GFI LanGuard
Вартість	131400 р/рік	1610 нар. за IP-адресу. Чим більше IP адрес, тим менша вартість		Вартість варіюється в залежності від кількості IP адрес Від 30000 р за 64 IP до 102000 за 512 IP	Вартість варіюється в залежності від кількості IP адрес (номінал - 6000 р)
Піддер системи, що живаються	мінне ПЗ	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux та Solaris
Дружест венність інтер фейсу	Простий і зрозумілий інтерфейс	Простий і зрозумілий інтерфейс	Зрозумілий інтерфейс	Дружній та зрозумілий інтерфейс	Зрозумілий інтерфейс
Можливий ності скані рування	Гнучка система налаштувань, тип та параметри сканування варіюються, можливе анонімне сканування. Можливі варіантисканування: SYN scan, FIN scan - чистий FIN запит; Xmas Tree -включає у запит FIN, URG, PUSH; Null scan, FTP bounce scan, Ident scan, UDP scan і т. д. Також є можливість підключення власних перевірочних процедур, для чого передбачена спеціальна мова сценаріїв - NASL (Nessus Attack Scripting Language). Сканер використовує як стандартні засоби тестування та збору інформації про конфігурацію та функціонування мережі, так і спеціальні засоби, що емітують дії потенційного порушника щодо проникнення в системи.	Сканування TCP/IP та UDP портів. Відбувається перевірка ОС, віртуальних середовищ та додатків, мобільних пристроїв; при цьому використовуються бази даних OVAL та SANS Top 20.	Виявлення вразливостей відбувається за допомогою тесту на проникнення, а оцінка ризиків та визначення пріоритету їхнього зменшення - на основі оцінки ймовірності експлуатації. Уразливості (з Core Impact®, Metasploit®, Exploit-db), CVSS та інших факторів.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS єдиний сканер у світі, який перевіряє проксі сервера щодо аудитів - інші сканери просто визначають наявність порту), LDAP (єдиний сканер у світі, який перевіряє LDAP сервера щодо аудитів -інші сканери просто визначають наявність порту),HTTPS,SSL, TCP/IP, UDP, Registry тощо. Просте створення власних звітів.	Перевірки FTP, LDAP та SNMP; перевірки електронної пошти; перевірки RPC, NFS, NIS та DNS; перевірки можливості здійснення атак типу "відмова в обслуговуванні"; перевірки на наявність атак типу "підбір пароля" (Brute Force); перевірки web-серверів та CGI-скриптів, web-браузерів та X-терміналів; перевірки міжмережевих екранів та proxy-серверів; перевірки послуг віддаленого доступу; перевірки файлової системи Windows; перевірки підсистеми безпеки та підсистеми аудиту ОС Windows; перевірки системного реєстру та встановлених оновлень ОС Windows; перевірки наявності модемів у мережі та присутності «троянських коней»; перевірки сервісів та демонів; перевірки облікових записів.
Іденті фікація сервісів та приклад одружений	Якісна реалізація процедури ідентифікації сервісів та додатків.	Виявлення несанкціонованого/шкідливого ПЗ та внесення додатків з високим рівнем уразливості до «чорного» списку.	Виявлення ОС, додатків, БД, веб-додатків.	Перевіряє кожен порт, визначаючи прослуховування їхніх служб. Виявляє ОС, додатки, БД, веб-додатки.	Ідентифікує вразливість мережевих сервісів, ОС, маршрутизаторів, поштових та Web-серверів, міжмережевих екранів та прикладного ПЗ.
Генерація звіту	Можливість збереження звітів у форматах nessus (xml), pdf, html, csv, nessus DB	Можливість створення звітів, починаючи від звітів тенденції використання мережі для керування та закінчуючи детальними звітами для технічного персоналу. Є можливість створювати звіти на відповідність стандартам: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/GLBA), також відомий як Payment Card Industry Digital Security Standard (PCI-DSS).	Існують засоби генерації звітів, один з найбільш широких спектрів можливостей складання звітів.	Має можливість збереження звіту як у HTML форматі, так і у форматах xml, pdf, rtf, chm. Сам процес створення звіту відбувається у вигляді вибору інформації, необхідної для відображення. Можливість створення звіту доступна лише у повній версії.	Потужна підсистема генерації звітів, що дозволяє легко створювати різні форми звітів та сортувати їх за ознаками.
Можливий ність генерації виробів вільного звіту	Так, лише у повній версії.			Так, лише у повній версії.
Частота обнов лення	Регулярні оновлення, але користувачі тріал-версії не отримують останні оновлення.	Часті поновлення	Часті поновлення	Регулярні поновлення	Регулярні поновлення
Техні чеська піддер	Присутня		Присутня	Є, є російською мовою.	Присутня

У роботі було розглянуто 5 сканерів уразливостей, які були порівняно за виділеними критеріями.

За ефективністю лідером було обрано сканер Nessus, оскільки він має найповніший спектр можливостей щодо аналізу захищеності комп'ютерної системи. Однак він відносно дорогий у порівнянні з іншими сканерами: при невеликій кількості IP адрес розумніше вибрати GFI LanGuard або SSS.

Список літератури:

1. Долгін А.А., Хорев П.Б., Розробка сканера вразливостей комп'ютерних системна основі захищених версій ОС Windows, Праці міжнародної науково-технічної конференції « Інформаційні засобита технології», 2005.
2. Інформаційний портал безпеки [Електронний ресурс] - Режим доступу. – URL: http://www.securitylab.ru/ (дата звернення 27.03.15).
3. Онлайн-журнал Softkey.info [Електронний ресурс] - Режим доступу. – URL: http://www.softkey.info/ (дата звернення 27.03.15).
4. Офіційний сайт "GFI Software". [Електронний ресурс] – Режим доступу. – URL: http://www.gfi.ru/ (дата звернення 27.03.15).
5. Офіційний сайт Beyond trust. [Електронний ресурс] – Режим доступу. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (дата звернення 27.03.15).
6. Офіційний сайт IBM [Електронний ресурс] – Режим доступу. – URL: http://www.ibm.com/ (дата звернення 27.03.15).
7. Офіційний сайт Tenable Network Security [Електронний ресурс] - Режим доступу. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (дата звернення 27.03.15).
8. Офіційний сайт safety-lab. [Електронний ресурс] – Режим доступу. – URL: http://www.safety-lab.com/ (дата звернення 27.03.15).
9. Рішення IBM для забезпечення інформаційної безпеки [Електронний ресурс] - Режим доступу. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (дата звернення 27.03.15).
10. Хорев П.Б., Методи та засоби захисту інформації в комп'ютерних системах, М., Видавничий центр «Академія», 2005.

