Skenery zranitelnosti. Skenování zranitelnosti: Jak zkontrolovat zařízení a chránit se před potenciálními hrozbami Omezení tohoto srovnání

Proces zvaný skenování zranitelnosti je zkoumání jednotlivých hostitelů nebo sítí na potenciální hrozby.

A potřeba kontrolovat zabezpečení vyvstává poměrně často – zvláště pokud jde o velké organizace, které mají cenné informace, které mohou útočníci potřebovat.

Správci malých sítí by takové skenování neměli zanedbávat, zvláště když v roce 2017 byly stovky tisíc počítačů vystaveny vážným útokům hackerů.

Použití skenerů zranitelnosti

Specialisté na informační bezpečnost používají vhodný software, aby prohledali sítě pro slabá místa v jejich bezpečnostních systémech.

Takové programy se nazývají skenery zranitelnosti.

Principem jejich práce je kontrolovat aplikace, které fungují, a hledat takzvané „díry“, které by lidé zvenčí mohli využít k získání přístupu k důležitým informacím.

Správné používání programů, které dokážou detekovat zranitelnost sítě, umožňuje IT odborníkům vyhnout se problémům s odcizenými hesly a řešit takové úkoly:

vyhledat škodlivý kód, který se dostal do počítače;
inventarizace softwaru a dalších systémových prostředků;
vytváření reportů obsahujících informace o zranitelnostech a způsobech jejich odstranění.

Hlavní výhodou druhé možnosti je nejen potvrzení těch problémů, které lze odhalit jednoduchým skenem, ale také detekce problémů, které nelze najít pomocí pasivní techniky. Kontrola se provádí pomocí tří mechanismů – kontroly hlaviček, aktivní kontroly sondování a simulované útoky.

Kontrola záhlaví

Mechanismus, jehož název v angličtině zní "kontrola banneru", sestává z řady skenů a umožňuje získat určité závěry na základě dat přenášených do programu skeneru v reakci na jeho požadavek.

Příkladem takové kontroly může být skenování záhlaví pomocí aplikace Sendmail, která vám umožňuje určit verze softwaru a ověřit, zda existují nějaké problémy nebo ne.

Tato technika je považována za nejjednodušší a nejrychlejší, ale má to řadu nevýhod:

Ne příliš vysoká účinnost ověření. Kromě toho mohou útočníci změnit informace v hlavičkách, odstranit čísla verzí a další informace, které skener používá k získání výstupů. Na jednu stranu pravděpodobnost takové změny není příliš vysoká, na druhou stranu by se neměla zanedbávat.
Neschopnost přesně určit, zda jsou data obsažená v záhlaví důkazem zranitelnosti. V první řadě se to týká programů, které jsou dodávány se zdrojovým kódem. Při opravě jejich zranitelností je třeba ručně změnit čísla verzí v hlavičkách - někdy na to vývojáři jednoduše zapomenou.
V pravděpodobnost výskytu chyby zabezpečení v budoucích verzích aplikace, a to i poté, co byl odstraněn z předchozích úprav.

Mezitím, navzdory určitým nevýhodám a nedostatku záruky detekce „děr“ v systému, lze proces kontroly hlaviček nazvat nejen první, ale také jednou z hlavních fází skenování. Jeho použití navíc nenarušuje provoz služeb ani síťových uzlů.

Aktivní sondovací kontroly

Technika, známá také jako „active probing check“, není založena na kontrolách v hlavičkách, ale na analýze a porovnání digitálních „castů“ programů s informacemi o již známých zranitelnostech.

Princip jeho práce trochu jako algoritmus, která zahrnuje porovnání naskenovaných fragmentů s virovými databázemi.

Do stejné skupiny technik patří také kontrola data vytvoření naskenovaného softwaru nebo kontrolních součtů, což umožňuje ověřit pravost a integritu programů.

Pro ukládání informací o zranitelnostech se používají specializované databáze, které obsahují i informace umožňující opravit problém a snížit riziko hrozby neoprávněného přístupu do sítě.

Tyto informace někdy využívají jak systémy bezpečnostní analýzy, tak software, jehož úkolem je odhalovat útoky. Obecně platí, že technika aktivního snímání používaná velkými společnostmi, jako je ISS a , funguje mnohem rychleji než jiné metody – i když je obtížnější ji implementovat než kontrola záhlaví.

Imitace útoků

Další metoda v angličtině je tzv "kontrola zneužití", který lze přeložit do ruštiny jako "imitace útoku".

Verifikace prováděná s jeho pomocí je také jednou z možností sondování a je založena na hledání programových defektů jejich zesílením.

