ОБЗОР  И  СРАВНЕНИЕ  СКАНЕРОВ  УЯЗВИМОСТЕЙ

Рожкова  Екатерина  Олеговна

студент  4  курса,  кафедра  судовой  автоматики  и  измерений  СПбГМТУ,  РФ,  г.  Санкт-Петербург

E-mail:  rina1242.ro@gmail.com

Ильин  Иван  Валерьевич

студент  4  курса,  кафедра  безопасных  информационных  технологий

СПб  НИУ  ИТМО,  РФ,  г.  Санкт-Петербург

E-mail:  vanilin.va@gmail.com

Галушин  Сергей  Яковлевич

научный  руководитель,  канд.  техн.  наук,  зам.проректора  по  научной  работе,  РФ,  г.  Санкт-Петербург

Для  высокого  уровня  безопасности  необходимо  применять  не  только  межсетевые  экраны,  но  и  периодически  проводить  мероприятия  по  обнаружению  уязвимостей,  например,  при  помощи  сканеров  уязвимости.  Своевременное  выявление  слабых  мест  в  системе  позволит  предотвратить  несанкционированный  доступ  и  манипуляции  с  данными.  Но  какой  вариант  сканера  наиболее  подходит  нуждам  конкретной  системы?  Чтобы  ответить  на  этот  вопрос,  прежде  всего,  необходимо  определиться  с  изъянами  в  системе  безопасности  компьютера  или  сети  [1].  Согласно  статистике,  большинство  атак  происходит  через  известные  и  опубликованные  «лазейки»  безопасности,  которые  могут  быть  не  ликвидированы  по  многим  причинам,  будь  то  нехватка  времени,  персонала  или  некомпетентность  системного  администратора.  Также  следует  понимать,  что  обычно  в  систему  недоброжелатель  может  проникнуть  несколькими  способами,  и  если  один  из  способов  не  сработает,  нарушитель  всегда  может  опробовать  другой.  Для  обеспечения  максимального  уровня  безопасности  системы  требуется  тщательный  анализ  рисков  и  дальнейшее  составление  четкой  модели  угроз,  чтобы  точнее  предугадать  возможные  действия  гипотетического  преступника.

В  качестве  наиболее  распространенных  уязвимостей  можно  назвать  переполнение  буфера,  возможные  ошибки  в  конфигурации  маршрутизатора  или  межсетевого  экрана,  уязвимости  Web-сервера,  почтовых  серверов,  DNS-серверов,  баз  данных  [2].  Кроме  этого,  не  стоит  обходить  вниманием  одну  из  самых  тонких  областей  информационной  безопасности  —  управление  пользователями  и  файлами,  поскольку  обеспечение  уровня  доступа  пользователя  с  минимальными  привилегиями  —  специфичная  задача,  требующая  компромисса  между  удобством  работы  пользователя  и  обеспечением  защиты  системы.  Необходимо  упомянуть  проблему  пустых  или  слабых  паролей,  стандартных  учетных  записей  и  проблему  общей  утечки  информации.

Сканер  безопасности  —  это  программное  средство  для  удаленной  или  локальной  диагностики  различных  элементов  сети  на  предмет  выявления  в  них  различных  уязвимостей;  они  позволяют  значительно  сократить  время  работы  специалистов  и  облегчить  поиск  уязвимостей  [3].

Обзор  сканеров  безопасности

В  данной  работе  рассматривались  сканеры,  имеющие  бесплатную  триал-версию,  позволяющую  использовать  программное  обеспечение  для  ознакомления  с  ограниченным  списком  его  возможностей  и  оценкой  степени  простоты  интерфейса.  В  качестве  предметов  обзора  выбраны  следующие  популярные  сканеры  уязвимостей:  Nessus,  GFI  LANguard,  Retina,  Shadow  security  scaner,  Internet  Scanner.

Nessus  [4]

Nessus  —  программа  для  автоматического  поиска  известных  изъянов  в  защите  информационных  систем.  Она  способна  обнаружить  наиболее  часто  встречающиеся  виды  уязвимостей,  например  наличие  уязвимых  версий  служб  или  доменов,  ошибки  в  конфигурации  (отсутствие  необходимости  авторизации  на  SMTP-сервере),  наличие  паролей  по  умолчанию,  пустых  или  слабых  паролей.

Сканер  Nessus  является  мощным  и  надежным  средством,  которое  относится  к  семейству  сетевых  сканеров,  позволяющих  осуществлять  поиск  уязвимостей  в  сетевых  сервисах,  предлагаемых  операционными  системами,  межсетевыми  экранами,  фильтрующими  маршрутизаторами  и  другими  сетевыми  компонентами.  Для  поиска  уязвимостей  используются  как  стандартные  средства  тестирования  и  сбора  информации  о  конфигурации  и  функционировании  сети,  так  и  специальные  средства,  эмулирующие  действия  злоумышленника  по  проникновению  в  системы,  подключенные  к  сети.

