Принципы работы систем анализа защищенности

Для понимания принципов работы систем анализа защищенно-сти, необходимо обозначить некоторые термины и определения. Клю-чевое понятие данного занятия – это «уязвимость». Под уязвимостью защиты ОС понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкцио-нированного доступа (НСД) к информации. Системы анализа защи-щенности способны обнаруживать уязвимости в сетевой инфраструк-туре, анализировать и выдавать рекомендации по их устранению, а

также создавать различного рода отчеты. К типичным уязвимостям можно отнести:

• отсутствие обновлений системы безопасности ОС;

• неправильные настройки систем безопасности ОС;

• несоответствующие пароли;

• восприимчивость к проникновению из внешних систем;

• программные закладки;

• неправильные настройки системного и прикладного ПО, уста-

новленного на ОС.

Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном приклад-ном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканиро-вание и зондирование[4]. Из-за первого подхода системы анализа за-щищенности еще называют «сканерами безопасности» или просто «сканерами».

При сканировании система анализа защищенности пытается оп-ределить наличие уязвимости по косвенным признакам, т.е. без фак-тического подтверждения ее наличия – это пассивный анализ. Данный подход является наиболее быстрым и простым в реализации. При зон-дировании система анализа защищенности имитирует ту атаку, кото-рая использует проверяемую уязвимость, т.е. происходит активный анализ. Данный подход медленнее сканирования, но позволяет убе-диться, присутствует или нет на анализируемом компьютере уязви-мость,

На практике эти два подхода реализуются в сканерах безопас-ности через следующие методы проверки [4]:

1) Проверка заголовков (Banner check);

2) Активные зондирующие проверки (Active probing check);

3) Имитация атак (Exploit check).

Первый метод основан на подходе «сканирование» и позволяет де-лать вывод об уязвимостях, опираясь на информацию в заголовке от-вета на запрос сканера безопасности. Примером такой проверки мо-жет быть анализ заголовков почтовой программы Sendmail, в резуль-тате которого можно узнать её версию и сделать вывод о наличии в ней уязвимости.

Активные зондирующие проверки также основаны на подходе «сканирование». Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хра-

нящейся в базе данных системы анализа защищенности. Разновидно-стями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.

Метод имитации атак основан на использовании различных дефек-тов в программном обеспечении, и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без бло-кирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных сер-веров корпоративной сети нежелательно использование данного ме-тода, т.к. он может вывести их из строя. И в таком случае сканер безо-пасности успешно реализует атаку «Denial of service» (отказ в обслу-живании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключе-ны. При их включении в процесс сканирования обычно выдается пре-дупредительное сообщение (рис. 4.1).

Рис. 4.1. Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования.

Дата добавления: 2014-11-29; Просмотров: 746; Нарушение авторских прав?; Мы поможем в написании вашей работы!