Technika má následující vlastnosti:

některé bezpečnostní díry nelze odhalit, dokud není simulován skutečný útok proti podezřelým službám a uzlům;
skenovací programy kontrolují softwarové hlavičky během falešného útoku;
při skenování dat jsou zranitelnosti detekovány mnohem rychleji než za normálních podmínek;
simulací útoků můžete najít více zranitelností (pokud byly původně) než pomocí dvou předchozích metod - míra detekce je sice poměrně vysoká, ale použití této metody není vždy vhodné;
situace, které neumožňují spustit „imitační útoky“, se dělí do dvou skupin – hrozba problémů s údržbou kontrolovaného softwaru nebo zásadní nemožnost napadení systému.

Je nežádoucí používat tuto techniku, pokud jsou objekty ověřování zabezpečené servery s cennými informacemi.

Útok na takové počítače může vést k vážné ztrátě dat a selhání důležitých síťových prvků a náklady na obnovení výkonu mohou být i s přihlédnutím k tomu příliš vysoké.

V tomto případě je žádoucí použít jiné způsoby ověřování – například aktivní sondování nebo kontrolu hlaviček.

Mezitím jsou v seznamu zranitelností ty, které nelze odhalit bez pokusů o simulaci útoků – patří mezi ně např. náchylnost k útokům „Packet Storm“..

Ve výchozím nastavení jsou takové metody ověřování v systému zakázány.

Uživatel je bude muset povolit sám.

Mezi skenery, které používají třetí metodu skenování zranitelností, patří systémy jako Internetový skener A Skener CyberCop. V první aplikaci jsou zvýrazněny kontroly do samostatné kategorie „Odepření služby“. Při použití jakékoli funkce ze seznamu program upozorní na nebezpečí selhání nebo restartu kontrolovaného uzlu s upozorněním, že za spuštění kontroly je odpovědný uživatel.

Hlavní kroky testování zranitelnosti

Většina softwaru, který provádí skenování zranitelnosti funguje takto:

1 Shromažďuje všechny potřebné informace o síti nejprve identifikací všech aktivních zařízení v systému a softwaru, který na nich běží. Pokud je analýza prováděna pouze na úrovni jednoho PC s již nainstalovaným skenerem, je tento krok přeskočen.

2 Snaží se najít potenciální zranitelnosti, pomocí speciálních databází porovnávat přijaté informace s již známými typy „děr“ v zabezpečení. Porovnání se provádí pomocí aktivního snímání nebo kontroly záhlaví.

3 Potvrzuje nalezená zranitelnost pomocí speciálních technik- imitace určitého typu útoku, který může prokázat přítomnost nebo nepřítomnost hrozby.

4 Generuje zprávy na základě informací shromážděných během skenování popisující zranitelnosti.

Poslední fází kontroly je automatická oprava nebo pokus o vyřešení problémů. Tato funkce je dostupná téměř v každém systémovém skeneru a ve většině síťových aplikací pro kontrolu zranitelností chybí.

Rozdíly v práci různých programů

Některé skenery sdílejí zranitelná místa.

Například, systém NetSonar rozděluje je na síťové, které mohou ovlivnit směrovače, tedy závažnější, a místní, které ovlivňují pracovní stanice.

Internetový skener rozděluje hrozby do tří úrovní – nízké, vysoké a střední.

Tyto dva skenery mají ještě několik rozdílů.

S jejich pomocí jsou sestavy nejen vytvářeny, ale také rozděleny do několika skupin, z nichž každá je určena konkrétním uživatelům - od vedoucích organizace.

Navíc pro první je vydán maximální počet čísel, pro manuál - krásně navržené grafy a diagramy s malým množstvím detailů.

Součástí zpráv generovaných skenery jsou doporučení pro odstranění nalezených zranitelností.

Většina těchto informací je obsažena v datech vydávaných programem Internet Scanner, který vydává podrobné pokyny pro řešení problému s přihlédnutím k vlastnostem různých operačních systémů.

Mechanismus odstraňování problémů je ve skenerech implementován odlišně. Takže v System Scanneru je na to speciální skript, který spustí administrátor, aby problém vyřešil. Zároveň se vytváří druhý algoritmus, který dokáže korigovat provedené změny, pokud první vedl ke zhoršení provozu nebo selhání jednotlivých uzlů. Ve většině ostatních programů skeneru neexistuje způsob, jak vrátit změny zpět.

Kroky správce k odhalení zranitelnosti

Při hledání „děr“ v zabezpečení se může správce řídit třemi algoritmy.

První a nejoblíbenější možnost– pouze kontrola sítě na potenciální zranitelnosti. Umožňuje vám zobrazit náhled systémových dat bez narušení provozu uzlů a poskytuje maximální rychlost analýzy.

Druhá možnost– skenování s ověřením a potvrzením zranitelností. Tato technika zabere více času a může způsobit selhání softwaru počítačů v síti během implementace mechanismu simulace útoku.

Metoda číslo 3 zahrnuje využití všech tří mechanismů (navíc s právy správce i uživatele) a snahu o odstranění zranitelností na jednotlivých počítačích. Vzhledem ke své nízké rychlosti a riziku rozbití softwaru se tato metoda používá jen zřídka - zejména pokud existují vážné důkazy o „dírách“.