Як ви можете переконатися, що було їх достатньо і всі вони дуже небезпечні для схильних до них систем. Важливо не тільки вчасно оновлювати систему, щоб захиститися від нових вразливостей, але й бути впевненим у тому, що ваша система не містить давно усунених уразливостей, які можуть використовувати хакери.

Тут на допомогу приходять сканери вразливостей Linux. Інструменти аналізу уразливостей – це один із найважливіших компонентів системи безпеки кожної компанії. Перевірка додатків та систем на наявність старих уразливостей – обов'язкова практика. У цій статті ми розглянемо найкращі сканеривразливостей, з відкритим вихідним кодом, які можна використовувати для виявлення вразливостей у своїх системах і програмах. Всі вони повністю вільні і можуть використовуватись як звичайними користувачами, і у корпоративному секторі.

OpenVAS або Open Vulnerability Assessment System – це повноцінна платформа для пошуку вразливостей, яка розповсюджується з відкритим вихідним кодом. Програма базується на вихідному коді сканера Nessus. Спочатку цей сканер поширювався з відкритим кодом, але потім розробники вирішили закрити код, і тоді, в 2005 році, на основі відкритої версії Nessus був створений OpenVAS.

Програма складається з серверної та клієнтської частини. Сервер, який виконує основну роботу зі сканування систем, запускається тільки в Linux, а клієнтські програми підтримують у тому числі Windows, до сервера можна отримати доступ через веб-інтерфейс.

Ядро сканера більше 36000 різних перевірок на вразливості та щодня оновлюється з додаванням нових, нещодавно виявлених. Програма може виявляти вразливість у запущених сервісах, а також шукати неправильні налаштування, наприклад, відсутність автентифікації або дуже слабкі паролі.

2. Nexpose Community Edition

Це ще один інструмент пошуку вразливостей linux з відкритим вихідним кодом, що розробляється компанією Rapid7, це та сама компанія, яка випустила Metasploit. Сканер дозволяє виявляти до 68 000 відомих уразливостей, а також виконувати більше 160 000 мережевих перевірок.

Версія Comunity повністю вільна, але вона має обмеження на одночасне сканування до 32 IP адрес і лише одного користувача. Також ліцензію потрібно оновлювати щороку. Тут немає сканування веб-додатків, зате підтримується автоматичне оновлення бази вразливостей та отримання інформації про вразливості від Microsoft Patch.

Програму можна встановити у Linux, а й у Windows, а керування виконується через веб-інтерфейс. За допомогою нього можна встановити параметри сканування, ip адреси та іншу необхідну інформацію.

Після завершення перевірки ви побачите список вразливостей, а також інформацію про встановлене програмне забезпечення та операційну систему на сервері. Також можна створювати та експортувати звіти.

3. Burp Suite Free Edition

Burp Suite – це сканер веб-вразливостей, написаний на Java. Програма складається з проксі-сервера, павука, інструменту для генерації запитів та виконання стрес тестів.

З допомогою BurpВи можете перевірити веб-застосунки. Наприклад, за допомогою проксі сервера можна перехоплювати і переглядати звістку трафік, що проходить, а також модифікувати його при необхідності. Це дозволить змоделювати багато ситуацій. Павук допоможе знайти веб-вразливість, а інструмент генерації запитів - стійкість веб-сервера.

4. Arachni

Arachni - це повнофункціональний фреймворк для тестування веб-застосунків, написаний на Ruby, який поширюється з відкритим вихідним кодом. Він дозволяє оцінити безпеку веб-застосунків і сайтів, виконуючи різні тести на проникнення.

Програма підтримує виконання сканування з автентифікацією, налаштуванням заголовків, підтримкою заміни Aser-Agent, підтримка визначення 404. Крім того, програма має веб-інтерфейс та інтерфейс командного рядка, сканування можна призупинити, а потім знову прокласти і в цілому, все працює дуже швидко .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy – ще один комплексний інструмент для пошуку вразливостей у веб-додатках. Підтримуються всі стандартні для такого типу програм можливості. Ви можете сканувати порти, перевіряти структуру сайту, шукати безліч відомих уразливостей, перевіряти коректність обробки повторних запитів або некоректних даних.

Програма може працювати за https, а також підтримує різні проксі. Оскільки програма написана на Java, її дуже просто встановити та використовувати. Крім основних можливостей, є велика кількість плагінів, що дозволяють дуже збільшити функціональність.

6. Clair

Clair – це інструмент пошуку вразливостей linux у контейнерах. Програма містить список уразливостей, які можуть бути небезпечними для контейнерів і попереджає користувача, якщо були виявлені такі вразливості у вашій системі. Також програма може надсилати повідомлення, якщо з'являються нові вразливості, які можуть зробити контейнери небезпечними.

Кожен контейнер перевіряється один раз і для його перевірки не потрібно його запускати. Програма може витягти всі необхідні дані з вимкненого контейнера. Ці дані зберігаються в кеш, щоб мати можливість повідомляти про вразливість майбутніх.

7. Powerfuzzer

Powerfuzzer - це повнофункціональний, автоматизований і дуже настроюваний веб-сканер, що дозволяє перевірити реакцію веб-програми на некоректні дані та повторні запити. Інструмент підтримує тільки протокол HTTP і може виявляти такі вразливості, як XSS, ін'єкції SQL, LDAP, CRLF і XPATH атаки. Також підтримується відстеження помилок 500, які можуть свідчити про неправильне налаштування або навіть небезпеку, наприклад, переповнення буфера.

8. Nmap

Nmap – це не зовсім сканер уразливостей для Linux. Ця програма дозволяє просканувати мережу та дізнатися, які вузли до неї підключені, а також визначити які сервіси на них запущені. Це не дає вичерпної інформації про вразливість, зате ви можете припустити якесь з програмного забезпеченняможе бути вразливим, спробувати перебрати слабкі паролі. Також є можливість виконувати спеціальні скрипти, які дають змогу визначити деякі вразливості у певному програмному забезпеченні.

Висновки

У цій статті ми розглянули найкращі сканери вразливостей linux, вони дозволяють вам тримати свою систему та додатки в повної безпеки. Ми розглянули програми, які дозволяють сканувати як саму операційну систему або веб-додатки та сайти.