В  программе  существует  возможность  подключения  собственных  проверочных  процедур  или  шаблонов.  Для  этого  в  сканере  предусмотрен  специальный  язык  сценариев,  названный  NASL  (Nessus  Attack  Scripting  Language).  База  уязвимостей  постоянно  полнеет  и  обновляется.  Зарегистрированные  пользователи  сразу  же  получают  все  обновления,  тогда  как  остальные  (триал-версии  и  т.  д.)  с  некоторой  задержкой.

GFI  LanGuard  [10] 

GFI  LanGuard  Network  Security  Scanner  (N.S.S)  —  это  отмеченное  наградой  решение,  использующее  для  защиты  три  основных  компонента:  сканер  безопасности,  управление  внесением  исправлений  и  сетевой  контроль  с  помощью  одной  объединенной  консоли.  Просматривая  всю  сеть,  он  определяет  все  возможные  проблемы  безопасности  и,  используя  свои  обширные  функциональные  возможности  по  созданию  отчетов,  предоставляет  средства,  необходимые  для  обнаружения,  оценки,  описания  и  устранения  любых  угроз.

В  процессе  проверки  безопасности  производится  более  15  000  оценок  уязвимости,  а  сети  проверяются  по  каждому  IP-адресу.  GFI  LanGuard  N.S.S.  предоставляет  возможность  выполнения  многоплатформенного  сканирования  (Windows,  Mac  OS,  Linux)  по  всем  средам  и  анализирует  состояние  сети  по  каждому  источнику  данных.  Это  обеспечивает  возможность  идентификации  и  устранения  любых  угроз  прежде,  чем  хакеры  добьются  своего. 

GFI  LanGuard  N.S.S.  поставляется  с  полной  и  исчерпывающей  базой  данных  оценки  уязвимостей,  включающей  такие  стандарты  как  OVAL  (более  2  000  значений)  и  SANS  Top  20.  Эта  база  данных  регулярно  обновляется  информацией  от  BugTraq,  SANS  Corporation,  OVAL,  CVE  и  др.  Благодаря  системе  автоматического  обновления  GFI  LanGuard  N.S.S.  всегда  содержит  новейшую  информацию  об  обновлениях  Microsoft  в  области  защиты,  а  также  информацию  от  GFI  и  других  информационных  хранилищ,  таких  как  база  данных  OVAL. 

GFI  LanGuard  N.S.S.  сканирует  компьютеры,  определяет  и  классифицирует  уязвимости,  рекомендует  действия  и  предоставляет  средства,  позволяющие  устранить  возникшие  проблемы.  GFI  LANguard  N.S.S.  также  использует  графический  индикатор  уровня  угрозы,  который  обеспечивает  интуитивную,  взвешенную  оценку  состояния  уязвимости  проверенного  компьютера  или  группы  компьютеров.  При  возможности  предоставляется  ссылка  или  дополнительная  информация  по  определенному  вопросу,  например  идентификатор  в  BugTraq  ID  или  в  базе  знаний  Microsoft. 

GFI  LanGuard  N.S.S.  позволяет  легко  создавать  собственные  схемы  проверки  уязвимости  с  помощью  мастера.  С  помощью  машины  сценариев  VBScript  можно  также  писать  сложные  схемы  проверки  уязвимости  для  GFI  LanGuard  N.S.S.  GFI  LanGuard  N.S.S.  включает  редактор  сценариев  и  отладчик. 

Retina  [5] 

Retina  Network  Security  Scanner,  сканер  уязвимостей  сети  комппании  BeyondTrust,  выявляет  известные  уязвимости  сети  и  осуществляет  приоритезацию  угроз  для  их  последующего  устранения.  В  процессе  использования  программного  продукта  происходит  определение  всех  компьютеров,  устройств,  ОС,  приложений  и  беспроводных  сетей.

Пользователи  также  могут  использовать  Retina  для  оценки  рисков  информационной  безопасности,  управления  рисками  проектов  и  выполнения  требований  стандартов  с  помощью  аудитов  согласно  политике  предприятия.  Данный  сканер  не  запускает  код  уязвимости,  поэтому  сканирование  не  приводит  к  потере  работоспособности  сети  и  анализируемых  систем.  С  использованием  фирменной  технологи  Adaptive  Speed  на  сканирование  локальной  сети  класса  С  потребуется  около  15  минут,  этому  способствует  Adaptive  Speed  —  технология  скоростного  безопасного  сканирования  сети.  Кроме  того,  гибкие  возможности  по  настройке  области  сканирования  позволяют  системному  администратору  анализировать  безопасность  всей  сети  или  заданного  сегмента,  не  влияя  на  работу  соседних.  Происходит  автоматическое  обновление  локальных  копий  базы,  поэтому  анализ  сети  всегда  производится  на  основе  наиболее  актуальных  данных.  Уровень  ложных  срабатываний  составляет  менее  1  %,  существует  гибкий  контроль  доступа  к  системному  реестру. 