Schopnosti moderních skenerů

Hlavní požadavky na program skeneru, který kontroluje zranitelnost systému a jeho jednotlivých uzlů, jsou jsou:

Multiplatformní nebo podpora více operačních systémů. Pomocí této funkce můžete skenovat síť skládající se z počítačů s různými platformami. Například se systémy typu UNIX nebo dokonce s nimi.
Schopnost skenovat více portů současně- tato funkce výrazně zkracuje dobu ověření.
Skenování všech typů softwaru, které jsou obvykle napadeny hackery. Takový software zahrnuje produkty společnosti a (například balík kancelářských aplikací MS Office).
Kontrola sítě jako celku a jejích jednotlivých prvků bez nutnosti spouštět sken pro každý uzel v systému.

Většina moderních skenovacích programů má intuitivní nabídku a lze je poměrně snadno konfigurovat v souladu s prováděnými úkoly.

Téměř každý takový skener vám tedy umožňuje sestavit seznam prohledaných uzlů a programů, určit aplikace, pro které se budou aktualizace automaticky instalovat při zjištění zranitelnosti, a nastavit frekvenci skenování a hlášení.

Jakmile jsou hlášení přijata, skener umožní správci spustit nápravu hrozeb.

Mezi další funkce skenerů lze zaznamenat možnost úspory provozu, která se získá stažením pouze jedné kopie distribuce a její distribucí do všech počítačů v síti. Další důležitou funkcí je ukládání historie minulých kontrol, což umožňuje vyhodnocovat činnost uzlů v určitých časových intervalech a vyhodnocovat rizika nových bezpečnostních problémů.

Skenery zranitelnosti sítě

Nabídka programů pro skenování je poměrně velká.

Všechny se od sebe liší funkčností, efektivitou hledání zranitelností a cenou.

Chcete-li vyhodnotit možnosti takových aplikací, stojí za to zvážit vlastnosti a vlastnosti pěti nejoblíbenějších možností.

GFI LanGuard

Výrobce GFI Software je považován za jednoho z lídrů na globálním trhu informační bezpečnosti a jeho produkty jsou zařazeny do hodnocení nejpohodlnějších a nejúčinnějších programů pro kontrolu zranitelnosti.

Jednou z takových aplikací, která zabezpečuje síť a jednotlivé počítače, je GFI LanGuard, jehož vlastnosti zahrnují:

rychlé posouzení stavu přístavů v systému;
vyhledávat nebezpečná nastavení na síťových počítačích a programy, doplňky a záplaty, jejichž instalace je zakázána;
schopnost skenovat nejen jednotlivé počítače a servery, ale také virtuální stroje zahrnuté v systému a dokonce i připojené smartphony;
vypracování podrobné zprávy na základě výsledků skenování s uvedením zranitelností, jejich parametrů a způsobů jejich odstranění;
intuitivní ovládání a možnost konfigurovat automatický provoz - v případě potřeby se skener spustí v určitou dobu a všechny opravy se provedou bez zásahu správce;
schopnost rychle eliminovat nalezené hrozby, měnit nastavení systému, aktualizovat povolený software a odstraňovat zakázané programy.

Rozdíl mezi tímto skenerem a většinou analogů je instalace aktualizací a oprav pro téměř jakýkoli operační systém.

Tato funkce a další výhody GFI LanGuard jej řadí na první místo v seznamu softwaru pro skenování zranitelnosti sítě.

Náklady na použití skeneru jsou přitom relativně malé a dostupné i pro malé firmy.

Nessus

Program Nessus byl poprvé vydán před 20 lety, ale teprve od roku 2003 se stal placeným.

Monetizace projektu nezmenšila jeho popularitu – vzhledem k efektivitě a rychlosti práce používá právě tento skener každý šestý správce na světě.

Mezi výhody výběru Nessus patří:

neustále aktualizovaná databáze zranitelností;
jednoduchá instalace a uživatelsky přívětivé rozhraní;
efektivní detekce bezpečnostních problémů;
použití pluginů, z nichž každý plní svůj vlastní úkol – například zajišťuje skenování OS Linux nebo spouští kontrolu pouze hlaviček.

Další funkce skeneru- možnost používat testy vytvořené uživateli pomocí speciálního softwaru. Zároveň má program dvě vážné nevýhody. Prvním je možnost selhání některých programů při skenování metodou „imitace útoku“, druhým je poměrně vysoká cena.

Kontrola zabezpečení Symantec

Security Check je bezplatný skener od společnosti Symantec.

Mezi jeho funkcemi stojí za zmínku vyhledávání nejen zranitelností, ale také virů – včetně makrovirů, trojských koní a internetových červů. Ve skutečnosti se aplikace skládá ze 2 částí - skeneru Security Scan, který zajišťuje zabezpečení sítě, a antivirové detekce virů.