На завершення ви можете переглянути відео про те, що таке сканери вразливостей і навіщо вони потрібні:

Проблема епідемії мережевих черв'яків є актуальною для будь-якої локальної мережі. Рано чи пізно може виникнути ситуація, коли в ЛОМ проникає мережевий або поштовий черв'як, який не детектується антивірусом. Мережевий вірус поширюється ЛВС через не закриті на момент зараження вразливості операційної системи або через доступні для запису загальні ресурси. Поштовий вірус, як випливає з назви, поширюється електронною поштою за умови, що він не блокується клієнтським антивірусом та антивірусом на поштовому сервері. Крім того, епідемія ЛВС може бути організована зсередини в результаті діяльності інсайдера. У цій статті ми розглянемо практичні методики оперативного аналізу комп'ютерів ЛОМ із застосуванням різних засобів, зокрема за допомогою авторської утиліти AVZ.

Постановка задачі

У разі виявлення епідемії або певної позаштатної активності в мережі адміністратор повинен оперативно вирішити щонайменше три завдання:

• виявити заражені ПК у мережі;
• знайти зразки шкідливої ​​програми для відправлення в антивірусну лабораторію та вироблення стратегії протидії;
• вжити заходів для блокування поширення вірусу в ЛОМ та його знищення на заражених комп'ютерах.

У разі діяльності інсайдера основні кроки аналізу ідентичні і найчастіше зводяться до необхідності виявлення встановленого інсайдером стороннього програмного забезпечення на комп'ютерах ЛОМ. Як приклад такого програмного забезпечення можна назвати утиліти віддаленого адміністрування, клавіатурні шпигунита різні троянські закладки.

Розглянемо докладніше рішення кожної з поставлених завдань.

Пошук заражених ПК

Для пошуку заражених ПК у мережі можна застосовувати як мінімум три методики:

• автоматичний віддалений аналіз ПК - отримання інформації про запущені процеси, завантажені бібліотеки та драйвери, пошук характерних закономірностей - наприклад процесів або файлів з заданими іменами;
• дослідження трафіку ПК за допомогою сніфера - даний методдуже ефективний для вилову спам-ботів, поштових та мережевих черв'яків, проте основна складність у застосуванні сніфера пов'язана з тим, що сучасна ЛОМ будується на базі комутаторів і, як наслідок, адміністратор не може здійснювати моніторинг трафіку всієї мережі. Проблема вирішується двома шляхами: запуском сніфера на маршрутизаторі (що дозволяє здійснювати моніторинг обміну даними ПК з Інтернетом) та застосуванням моніторингових функцій комутаторів (багато хто сучасні комутаторидозволяють призначити порт моніторингу, на який дублюється трафік одного або кількох портів комутатора, зазначених адміністратором);
• дослідження навантаження на мережу - у разі дуже зручно застосовувати інтелектуальні комутатори, які дозволяють як оцінювати навантаження, а й віддалено відключати зазначені адміністратором порти. Дана операція істотно спрощується за наявності у адміністратора карти мережі, де є дані про те, які ПК підключені до відповідних портів комутатора і де вони розташовані;
• застосування пасток (honeypot) – у локальній мережі настійно рекомендується створити кілька пасток, які дозволять адміністратору своєчасно виявити епідемію.

Автоматичний аналіз ПК у мережі

Автоматичний аналіз ПК можна звести до трьох основних етапів:

• проведення повного дослідження ПК – запущені процеси, завантажені бібліотеки та драйвери, автозапуск;
• проведення оперативного обстеження - наприклад, пошук характерних процесів або файлів;
• карантин об'єктів за певними критеріями.

Всі ці завдання можна вирішити за допомогою авторської утиліти AVZ, яка розрахована на запуск з мережевої папки на сервері і підтримує скриптову мову для автоматичного обстеження ПК. Для запуску AVZ на комп'ютерах користувачів необхідно:

1. Помістити AVZ у відкриту для читання мережну папку на сервері.
2. Створити в цій папці підкаталоги LOG та Qurantine та дозволити користувачам запис у них.
3. Запустити AVZ на комп'ютерах ЛОМ за допомогою утиліти rexec або логон-скрипта.

Запуск AVZ на кроці 3 повинен здійснюватися за таких параметрів:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

У цьому випадку параметр Priority=-1 знижує пріоритет процесу AVZ, параметри nw=Y та nq=Y перемикають карантин у режим «мережевий запуск» (у цьому випадку в папці карантину для кожного комп'ютера створюється підкаталог, ім'я якого збігається з мережевим ім'ям ПК) , HiddenMode=2 наказує заборонити користувачеві доступ до GUI та управління AVZ, і, нарешті, найважливіший параметр Script задає повне ім'я скрипта з командами, які AVZ виконає на комп'ютері користувача. Скриптова мова AVZ досить проста для використання та орієнтована виключно на вирішення завдань обстеження комп'ютера та його лікування. Для спрощення процесу написання скриптів можна використовувати спеціалізований редактор скриптів, який містить оперативну підказку, майстер створення типових скриптів та засоби перевірки коректності написаного скрипта без його запуску (рис. 1).

Мал. 1. Редактор скриптів AVZ

Розглянемо три типові скрипти, які можуть стати в нагоді в ході боротьби з епідемією. По-перше, нам знадобиться скрипт для дослідження ПК. Завдання скрипта - провести дослідження системи та створити протокол з результатами в заданій папці мережі. Скрипт має такий вигляд:

ActivateWatchDog(60 * 10);

// Запуск сканування та аналізу

// Дослідження системи

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//Завершення роботи AVZ

У ході виконання даного скрипту в папці LOG (передбачається, що вона створена в каталозі AVZ на сервері і доступна користувачам для запису) будуть створюватися HTML-файли з результатами дослідження комп'ютерів мережі, причому для забезпечення унікальності ім'я протоколу включається ім'я досліджуваного комп'ютера. На початку скрипту розташовується команда включення сторожового таймера, який примусово завершить процес AVZ через 10 хвилин у разі, якщо під час виконання скрипту виникнуть збої.