Shadow  security  scaner  (SSS)  [6]

Данный  сканер  может  использоваться  для  надежного  обнаружения  как  известных,  так  и  не  известных  (на  момент  выпуска  новой  версии  продукта)  уязвимостей.  При  сканировании  системы  SSS  анализирует  данные,  в  том  числе,  на  предмет  уязвимых  мест,  указывает  возможные  ошибки  в  конфигурации  сервера.  Помимо  этого,  сканер  предлагает  возможные  пути  решения  этих  проблем  и  исправления  уязвимостей  в  системе.

В  качестве  технологии  «лазеек»  в  системе  используется  ядро  собственной  разработки  компании-производителя  Shadow  Security  Scanner.  Можно  отметить,  что  работая  по  ОС  Windows,  SSS  будет  производить  сканирование  серверов  вне  зависимости  от  их  платформы.  Примерами  платформ  могут  служить  Unix-платформы  (Linux,  FreeBSD,  OpenBSD,  Net  BSD,  Solaris),  Windows-платформы  (95/98/ME/NT/2000/XP/.NET/Win  7  и  8).  Shadow  Security  Scanner  спсобен  также  определять  ошибки  в  оборудовании  CISCO,  HP  и  других.  Данный  сканер  создан  отечественными  разработчиками,  и  соответственно,  имеет  русский  интерфейс,  а  также  документацию  и  линию  горячей  поддержки  на  нем. 

Internet  Scanner  [7]

Данный  сканер  обеспечивает  автоматизированное  обнаружение  и  анализ  уязвимостей  в  корпоративной  сети.  В  числе  возможностей  сканера  -  реализация  ряда  проверок  для  последующей  идентификации  уязвимостей  сетевых  сервисов,  ОС,  маршрутизаторов,  почтовых  и  web-серверов,  межсетевых  экранов  и  прикладного  ПО.  Internet  Scanner  может  обнаружить  и  идентифицировать  более  1450  уязвимостей,  к  которым  могут  быть  отнесены  некорректная  конфигурация  сетевого  оборудования,  устаревшее  программное  обеспечение,  неиспользуемые  сетевые  сервисы,  «слабые»  пароли  и  т.  д.  [8].  Предусмотрена  возможность  проверок  FTP,  LDAP  и  SNMP-протоколов,  проверок  электронной  почты,  проверки  RPC,  NFS,  NIS  и  DNS,  проверок  возможности  осуществления  атак  типа  «отказ  в  обслуживании»,  «подбор  пароля»,  проверок  Web-серверов,  CGI-скриптов,  Web-браузеров  и  X-терминалов.  Кроме  того,  существует  возможность  проверки  межсетевых  экранов,  proxy-серверов,  сервисов  удаленного  доступа,  файловой  системы,  подсистемы  безопасности  и  подсистемы  аудита,  системного  реестра  и  установленных  обновлений  ОС  Windows  и  т.  д.  Internet  Scanner  позволяет  анализировать  наличие  какой-то  одной  уязвимости  на  заданном  участке  сети,  например  проверку  установки  конкретного  патча  операционной  системы.  Internet  Scanner  может  работать  на  сервере  Windows  NT,  также  поддерживает  ОС  AIX,  HP-UX,  Linux  и  Solaris.

Прежде  чем  выбрать  критерии  сравнения,  следует  подчеркнуть,  что  критерии  должны  охватывать  все  аспекты  использования  сканеров  безопасности:  начиная  от  методов  сбора  информации  и  заканчивая  стоимостью  [10].  Использование  сканера  безопасности  начинается  с  планирования  развёртывания  и  самого  развёртывания.  Поэтому  первая  группа  критериев  касается  архитектуры  сканеров  безопасности,  взаимодействия  их  компонентов,  инсталляции,  управления.  Следующая  группа  критериев  —  сканирование  —  должна  охватить  методы,  используемые  сравниваемыми  сканерами  для  выполнения  перечисленных  действий,  а  также  другие  параметры,  связанные  с  указанными  этапами  работы  программного  продукта.  Также  к  важным  критериям  относятся  результаты  сканирования,  в  частности,  как  они  хранятся,  какие  могут  быть  сформированы  отчёты  на  их  основе.  Следующие  критерии,  на  которых  следовало  бы  заострить  внимание,  это  критерии  обновления  и  поддержки,  которые  позволяют  выяснить  такие  вопросы,  как  методы  и  способы  обновления,  уровень  технической  поддержки,  наличие  авторизованного  обучения  и  т.  д.  Последняя  группа  включает  в  себя  единственный,  но  весьма  важный  критерий  —  стоимость.

1  группа:

·     Поддерживаемые  системы;

·     Дружественность  интерфейса;

2  группа:

·     Возможности  сканирования  (профили  сканирования);

·     Возможность  настройки  профилей  (насколько  гибко);

·     Идентификация  сервисов  и  приложений;

·     Идентификация  уязвимостей;

3  группа:

·     Генерация  отчета  (форматы);

·     Возможность  генерации  произвольного  отчета  (свои);

4  группа:

·     Частота  обновления;

·     Техническая  поддержка.