Mezi výhody programu patří jednoduchá instalace a možnost práce přes prohlížeč. Mezi mínusy je zaznamenána nízká účinnost - všestrannost produktu, která mu umožňuje také hledat viry, jej činí nepříliš vhodným pro kontrolu sítě. Většina uživatelů doporučuje používat tento skener pouze pro dodatečné kontroly.

XSpider

Skener XSpider vyrábí společnost Positive Technologies, jejíž zástupci tvrdí, že program nejen detekuje již známé zranitelnosti, ale dokáže najít hrozby, které ještě nebyly vytvořeny.

Mezi funkce aplikace patří:

efektivní detekce „děr“ v systému;
schopnost pracovat na dálku bez instalace dalšího softwaru;
vytváření podrobných zpráv s radami pro odstraňování problémů;
aktualizace databáze zranitelností a programových modulů;
simultánní skenování velkého počtu uzlů a pracovních stanic;
uložení historie kontrol pro další analýzu problémů.

Za zmínku také stojí, že náklady na používání skeneru jsou ve srovnání s programem Nessus dostupnější. I když vyšší než GFI LanGuard.

QualysGuard

Skener je považován za multifunkční a umožňuje získat podrobnou zprávu s posouzením úrovně zranitelnosti, času na jejich odstranění a úrovně dopadu „hrozby“ na podnikání.

Vývojář produktu, Qualys, Inc., dodává software stovkám tisíc zákazníků, včetně poloviny největších světových společností.

závěry

Vzhledem k široké škále aplikací pro skenování sítě a jejích uzlů na zranitelnosti je práce administrátora značně usnadněna.

Nyní nemusí sám ručně spouštět všechny skenovací mechanismy - stačí najít správnou aplikaci, vybrat metodu skenování, nakonfigurovat a použít doporučení přijaté zprávy.

Výběr správného skeneru by měl být založen na funkčnosti aplikace, efektivitě vyhledávání hrozeb (která je určována zpětnou vazbou uživatelů) - a, což je také docela důležité, za cenu, která by měla být srovnatelná s hodnotou informace, které jsou chráněny.

Security Scanner: Detekce zranitelností sítě, správa aktualizací a záplat, automatické opravy problémů, audit softwaru a hardwaru. GFI Zabezpečení sítě">Zabezpečení sítě 2080

Skener zabezpečení sítě a centralizovaná správa aktualizací

GFI LanGuard pracuje jako virtuální bezpečnostní konzultant:

- Spravuje aktualizace pro Windows ® , Mac OS ® a Linux ®

- Detekuje zranitelnosti počítačů a mobilních zařízení

— Audituje síťová zařízení a software

GFI Languard - bezpečnostní skener pro sítě jakéhokoli rozsahu: skener síťových portů a zranitelností, bezpečnostní skener, automaticky najde díry v síti

Co je GFI LanGuard

Více než skener zranitelnosti!

GFI LanGuard je síťový bezpečnostní skener: detekuje, identifikuje a opravuje zranitelná místa v síti. Úplné skenování portů, aktualizace softwaru pro ochranu sítě a audity softwaru a hardwaru jsou dostupné z jediného ovládacího panelu.

Skener portů

Několik přednastavených profilů kontroly umožňuje provést úplnou kontrolu všech portů a také rychle zkontrolovat pouze ty, které běžně používá nežádoucí a škodlivý software. GFI LanGuard skenuje více hostitelů současně, čímž výrazně zkracuje požadovaný čas, a poté porovnává nalezený software na vytížených portech s očekávaným.

Aktualizace a záplaty

Dokud nejsou nainstalovány nejnovější aktualizace, vaše uzly jsou zcela nechráněné, protože jsou to nejnovější zranitelnosti, které jsou uzavřeny aktuálními záplatami a aktualizacemi, které hackeři používají k pronikání do vaší sítě. Na rozdíl od nástrojů zabudovaných v OS GFI LanGuard zkontroluje nejen samotný OS, ale také populární software, jehož zranitelnosti se obvykle používají k hackování: Adobe Acrobat / Reader, Flash Player, Skype, Outlook, prohlížeče, instant messenger.

Audit uzlu

GFI LanGuard vám poskytne podrobný seznam nainstalovaného softwaru a hardwaru na každém z vašich počítačů, detekuje zakázané nebo chybějící programy a také nepotřebná připojená zařízení. Výsledky více skenů lze porovnat a identifikovat změny v kombinaci softwaru a hardwaru.

Nejnovější údaje o hrozbách

Každý sken se provádí po aktualizaci dat o zranitelnostech, jejichž počet v databázi GFI LanGuard již přesáhl 50 000. Informace o hrozbách poskytují samotní dodavatelé softwaru, stejně jako zavedené seznamy SANS a OVAL, takže jste vždy chráněni před nejnovějšími hrozbami, včetně heartbleed, tajné, shellshock, pudla, sandworm a dalších.