Протокол AVZ зручний для вивчення вручну, проте для автоматизованого аналізу він мало придатний. Крім того, адміністратору часто відоме ім'я файлу шкідливої ​​програми і потрібно лише перевірити наявність або відсутність файлу, а за наявності - помістити в карантин для аналізу. У цьому випадку можна застосувати скрипт такого вигляду:

// Увімкнення сторожового таймера на 10 хвилин

ActivateWatchDog(60 * 10);

// Пошук шкідливої ​​програми на ім'я

QuarantineFile('%WinDir%\smss.exe', 'підозра на LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'підозра на LdPinch.gen');

//Завершення роботи AVZ

У цьому скрипті задіяна функція QuarantineFile, яка робить спробу карантину вказаних файлів. Адміністратору залишається лише проаналізувати вміст карантину (папка Quarantine\Мережевое_имя_ПК\дата_каратина\) на наявність поміщених в карантин файлів. Варто врахувати, що функція QuarantineFile автоматично блокує поміщення в карантин файлів, упізнаних на базі безпечних AVZ або на базі ЕЦП Microsoft. Для практичного застосуванняцей скрипт можна вдосконалити - організувати завантаження імен файлів із зовнішнього текстового файлу, перевіряти знайдені файли за базами AVZ та формувати текстовий протокол з результатами роботи:

// Пошук файлу із зазначеним ім'ям

функція CheckByName(Fname: string) : boolean;

Result:= FileExists(FName) ;

if Result then begin

case CheckFile(FName) of

1: S:= ', доступ до файлу блокується';

1: S:= ', упізнаний як Malware ('+GetLastCheckTxt+')';

2: S:= ', підозрюється файловим сканером ('+GetLastCheckTxt+')';

3: exit; // Безпечні файли ігноруємо

AddToLog('Файл '+NormalFileName(FName)+' має підозріле ім'я'+S);

//Додавання зазначеного файлу в карантин

QuarantineFile(FName,'підозрілий файл'+S);

SuspNames: TStringList; // Список імен підозрілих файлів

// Перевірка файлів по оновлюваній базі даних

if FileExists(GetAVZDirectory + 'files.db') then begin

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('База імен завантажена - кількість записів = '+inttostr(SuspNames.Count));

// Цикл пошуку

for i:= 0 to SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Помилка завантаження списку імен файлів');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Для роботи даного скрипту необхідно створити в папці AVZ доступні користувачам для запису каталоги Quarantine та LOG, а також текстовий файл files.db - кожен рядок файлу буде містити ім'я підозрілого файлу. Імена файлів можуть включати макроси, найбільш корисні з яких – %WinDir% (шлях до папці Windows) та %SystemRoot% (шлях до папки System32). Іншим напрямом аналізу може стати автоматичне дослідження переліку процесів, запущених на комп'ютерах користувачів. Інформація про запущені процеси є у протоколі дослідження системи, але для автоматичного аналізу зручніше застосовувати наступний фрагмент скрипту:

procedure ScanProcess;

S:= ‘’; S1:= ‘’;

// Оновлення списку процесів

RefreshProcessList;

AddToLog('Кількість процесів = '+IntToStr(GetProcessCount));

// Цикл аналізу отриманого списку

for i:= 0 to GetProcessCount - 1 do begin

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Пошук процесу на ім'я

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+',';

if S<>‘’ then

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Дослідження процесів у даному скрипті виконано у вигляді окремої процедури ScanProcess, тому її нескладно помістити у власний скрипт. Процедура ScanProcess будує два списки процесів: повний списокпроцесів (для подальшого аналізу) та перелік процесів, які, з погляду адміністратора, вважаються небезпечними. В даному випадку для демонстрації як небезпечний розглядається процес з ім'ям trojan.exe. Інформація про небезпечні процеси додається до текстового файлу _alarm.txt, дані про всі процеси - у файл _all_process.txt. Легко помітити, що можна ускладнити скрипт, додавши до нього, наприклад, перевірку файлів процесів з урахуванням безпечних файлів чи перевірку імен виконуваних файлівпроцесів із зовнішньої бази. Подібна процедура застосовується в скриптах AVZ, що використовуються в «Смоленськенерго»: адміністратор періодично вивчає зібрану інформацію і модифікує скрипт, додаючи в нього ім'я процесів заборонених з політики безпеки програм, наприклад ICQ і MailRu.Agent, що дозволяє оперативно перевірити наявність забороненого ПЗ . Інше застосування списку процесів – пошук ПК, на яких відсутній обов'язковий процес, наприклад антивірус.

На завершення розглянемо останній з корисних скриптів аналізу - скрипт автоматичного карантину всіх файлів, які не розпізнаються на базі безпечних AVZ та на базі ЕЦП Microsoft:

// Виконання автокарантину

ExecuteAutoQuarantine;

Автоматичний карантин вивчає запущені процеси та завантажені бібліотеки, служби та драйвери, близько 45 способів автозапуску, модулі розширення браузера та провідника, обробники SPI/LSP, завдання планувальника, обробники системи друку тощо. Особливістю карантину є те, що файли до нього додаються з контролем повторів, тому функцію автокарантину можна викликати багаторазово.

Перевага автоматичного карантину полягає в тому, що за його допомогою адміністратор може оперативно зібрати потенційно підозрілі файли з усіх комп'ютерів мережі для їх вивчення. Найпростішою (але дуже ефективною практично) формою вивчення файлів то, можливо перевірка отриманого карантину кількома популярними антивірусами як максимальної евристики. Слід зазначити, що одночасно запуск автокарантину на кількох сотнях комп'ютерів може створити високе навантаження на мережу і на файловий сервер.

Дослідження трафіку

Дослідження трафіку можна проводити трьома способами:

• вручну за допомогою сніфферів;
• у напівавтоматичному режимі - у разі сніффер збирає інформацію, та був його протоколи обробляються або вручну, або деяким ПЗ;
• автоматично за допомогою систем виявлення вторгнень (IDS) типу Snort (http://www.snort.org/) або їх програмних чи апаратних аналогів. У найпростішому випадку IDS складається з сніфера і системи, що аналізує інформацію, що збирається сніффером.

Система виявлення вторгнень є оптимальним засобом, оскільки дозволяє створювати набори правил виявлення аномалії в мережевої активності. Друга її перевага полягає в наступному: більшість сучасних IDS дозволяють розміщувати агенти моніторингу трафіку на кількох вузлах мережі – агенти збирають інформацію та передають її. У разі застосування сніфера дуже зручно користуватися консольним UNIX-сніфером tcpdump. Наприклад, для моніторингу активності по порту 25 ( протокол SMTP) достатньо запустити сніффер з командним рядкомвиду:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

У разі ведеться захоплення пакетів через інтерфейс em0; інформація про захоплені пакети зберігатиметься у файлі smtp_log.txt. Протокол порівняно просто аналізувати вручну, в даному прикладі аналіз активності порту 25 дозволяє обчислити ПК з активними спам-ботами.