Automatická oprava

Poté, co obdržíte podrobnou zprávu o skenování s popisem každé zranitelnosti a odkazy na další literaturu, můžete většinu hrozeb opravit jedním kliknutím na tlačítko „Opravit“: porty budou uzavřeny, klíče registru opraveny, záplaty nainstalovány, software aktualizován, zakázán programy odstraněny a chybějící programy budou nainstalovány.

Proces zvaný skenování zranitelnosti je zkoumání jednotlivých hostitelů nebo sítí na potenciální hrozby.

A potřeba kontrolovat zabezpečení vzniká u IT profesionálů poměrně často – zejména pokud jde o velké organizace, které mají cenné informace, které mohou útočníci potřebovat.

Správci malých sítí by takové skenování neměli zanedbávat, zvláště když v roce 2017 byly stovky tisíc počítačů vystaveny vážným útokům rozsáhlého ransomwaru, který spustili hackeři.

Použití skenerů zranitelnosti

Specialisté na informační bezpečnost používají vhodný software, aby prohledali sítě pro slabá místa v jejich bezpečnostních systémech.

Takové programy se nazývají skenery zranitelnosti.

Principem jejich práce je kontrolovat aplikace, které běží na počítačích v síti, a hledat takzvané „díry“, kterými by se lidé zvenčí mohli dostat k důležitým informacím.

Správné používání programů, které dokážou detekovat zranitelnost sítě, umožňuje IT odborníkům vyhnout se problémům s odcizenými hesly a řešit takové úkoly:

vyhledat škodlivý kód, který se dostal do počítače;
inventarizace softwaru a dalších systémových prostředků;
vytváření reportů obsahujících informace o zranitelnostech a způsobech jejich odstranění.

Skenery zranitelnosti mají zvláštní význam pro ty organizace, jejichž činnosti zahrnují zpracování a ukládání cenných archivů a důvěrných informací. Takové programy vyžadují společnosti zabývající se vědeckým výzkumem, medicínou, obchodem, informačními technologiemi, reklamou, financemi a dalšími úkoly, kterým může únik informací zabránit.

Skenovací mechanismy

Skenování zranitelnosti se provádí pomocí dvou hlavních mechanismů − skenování a sondování.

První možnost předpokládá, že program skeneru provádí pasivní analýzu a určuje přítomnost bezpečnostních problémů pouze na základě řady nepřímých znaků, ale bez skutečných důkazů.

Tato technika se nazývá „logická inference“ a Jeho principy jsou následující kroky:

1. Identifikace portů otevřených na každém ze zařízení v síti;

2. Sbírka hlaviček spojených s porty a nalezených během skenování;

3. Porovnání přijatých hlaviček se speciální tabulkou obsahující pravidla pro určování zranitelností;

4. Získání závěrů o přítomnosti nebo nepřítomnosti bezpečnostních problémů v síti.

Proces zvaný „sondování“ je aktivní testovací technika, která vám umožňuje s téměř stoprocentní jistotou ověřit, zda jsou v síti zranitelná místa či nikoli.

Ve srovnání s rychlostí skenování je relativně pomalý, ale ve většině případů je přesnější.

Metoda, které se také říká „potvrzení“, využívá informace získané během předběžné kontroly k ještě efektivnější analýze každého síťového zařízení a potvrzení nebo vyvrácení přítomnosti hrozeb.

Kontrola záhlaví

Příkladem takové kontroly může být skenování záhlaví pomocí aplikace Sendmail, která vám umožňuje určit verze softwaru a ověřit, zda existují nějaké problémy nebo ne.

Tato technika je považována za nejjednodušší a nejrychlejší, ale má to řadu nevýhod:

Ne příliš vysoká účinnost ověření. Kromě toho mohou útočníci změnit informace v hlavičkách, odstranit čísla verzí a další informace, které skener používá k získání výstupů. Na jednu stranu pravděpodobnost takové změny není příliš vysoká, na druhou stranu by se neměla zanedbávat.
Neschopnost přesně určit, zda jsou data obsažená v záhlaví důkazem zranitelnosti. V první řadě se to týká programů, které jsou dodávány se zdrojovým kódem. Při opravě jejich zranitelností je třeba ručně změnit čísla verzí v hlavičkách - někdy na to vývojáři jednoduše zapomenou.
V pravděpodobnost výskytu chyby zabezpečení v budoucích verzích aplikace, a to i poté, co byl odstraněn z předchozích úprav.

Aktivní sondovací kontroly

Technika, známá také jako „aktivní kontrola sondování“, není založena na kontrole verzí softwaru v hlavičkách, ale na analýze a porovnávání digitálních „castů“ programů s informacemi o již známých zranitelnostech.

Princip jeho práce trochu jako algoritmus antivirových aplikací, která zahrnuje porovnání naskenovaných fragmentů s virovými databázemi.

Do stejné skupiny technik patří také kontrola data vytvoření naskenovaného softwaru nebo kontrolních součtů, což umožňuje ověřit pravost a integritu programů.

Tyto informace někdy využívají jak systémy bezpečnostní analýzy, tak software, jehož úkolem je odhalovat útoky. Obecně platí, že technika aktivního snímání používaná velkými společnostmi, jako jsou ISS a Cisco, je mnohem rychlejší než jiné metody – i když její implementace je obtížnější než kontrola hlavičky.

Imitace útoků

Další metoda v angličtině je tzv "kontrola zneužití", který lze přeložit do ruštiny jako "imitace útoku".

Verifikace prováděná s jeho pomocí je také jednou z možností sondování a je založena na hledání programových defektů jejich zesílením.

Technika má následující vlastnosti:

některé bezpečnostní díry nelze odhalit, dokud není simulován skutečný útok proti podezřelým službám a uzlům;
skenovací programy kontrolují softwarové hlavičky během falešného útoku;
při skenování dat jsou zranitelnosti detekovány mnohem rychleji než za normálních podmínek;
simulací útoků můžete najít více zranitelností (pokud byly původně) než pomocí dvou předchozích metod - míra detekce je sice poměrně vysoká, ale použití této metody není vždy vhodné;
situace, které neumožňují spustit „imitační útoky“, se dělí do dvou skupin – hrozba problémů s údržbou kontrolovaného softwaru nebo zásadní nemožnost napadení systému.

Je nežádoucí používat tuto techniku, pokud jsou objekty ověřování zabezpečené servery s cennými informacemi.

Útok na takové počítače může vést k vážné ztrátě dat a selhání důležitých síťových prvků a náklady na obnovu výkonu mohou být příliš vysoké, i když vezmeme v úvahu zvýšení zabezpečení systému.

V tomto případě je žádoucí použít jiné způsoby ověřování – například aktivní sondování nebo kontrolu hlaviček.

Mezitím jsou v seznamu zranitelností ty, které nelze odhalit bez pokusů o simulaci útoků – patří mezi ně např. náchylnost k útokům, jako je "Packet Storm".

Ve výchozím nastavení jsou takové metody ověřování v systému zakázány.

Uživatel je bude muset povolit sám.

Hlavní kroky testování zranitelnosti

Většina softwaru, který provádí skenování zranitelnosti funguje takto:

1. Shromažďuje všechny potřebné informace o síti nejprve identifikací všech aktivních zařízení v systému a softwaru, který na nich běží. Pokud je analýza prováděna pouze na úrovni jednoho PC s již nainstalovaným skenerem, je tento krok přeskočen.

2. Snaží se najít potenciální zranitelnosti, pomocí speciálních databází porovnávat přijaté informace s již známými typy „děr“ v zabezpečení. Porovnání se provádí pomocí aktivního snímání nebo kontroly záhlaví.

3. Potvrzuje nalezená zranitelnost pomocí speciálních technik- imitace určitého typu útoku, který může prokázat přítomnost nebo nepřítomnost hrozby.

4. Generuje zprávy na základě informací shromážděných během skenování popisující zranitelnosti.

Rozdíly v práci různých programů

Některé skenery kategorizují zranitelnosti podle úrovně ohrožení.

Například, systém NetSonar rozděluje je na síťové, které mohou ovlivnit směrovače, tedy závažnější, a místní, které ovlivňují pracovní stanice.

Internetový skener rozděluje hrozby do tří úrovní – nízké, vysoké a střední.

Tyto dva skenery mají ještě několik rozdílů.

S jejich pomocí se reporty nejen vytvářejí, ale také rozdělují do několika skupin, z nichž každá je určena konkrétním uživatelům – od správců sítě až po lídry firem.

Navíc pro první je vydán maximální počet čísel, pro manuál - krásně navržené grafy a diagramy s malým množstvím detailů.

Součástí zpráv generovaných skenery jsou doporučení pro odstranění nalezených zranitelností.

Kroky správce k odhalení zranitelnosti

Při hledání „děr“ v zabezpečení se může správce řídit třemi algoritmy.

Schopnosti moderních skenerů

Hlavní požadavky na program skeneru, který kontroluje zranitelnost systému a jeho jednotlivých uzlů, jsou jsou:

Multiplatformní nebo podpora více operačních systémů. Pomocí této funkce můžete skenovat síť skládající se z počítačů s různými platformami. Například s více verzemi Windows nebo dokonce systémy jako UNIX.
Schopnost skenovat více portů současně- tato funkce výrazně zkracuje dobu ověření.
Skenování všech typů softwaru, které jsou obvykle napadeny hackery. Takový software zahrnuje produkty společností Adobe a Microsoft (například sada kancelářských aplikací MS Office).
Kontrola sítě jako celku a jejích jednotlivých prvků bez nutnosti spouštět sken pro každý uzel v systému.

Většina moderních skenovacích programů má intuitivní nabídku a lze je poměrně snadno konfigurovat v souladu s prováděnými úkoly.