Застосування Honeypot

Як пастки (Honeypot) можна використовувати застарілий комп'ютер, продуктивність якого не дозволяє застосовувати його для вирішення виробничих завдань. Наприклад, у мережі автора як пастка успішно застосовується Pentium Pro c 64 Мбайт оперативної пам'яті. На цей ПК слід встановити найбільш поширену в ЛОМ операційну систему та вибрати одну зі стратегій:

• Встановити операційну систему без пакетів оновлень - вона буде індикатором появи у мережі активного мережевого черв'яка, що експлуатує будь-яку з відомих уразливостей для цієї операційної системи;
• встановити операційну систему з оновленнями, які встановлені на інших ПК мережі – Honeypot буде аналогом будь-якої з робочих станцій.

Кожна із стратегій має як свої плюси, так і мінуси; автор переважно застосовує варіант без оновлень. Після створення Honeypot слід створити образ диска для швидкого відновленнясистеми після її ушкодження шкідливими програмами. В якості альтернативи образу диска можна використовувати системи відкату змін типу ShadowUser та його аналогів. Побудувавши Honeypot, слід врахувати, що ряд мережевих черв'яків шукають комп'ютери, що заражаються шляхом сканування діапазону IP, що відраховується від IP-адреси зараженого ПК (поширені типові стратегії - X.X.X.*, X.X.X+1.*, X.X.X-1.*), - отже, в ідеалі Honeypot має бути в кожній із підмереж. Як додаткові елементи підготовки слід обов'язково відкрити доступ до кількох папок на Honeypot-системі, причому в ці папки слід покласти кілька файлів-зразків різного формату, мінімальний набір - EXE, JPG, MP3.

Природно, що створивши Honeypot, адміністратор повинен відстежувати його роботу і реагувати на будь-які аномалії, виявлені на даному комп'ютері. Як засоби реєстрації змін можна використовувати ревізори, для реєстрації мережної активності можна використовувати сніффер. Важливим моментомє те, що у більшості сніферів передбачена можливість налаштування відправлення оповіщення адміністратору у разі виявлення заданої активності мережі. Наприклад, у сніффері CommView правило передбачає вказівку «формули», що описує мережевий пакет, або завдання кількісних критеріїв (надсилання більш заданої кількості пакетів або байт в секунду, відправка пакетів на невідомі IP- або MAC-адреси) - рис. 2.

Мал. 2. Створення та налаштування попередження про мережну активність

Як попередження найзручніше використовувати повідомлення електронної пошти, що надсилаються на Поштова скринькаадміністратора, - у цьому випадку можна отримувати оперативні оповіщення від усіх пасток у мережі. Крім того, якщо сніффер дозволяє створювати кілька попереджень, є сенс диференціювати мережну активність, виділивши роботу з електронною поштою, FTP/HTTP, TFTP, Telnet, MS Net, підвищений трафік понад 20-30 пакетів на секунду за будь-яким протоколом (рис. 3).

Мал. 3. Лист-оповіщення, що надсилається
у разі виявлення пакетів, які відповідають заданим критеріям

При організації пастки непогано розмістити на ній кілька застосовуваних в мережі вразливих мережевих служб або встановити емулятор. Найпростішим (і безкоштовним) є авторська утиліта APS, що працює без інсталяції. Принцип роботи APS зводиться до прослуховування безлічі описаних у її базі портів TCP і UDP та видачі в момент підключення заздалегідь заданого або випадково генерованого відгуку (рис. 4).

Мал. 4. Головне вікно утиліти APS

На малюнку наведено скріншот, знятий під час реального спрацювання APS в ЛОМ «Смоленськенерго». Як видно на малюнку, зафіксована спроба підключення одного з клієнтських комп'ютерів по порту 21. Аналіз протоколів показав, що спроби періодичні фіксуються декількома пастками в мережі, що дозволяє зробити висновок про сканування мережі з метою пошуку та злому FTP-серверів шляхом підбору паролів. APS веде протоколи і може надсилати адміністраторам повідомлення зі звітами про зареєстровані підключення до контрольованих портів, що зручно для оперативного виявлення сканування мережі.

При створенні Honeypot корисно також ознайомитися з онлайн-ресурсами на цю тему, зокрема з сайтом http://www.honeynet.org/. У розділі Tools цього сайту (http://www.honeynet.org/tools/index.html) можна знайти ряд інструментів для реєстрації та аналізу атак.

Дистанційне видалення шкідливих програм

В ідеальному випадку після виявлення зразків шкідливих програмадміністратор відправляє в антивірусну лабораторію, де вони оперативно вивчаються аналітиками й у основи антивірусу вносяться відповідні сигнатури. Ці сигнатури через автоматичне оновлення потрапляють на ПК користувачів і антивірус робить автоматичне видалення шкідливих програм без втручання адміністратора. Однак цей ланцюжок не завжди працює як належить, зокрема можливі такі причини збою:

• з низки незалежних від адміністратора мережі причин образи можуть дійти антивірусної лабораторії;
• недостатня оперативність антивірусної лабораторії - в ідеалі вивчення зразків та його внесення до бази йде трохи більше 1-2 годин, тобто у межах робочого дня можна отримати оновлені сигнатурні бази. Однак не всі антивірусні лабораторії працюють так оперативно, і на оновлення можна чекати кілька днів (у рідкісних випадках - навіть тижнів);
• висока працездатність антивірусу - низка шкідливих програм після активації знищують антивіруси або всіляко порушують їхню роботу. Класичні приклади - внесення до файлу hosts записів, що блокують нормальну роботусистеми автооновлення антивірусу, видалення процесів, служби та драйверів антивірусів, пошкодження їх налаштувань тощо.

Отже, у перерахованих ситуаціях доведеться боротися із шкідливими програмами вручну. Найчастіше це нескладно, оскільки за результатами дослідження комп'ютерів відомі заражені ПК, і навіть повні імена файлів шкідливих програм. Залишається тільки зробити їхнє дистанційне видалення. Якщо шкідлива програма не захищається від видалення, знищити її можна скриптом AVZ наступного виду:

// Видалення файлу

DeleteFile('ім'я файлу');

ExecuteSysClean;

Даний скрипт видаляє один заданий файл (або кілька файлів, оскільки команд DeleteFile у скрипті може бути необмежену кількість) і потім здійснює автоматичне чищення реєстру. У більш складному випадку шкідлива програма може захищатися від видалення (наприклад, перетворюючи свої файли та ключі реєстру) або маскуватися за руткіт-технологією. У цьому випадку скрипт ускладнюється і матиме такий вигляд:

// Антируткіт

SearchRootkit(true, true);

// Управління AVZGuard

SetAVZGuardStatus(true);

// Видалення файлу

DeleteFile('ім'я файлу');

// Увімкнення протоколювання BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Імпорт завдання BootCleaner списку файлів, видалених скриптом

BC_ImportDeletedList;

// Активація BootCleaner

// Евристична чистка системи

ExecuteSysClean;

RebootWindows(true);

Цей скрипт включає активну протидію руткітам, застосування системи AVZGuard (це блокатор активності шкідливих програм) та системи BootCleaner. BootCleaner - це драйвер, що виконує видалення заданих об'єктів з KernelMode під час перезавантаження, на ранній стадії завантаження системи. Практика показує, що подібний скрипт може знищити переважну більшість існуючих шкідливих програм. Виняток становлять malware, що змінюють імена своїх виконуваних файлів при кожному перезавантаженні, - у разі виявлені під час дослідження системи файли може бути перейменовані. У цьому випадку буде потрібно лікування комп'ютера вручну або створення власних сигнатур шкідливої ​​програми (приклад реалізує сигнатурний пошук скрипта описаний у довідці AVZ).

Висновок

У цій статті ми розглянули деякі практичні методики боротьби з епідемією ЛОМ вручну без використання антивірусних продуктів. Більшість описаних методик також можна застосовувати для пошуку стороннього ПК і троянських закладок на комп'ютерах користувачів. При виникненні труднощів із пошуком шкідливих програм або створенням скриптів лікування адміністратор може скористатися розділом «Допоможіть» форуму http://virusinfo.info або розділом «Боротьба з вірусами» форуму http://forum.kaspersky.com/index.php?showforum= 18. Вивчення протоколів та допомога в лікуванні здійснюються на обох форумах безкоштовно, аналіз ПК ведеться за протоколами AVZ, і в більшості випадків лікування зводиться до виконання на заражених ПК скрипта AVZ, складеного досвідченими фахівцями даних форумів.

Порівняльний аналізсканерів безпеки. Частина 1: тест на проникнення (коротке резюме)

Alexander Antipov

У цьому документі наведено результати порівняння мережевих сканерів безпеки під час проведення тестів на проникнення щодо вузлів мережевого периметра.

Лепіхін Володимир Борисович
Завідувач лабораторії мережної безпеки Навчального центру «Інформзахист»

Усі матеріали звіту є об'єктами інтелектуальної власності навчального центру «Інформзахист». Тиражування, публікація чи репродукція матеріалів звіту у будь-якій формі заборонені без попередньої письмової згоди Навчального центру «Інформзахист».

Повний текст дослідження:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Введення

Мережеві сканери безпеки підходять для порівняння якнайкраще. Вони всі дуже різні. І в силу специфіки завдань, для вирішення яких вони призначені, і в силу їхнього «подвійного» призначення (мережні сканери безпеки можуть бути використані як для захисту, так і для нападу, а злом, як відомо, завдання творче), нарешті, ще й тому, що за кожним таким інструментом стоїть політ хакерської (в первісному значенні цього слова) думки його творця.

При виборі умов порівняння за основу було взято підхід «від завдань», таким чином, за результатами можна судити, наскільки той чи інший інструмент придатний для вирішення поставленого перед ним завдання. Наприклад, мережні сканери безпеки можуть бути використані:

• для інвентаризації мережевих ресурсів;
• під час проведення «тестів проникнення»;
• у процесі перевірки систем на відповідність різним вимогам.

У цьому документі наведено результати порівняння мережевих сканерів безпеки під час проведення тестів на проникнення щодо вузлів мережевого периметра. При цьому оцінювалися:

• Кількість знайдених уразливостей
• Число помилкових спрацьовувань (False Positives)
• Число перепусток (False Negatives)
• Причини перепусток
• Повнота бази перевірок (в контексті цього завдання)
• Якість механізмів інвентаризації та визначення версій ПЗ
• Точність роботи сканера (в контексті цього завдання)

Перелічені критерії в сукупності характеризують «придатність» сканера на вирішення поставленої ним завдання, у разі – це автоматизація рутинних процесів у процесі контролю захищеності мережного периметра.

2. Коротка характеристика учасників порівняння

Перед початком порівняння зусиллями порталу було проведено опитування, метою якого було збирання даних про використовувані сканери та завдання, для яких вони використовуються.

В опитуванні взяло участь близько 500 респондентів (відвідувачів порталу).

На питання про сканери безпеки, що використовуються у своїх організаціях, переважна більшість респондентів відповіла, що вони використовують хоча б один сканер безпеки (70%). При цьому в організаціях, що практикують регулярне застосування сканерів безпеки для аналізу захищеності своїх інформаційних систем, вважають за краще використовувати більше одного продукту цього класу. 49% респондентів відповіло, що в їхніх організаціях використовують два і більше сканери безпеки (Рис. 1).

1 . Розподіл організацій опитаних респондентів за кількістю сканерів безпеки, що використовуються

Причини, з яких використовується більше одного сканера безпеки, полягають у тому, що організації ставляться з недовірою до рішень одного «вендора» (61%), а також у тих випадках, коли потрібне виконання спеціалізованих перевірок (39%), які не можуть бути виконані комплексним сканером безпеки (Рис. 2).

2 . Причини використання більш ніж одного сканера безпеки в організаціях опитаних респондентів

Відповідаючи на запитання, для яких цілей використовуються спеціалізовані сканери безпеки, більшість респондентів відповіли, що вони використовуються як додаткові інструменти аналізу захищеності Web-додатків (68%). З другого краю місці, виявилися спеціалізовані сканери безпеки СУБД (30%), але в третьому (2%) утиліти власної розробки на вирішення специфічного кола завдань із аналізу захищеності інформаційних систем (Рис. 3).

3 . Цілі застосування спеціалізованих сканерів безпеки в організаціях опитаних респондентів

Результат опитування респондентів (рис. 4) про кінцеві продукти, що мають відношення до сканерів безпеки, показав, що більшість організацій вважають за краще використовувати продукт Positive Technologies XSpider (31%) та Nessus Security Scanner (17%).

Мал. 4. Використовувані сканери безпеки в організаціях опитаних респондентів

Для участі у тестових випробуваннях були відібрані сканери, подані у таблиці 1.

Таблиця 1. Мережеві сканери безпеки, використані під час порівняння

Назва	Версія
		http://www.nessus.org/download
MaxPatrol	8.0 (Складання 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Internet Scanner		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RetinaNetwork Security Scanner		http://www.eeye.com/html/products/retina/index.html
Shadow Security Scanner (SSS)	7.141 (Build 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Auditor		http://netclarity.com/branch-nacwall.html

Отже, перший тест сфокусований завдання оцінки захищеності систем на стійкість до злому.