Jakmile jsou hlášení přijata, skener umožní správci spustit nápravu hrozeb.

Skenery zranitelnosti sítě

Nabídka skenerových programů na moderním softwarovém trhu je poměrně velká.

Všechny se od sebe liší funkčností, efektivitou hledání zranitelností a cenou.

Chcete-li vyhodnotit možnosti takových aplikací, stojí za to zvážit vlastnosti a vlastnosti pěti nejoblíbenějších možností.

GFI LanGuard

Jednou z takových aplikací, která zabezpečuje síť a jednotlivé počítače, je GFI LanGuard, jehož vlastnosti zahrnují:

rychlé posouzení stavu přístavů v systému;
vyhledávat nebezpečná nastavení na síťových počítačích a programy, doplňky a záplaty, jejichž instalace je zakázána;
schopnost skenovat nejen jednotlivé počítače a servery, ale také virtuální stroje zahrnuté v systému a dokonce i připojené smartphony;
vypracování podrobné zprávy na základě výsledků skenování s uvedením zranitelností, jejich parametrů a způsobů jejich odstranění;
intuitivní ovládání a možnost konfigurovat automatický provoz - v případě potřeby se skener spustí v určitou dobu a všechny opravy se provedou bez zásahu správce;
schopnost rychle eliminovat nalezené hrozby, měnit nastavení systému, aktualizovat povolený software a odstraňovat zakázané programy.

Rozdíl mezi tímto skenerem a většinou analogů je instalace aktualizací a oprav pro téměř jakýkoli operační systém.

Tato funkce a další výhody GFI LanGuard jej řadí na první místo v seznamu softwaru pro skenování zranitelnosti sítě.

Náklady na použití skeneru jsou přitom relativně malé a dostupné i pro malé firmy.

Nessus

Program Nessus byl poprvé vydán před 20 lety, ale teprve od roku 2003 se stal placeným.

Monetizace projektu nezmenšila jeho popularitu – vzhledem k efektivitě a rychlosti práce používá právě tento skener každý šestý správce na světě.

Mezi výhody výběru Nessus patří:

neustále aktualizovaná databáze zranitelností;
jednoduchá instalace a uživatelsky přívětivé rozhraní;
efektivní detekce bezpečnostních problémů;
použití pluginů, z nichž každý plní svůj vlastní úkol – například zajišťuje skenování OS Linux nebo spouští kontrolu pouze hlaviček.

Kontrola zabezpečení Symantec

Security Check je bezplatný skener od společnosti Symantec.

Mezi jeho funkcemi stojí za zmínku vyhledávání nejen zranitelností, ale také virů – včetně makrovirů, trojských koní a internetových červů. Ve skutečnosti se aplikace skládá ze 2 částí – Security Scan, který zajišťuje zabezpečení sítě, a Virus Detection antivirus.

XSpider

Mezi funkce aplikace patří:

efektivní detekce „děr“ v systému;
schopnost pracovat na dálku bez instalace dalšího softwaru;
vytváření podrobných zpráv s radami pro odstraňování problémů;
aktualizace databáze zranitelností a programových modulů;
simultánní skenování velkého počtu uzlů a pracovních stanic;
uložení historie kontrol pro další analýzu problémů.

Za zmínku také stojí, že náklady na používání skeneru jsou ve srovnání s programem Nessus dostupnější. I když vyšší než GFI LanGuard.

QualysGuard

Skener je považován za multifunkční a umožňuje získat podrobnou zprávu s posouzením úrovně zranitelnosti, času na jejich odstranění a úrovně dopadu „hrozby“ na podnikání.

Vývojář produktu, Qualys, Inc., dodává software stovkám tisíc zákazníků, včetně poloviny největších světových společností.

Rozdílem programu je přítomnost cloudového databázového úložiště a vestavěné sady aplikací, což umožňuje nejen zvýšit zabezpečení sítě, ale také snížit náklady na její uvedení do různých požadavků.

Software umožňuje skenovat firemní webové stránky, jednotlivé počítače i celou síť.

Výsledkem kontroly je zpráva, která se automaticky odešle administrátorovi a obsahuje doporučení pro odstranění zranitelnosti.

závěry

Vzhledem k široké škále aplikací pro skenování sítě a jejích uzlů na zranitelnosti je práce administrátora značně usnadněna.

Nyní nemusí sám ručně spouštět všechny skenovací mechanismy - stačí najít správnou aplikaci, vybrat metodu skenování, nakonfigurovat a použít doporučení přijaté zprávy.

Je čas seznámit se s dalším typem softwaru určeného k ochraně před internetovými hrozbami. Skenery zranitelnosti- jedná se o komplexní řešení, která mohou být hardwarová i softwarová navržená tak, aby neustále kontrolovala stav podnikové sítě na přítomnost virů nebo podezřelých procesů. Jejich hlavním úkolem je posoudit bezpečnost procesů a najít zranitelnosti a opravit je.