3. Підбиття підсумків

Аналогічним чином було пораховано результати щодо інших вузлів. Після підрахунку підсумків вийшла наступна таблиця (табл. 2).

Таблиця 2. Підсумкові результати щодо всіх об'єктів сканування

Показник		Internet Scanner			Shadow Security Scanner	NetClarity Auditor
Ідентифікація сервісів та додатків, бали
Знайдено вразливостей, всього
З них помилкових спрацьовувань (False positives)
Знайдено правильно (З 225 можливих)
Перепустки (false negatives)
З них через відсутність у базі
З них викликані необхідністю аутентифікації
З інших причин

3.1 Ідентифікація сервісів та додатків

За результатами визначення сервісів та додатків бали були просто підсумовані, при цьому за помилкове визначення сервісу або додатку віднімали один бал (рис. 5).

Мал. 5. Результати ідентифікації сервісів та додатків

Найбільше балів (108) набрав сканер MaxPatrol, трохи менше (98) – сканер Nessus. Справді, у цих двох сканерах процедуру ідентифікації сервісів та додатків реалізовано дуже якісно. Цей результатможна назвати цілком очікуваним.

Наступний результат – у сканерів Internet Scanner та NetClarity. Тут можна згадати, що, наприклад, Internet Scanner орієнтується використання стандартних портів для додатків, цим багато в чому пояснюється його невисокий результат. Зрештою, найгірші показники у сканера NetClarity. Хоча він непогано справляється з ідентифікацією сервісів (все-таки він заснований на ядрі Nessus 2.x), його низький результат можна пояснити тим, що він ідентифікував не всі відкриті порти.

3.2 Ідентифікація вразливостей

На рис. 6 представлено загальну кількість знайдених усіма сканерами вразливостей та кількість помилкових спрацьовувань. Найбільше вразливостей було знайдено сканером MaxPatrol. Другим (щоправда, вже зі значним відривом) знову виявився Nessus.
Лідером за кількістю помилкових спрацьовувань виявився сканер Shadow Security Scanner. У принципі, це можна пояснити, вище були наведені приклади помилок, пов'язані саме з його перевірками.

Мал. 6. Знайдені вразливості та хибні спрацьовування

Всього на всіх 16 вузлах усіма сканерами було знайдено (і згодом піддано ручну перевірку) 225 вразливостей. Результати розподілилися як на рис. 7. Найбільше вразливостей – 155 з 225 можливих – було виявлено сканером MaxPatrol. Другим виявився сканер Nessus (його результат практично вдвічі гірший). Наступним іде сканер Internet Scanner, потім NetClarity.
У ході порівняння були проаналізовані причини пропусків уразливостей та були відокремлені ті, що були зроблені через відсутність перевірок у базі. На наступній діаграмі (рис. 8) представлені причини перепусток уразливостей сканерами.

Мал. 7. Знайдені вразливості та перепустки

Мал. 8. Причини пропусків уразливостей

Тепер кілька показників, що вийшли внаслідок підрахунків.

На рис. 39 представлено відношення числа помилкових спрацьовувань до загальної кількості знайдених уразливостей, цей показник у певному сенсі можна назвати точністю роботи сканера. Адже користувач перш за все має справу з переліком знайдених сканером уразливостей, з якого необхідно виділити знайдені правильно.

Мал. 9. Точність роботи сканерів

З цієї діаграми видно, що найвищої точності (95%) досягнуто сканером MaxPatrol. Хоча кількість помилкових спрацьовувань у нього не найнижча, такий показник точності досягнуто за рахунок великої кількості знайдених уразливостей. Наступним за точністю визначення йде Internet Scanner. Він показав найнижчу кількість хибних спрацьовувань. Найнижчий результат у сканера SSS, що не дивно при такій великій кількості помилкових спрацьовувань, яка була помічена в ході порівняння.

Ще один розрахунковий показник – це повнота основи (рис. 10). Він розрахований як відношення числа вразливостей, знайдених правильно, до загальної кількості вразливостей (у даному випадку – 225) та характеризує масштаби «перепусток».

Мал. 10. Повнота бази

З цієї діаграми видно, що база сканера MaxPatrol найбільш адекватна поставленій задачі.

4. Висновок

4.1 Коментарі до результатів лідерів: MaxPatrol та Nessus

Перше місце за всіма критеріями даного порівняння дістається сканеру MaxPatrol, на другому місці – сканер Nessus, результати інших сканерів значно нижчі.

Тут доречно згадати один із документів, підготовлений національним інститутом стандартів та технологій США (NIST), а саме – «Guideline on Network Security Testing». У ньому йдеться, що в ході контролю захищеності комп'ютерних систем рекомендується використовувати як мінімум два сканери безпеки.

В отриманому результаті, по суті, немає нічого несподіваного та дивовижного. Не секрет, що сканери XSpider (MaxPatrol) і Nessus користуються популярністю як серед безпекових фахівців, так і серед «зломщиків». Це підтверджують і наведені вище результати опитування. Спробуємо проаналізувати причини явного лідерства MaxPatrol (частково це стосується сканера Nessus), а також причини «програшу» інших сканерів. Насамперед – це якісна ідентифікація сервісів та додатків. Перевірки, що ґрунтуються на висновках (а їх у даному випадку використовувалося досить багато), сильно залежать від точності збору інформації. А ідентифікація сервісів та додатків у сканері MaxPatrol практично доведена до досконалості. Ось один показовий приклад.
Друга причина успіху MaxPatrol – повнота бази та її адекватність поставленому завданню та взагалі «сьогоденню». За результатами помітно, що база перевірок у MaxPatrol значно розширена і деталізована, у ній «наведено порядок», при цьому явний «крен» у бік web-додатків компенсується і розширенням перевірок в інших областях, наприклад, справили враження результати сканування представленого в порівнянні маршрутизатора Cisco.

Третя причина – якісний аналіз версій додатків з урахуванням операційних систем, дистрибутивів та різних «відгалужень». Можна також додати і використання різних джерел (бази вразливостей, повідомлення та бюлетені «вендорів»).

Нарешті, можна додати, що MaxPatrol має дуже зручний і логічний інтерфейс, що відображає основні етапи роботи мережевих сканерів безпеки. А це важливо. Зв'язка "вузол, сервіс, вразливість" дуже зручна для сприйняття (Прим. ред. це суб'єктивна думка автора порівняння). І особливо для цього завдання.

Тепер про недоліки та «слабкі» місця. Оскільки MaxPatrol виявився лідером порівняння, то й критика на його адресу буде максимальною.

По-перше, так званий «програш у дрібницях». Маючи дуже якісний движок, важливо запропонувати і відповідний додатковий сервіс, наприклад зручний інструментарій, що дозволяє щось зробити вручну, засоби пошуку вразливостей, можливість «тонкого» налаштування системи. MaxPatrol продовжує традицію XSpider та максимально орієнтований на ідеологію «натиснув і запрацювало». З одного боку це непогано, з іншого боку – обмежує «скрупульозного» аналітика.

По-друге, залишилися неохопленими деякі сервіси (можна судити про це за результатами даного порівняння), наприклад, IKE (порт 500).

По-третє, в деяких випадках не вистачає елементарного зіставлення результатів двох перевірок один з одним, наприклад, як описано вище з SSH. Т. е. немає висновків, заснованих на результатах кількох перевірок. Наприклад, операційну систему вузла host4 було визначено як Windows, а «вендор» сервісу PPTP класифіковано як Linux. Чи можна зробити висновки? Наприклад, у звіті в області визначення операційної системи вказати, що це гібридний вузол.

По-четверте, опис перевірок залишає бажати кращого. Але тут слід розуміти, що MaxPatrol знаходиться в нерівних умовах з іншими сканерами: якісний переклад російською мовою всіх описів – дуже трудомістка задача.

Сканер Nessus показав, в цілому, непогані результати, а в ряді моментів він був точнішим за сканер MaxPatrol. Головна причина відставання Nessus - це пропуски вразливостей, але не через відсутність перевірок в основі, як у більшості інших сканерів, а в силу особливостей реалізації. По-перше (і цим обумовлена ​​значна частина перепусток), у сканері Nessus намітилася тенденція розвитку у бік «локальних» або системних перевірок, що передбачають підключення до облікового запису. По-друге, у сканері Nessus враховано менше (порівняно з MaxPatrol) джерел інформації про вразливість. Це чимось схоже на сканер SSS, заснований переважно на базі SecurityFocus.

5. Обмеження цього порівняння

У ході порівняння було вивчено можливості сканерів у контексті лише одного завдання – тестування вузлів мережевого периметра на стійкість до злому. Наприклад, якщо проводити автомобільну аналогію, ми побачили, як різні автомобілі поводяться, скажімо, на слизькій дорозі. Однак є й інші завдання, вирішення яких цими ж сканерами може виглядати зовсім інакше. Найближчим часом планується зробити порівняння сканерів у ході вирішення таких завдань, як:

• Проведення аудиту систем із використанням облікового запису
• Оцінка відповідності вимогам стандарту PCI DSS
• Сканування Windows-систем

Крім того, планується зробити порівняння сканерів і за формальними критеріями.

У ході цього порівняння було протестовано лише сам «движок» або, висловлюючись сучасною мовою, «мозок» сканера. Можливості щодо додаткового сервісу (звіти, запис інформації про хід сканування тощо) ніяк не оцінювалися і не порівнювалися.

Також не оцінювалися ступінь небезпеки та можливості експлуатації знайдених уразливостей. Деякі сканери обмежилися «незначними» вразливістю низького ступеня ризику, інші виявили дійсно критичні вразливості, що дозволяють отримати доступ до системи.

Сканер безпеки: виявлення вразливостей у мережі, керування оновленнями та патчами, автоматичне виправлення проблем, аудит програмного та апаратного забезпечення. GFI Мережева безпека">Мережева безпека 2080

Сканер безпеки мережі та централізоване управління оновленнями

GFI LanGuard працює як віртуальний консультант з безпеки:

— Керує оновленнями для Windows ® , Mac OS ® та Linux ®

— Виявляє вразливість на комп'ютерах та мобільних пристроях

- Проводить аудит мережевих пристроївта програмного забезпечення

GFI Languard - сканер безпеки для мереж будь-яких масштабів: мережевий сканер портів та вразливостей, сканер безпеки, знаходить діри в мережі автоматично

GFI Languard - сканер безпеки для мереж будь-яких масштабів: мережевий сканер портів та вразливостей, сканер безпеки, знаходить діри в мережі автоматично

Що таке GFI LanGuard

Більше, ніж сканер уразливостей!

GFI LanGuard – це мережевий сканер безпеки: виявлення, визначення та виправлення вразливостей у мережі. Повне сканування портів, наявність необхідних оновлень програмного забезпечення для захисту мережі, а також аудит програмного та апаратного забезпечення – це можливо з єдиної панелі управління.

Сканер портів

Декілька заготовлених профілів сканування дозволяють провести як повне сканування всіх портів, так і швидко перевірити лише ті, які зазвичай використовуються небажаним та шкідливим ПЗ. GFI LanGuard сканує відразу кілька вузлів одночасно, помітно скорочуючи необхідний час, а потім порівнює знайдене програмне забезпечення на зайнятих портах з очікуваним.

Оновлення та патчі

До встановлення останніх оновленьваші вузли абсолютно не захищені, оскільки саме нові вразливості, які закривають актуальні патчі та оновлення, використовуються хакерами для проникнення у вашу мережу. На відміну від вбудованих в ОС інструментів, GFI LanGuard перевірять не тільки саму ОС, але й популярне програмне забезпечення, вразливість якого зазвичай використовується для злому: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, браузери, месенджери.

Аудит вузлів

GFI LanGuard підготує для вас докладний списоквстановленого програмного та апаратного забезпечення на кожному з комп'ютерів, виявить заборонені або відсутні програми, а також зайві підключені пристрої. Результати кількох сканувань можна порівняти, щоб виявити зміни в наборі програмного та апаратного забезпечення.

Найсвіжіші дані про загрози

Кожне сканування проводиться після оновлення даних про вразливість, кількість яких у базі GFI LanGuard вже перевищила 50.000. Постачальниками інформації про загрози є самі вендори ПЗ, а також списки SANS і OVAL, що зарекомендували себе, - ви завжди захищені від найновіших загроз, включаючи heartbleed, clandestine, shellshock, poodle, sandworm та інших.

Автоматичне виправлення

Після того, як ви отримаєте докладний звіт про результати сканування з описом кожної вразливості та посиланнями на додаткову літературу, ви можете виправити більшість загроз одним натисканням на кнопку «Remediate»: порти будуть закриті, ключі реєстру виправлені, патчі встановлені, програмне забезпечення оновлено, заборонені програми видалені, а відсутні програми - будуть встановлені.