Skener zranitelnosti neboli skener zranitelnosti, dává administrátorovi možnost vyhledávat „díry“ nebo „zadní vrátka“ v síti, s jejichž pomocí mohou hackeři a podvodníci získat přístup k firemní síti a důvěrným datům. Kromě toho skenery obsahují nástroje pro skenování běžících služeb a procesorů a také skenery portů.

Na základě toho můžeme rozlišit následující funkce skenerů zranitelnosti:

Vyhledávání zranitelností a jejich analýza.
Zkontrolujte všechny síťové zdroje, zařízení, operační systém, porty, aplikace, procesy atd.
Vytváření zpráv, které označují zranitelnost, její distribuční cestu a povahu.

Jak fungují skenery zranitelnosti?

Skener je založen na dvou mechanismech. První mechanismus je tzv znějící. Není to příliš rychlý, ale nejúčinnější nástroj aktivní analýzy. Jeho podstata spočívá v tom, že on sám zahajuje útoky a sleduje, kam mohou tyto útoky směřovat. Během sondování se potvrzují možné dohady a možnost průchodu útoků na určité směry.

Dalším mechanismem je snímání. V tomto případě nástroj funguje rychle, ale provádí se pouze povrchová analýza sítě podle nejčastějších a možných „děr“ v zabezpečení sítě. Rozdíl oproti druhému způsobu je v tom, že nepotvrzuje přítomnost zranitelnosti, ale pouze informuje administrátora o její možnosti na základě nepřímých znaků. Například se skenují porty, určí se jejich hlavičky a poté se porovnají s referenčními tabulkami a pravidly. V případě nesrovnalostí v hodnotách skener upozorní, že byla nalezena potenciální zranitelnost, kterou by měl správce spolehlivěji prověřit.

Základní principy skenerů zranitelnosti

Sběr všech informací o síti, identifikace všech služeb, zařízení a procesů.

Hledejte potenciální zranitelnosti

Použití specializovaných metod a modelování útoků k potvrzení zranitelnosti (neexistuje ve všech síťových skenerech)

Výběr nejlepších skenerů zranitelnosti

Nessus. Již poměrně dávno, od roku 1998, začala Tenable Network Security vyvíjet vlastní skener zranitelností, díky kterému má bohaté zkušenosti a je ve svém oboru daleko napřed. Po mnoho let byl jejich skener komerčním softwarem. Klíčovou vlastností skeneru Nessus je možnost rozšíření funkčnosti pomocí pluginů. Výkonné testy, jako jsou penetrační testy či jiné, se tedy neinstalují společně s hlavním modulem, ale v případě potřeby se připojují samostatně. Všechny pluginy lze rozdělit do 42 kategorií. To znamená, že například pro provedení pintestu (penetračního testu) není nutné provádět úplné skenování, ale můžete vybrat pouze testy z určité kategorie nebo vybrat testy ručně. Nessus má navíc svůj speciální skriptovací jazyk, takže administrátoři mohou sami psát potřebné testy.

Kontrola zabezpečení Symantec. Hlavními funkcemi tohoto skeneru je vyhledávání červů, trojských koní, virů a také skenování místní sítě pro detekci infekcí. Tento produkt se instaluje bez problémů a má hlavní ovládací centrum v prohlížeči. Řešení obsahuje dva moduly: SecurityScan a VirusDetection. První se zabývá skenováním sítě, druhý skenuje a kontroluje zařízení na přítomnost virů.Někteří odborníci doporučují pro dodatečné kontroly použít řešení od společnosti Symantec.

xspider. Podle vývojáře je jejich řešení schopno odhalit třetinu všech možných zranitelností, nazývaných „zero day“. Hlavní výhodou tohoto skeneru je schopnost detekovat maximální počet „děr“ v bezpečnostním systému dříve, než je hackeři najdou. Tento skener nevyžaduje žádný další software. Po analýze vygeneruje úplnou zprávu s nalezenými zranitelnostmi a možnými způsoby, jak je odstranit.

Rapid 7 Neexpose. Rapid 7 je podle statistik nejrychleji rostoucí společností v poslední době. Poměrně nedávno společnost koupila projekt Metaspoilt Fremawork, který vytvořil dnes populární NeXpose. Chcete-li používat komerční verzi produktu, budete muset zaplatit vysokou částku za licenci, existuje však také dostupnější komunitní verze, která má horší funkčnost. Produkt se snadno integruje s Metasoiltem. Schéma fungování tohoto řešení není jednoduché, nejprve musíte spustit NeXpose, poté konzolu pro správu Metaspoilt a teprve poté můžete zahájit skenování, které se kvůli tomu všemu nekonfiguruje pomocí ovládacího panelu, ale pomocí speciálních příkazů. Speciální funkcí je možnost spouštět různé moduly Metaspoilt s NeXpose.