img

Базовая оценка уязвимости сети

Что такое оценка уязвимости? (Vulnerability assessments)

Posted by admin on 17rd January 2015

В компьютерной безопасности термин «уязвимость» (vulnerability) используется для обозначения недостатка системы, который позволяет атакующему нарушить неприкосновенность системы. Уязвимости могут быть результатом слабых паролей, ошибок в программном обеспечении, неправильной настройки программного обеспечения, компьютерного вируса или другой вредоносной программы, например инъекции скрипт-кода или SQL-инъекции.

 

A vulnerability assessment is the process of identifying, quantifying, and prioritizing (or ranking) the vulnerabilities in a system.

Оценка уязвимости - процесс идентификации, определение количества и приоритизация (или рейтинг) слабых мест тестируемой системы.

img

Цикл снижения ущерба от уязвимости

Detection – Определение; Isolation – Изоляция; Remediation – Исправление; Notification – Извещение

  • Риск безопасности классифицируется как уязвимость, если признаётся, что в результате его наличия можно совершить атаку.
  • Риск безопасности в комплексе с одним или более известных случаев, работоспособных и полностью завершённых атак, классифицируется как эксплойт.
  • Продукты созданные на различных языках программирования, громоздкие в написании и сложные в использовании, являются наибольшим источником уязвимостей.
  •  

    Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь – это, определённо, уязвимость. Если он на самом деле сделает это – это эксплойт. Физическая безопасность – один из наиболее важных аспектов, которым нужно придавать значение. Если взломщик получит физический доступ к серверу – сервер уже больше не ваш! Потому что, если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, – они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах. Убедитесь достоверно в том, что на всех ваших ноутбуках проведено FDE (Full Disk Encryption, полное шифрование диска), также известное как WDE (Whole Disk Encryption, шифрование диска целиком).

    Выводы «ваши системы/сети» уязвимы – не предоставляют никакой ценности. Оценка уязвимости без всеобъемлющего отчёта абсолютно бессмыслена. С использованием автоматических инструментов для сканирования сетей можно создать отчёты работы утилит и разослать их, но всё это не представляет большой ценности, так как отчёт может состоять из тысяч страниц. Гораздо лучше выявить «топ-10» уязвимостей из всех имеющихся и создать на их основе отчёт.

    Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.

    Отчётность

    Способность создавать отчёты очень важна для администраторов в ориентированном на документацию бизнесе, но вы должны не только выполнять свою работу, но также предоставлять письменное подтверждение того, каким образом это было сделано.

    Результатом сканирования могут являться сотни и тысячи результатов, но эти данные невозможно использовать до тех пор, пока они не будут преобразованы в удобный для восприятия вид. Это означает, что в идеале вы должны иметь возможность сортировать и делать перекрёстные ссылки на данные, экспортировать их в другие программы и форматы (такие как CSV, HTML, XML, MHT, MDB, Excel, Word и/или Lotus), просматривать их различными способами, а также легко сравнивать их с результатами предыдущих сканирований.

    Всесторонние, гибкие и настраиваемые отчёты будут использоваться в вашем отделе для предоставления рекомендаций по техническим шагам, которые вы должны предпринять, но это ещё не всё. Хорошие отчёты также предоставляют вам инструменты, которые понадобятся для оправдания затрат на обеспечение необходимых мер безопасности перед руководством.

    Фактор «Это с нами не произойдет»

    С практической точки зрения, CEO (генеральные директора), CIO (директора по информационным технологиям) и администраторы – обычные люди, и ничто человеческое им не чуждо, включая склонность делать допущения, согласно которым плохие вещи случаются с «другими людьми», но не с нами. Сотрудники, ответственные за решения в организациях, думают, что их компании не являются желанными целями для хакеров. («С чего бы это злоумышленнику желать вторгаться в сеть Widgets, Inc., когда можно атаковать министерство обороны или Microsoft, или кого-нибудь ещё, кто более интересен?»)

    Почему оценка уязвимости?

    Организации имеют огромные возможности по использованию информационных технологий для увеличения производительности. Обеспечение защиты информации и систем передачи информации будет необходимым фактором для получения преимуществ от использования дополнительных возможностей для увеличения коммуникабельности, скорости и информационных потоков. Тем не менее, никакие меры обеспечения безопасности не будут гарантировать полную защиту от рисков в окружении, в котором производится работа. В сущности, многим организациям потребуется предоставлять более лёгкий доступ пользователям к частям их информационных систем, вследствие чего возрастает потенциальная опасность. Ошибки администратора, например, являются одной из основных причин уязвимостей, которые могут эксплуатироваться начинающим хакером, при этом неважно, находится он вне организации или является инсайдером. Обычное использование инструментов анализа уязвимости наряду с непосредственным реагированием на обнаруженные проблемы снижают этот риск. Из этого следует, что применение оценки уязвимости должно быть стандартным элементом политики безопасности каждого предприятия. Оценка уязвимости используется для того, чтобы обнаружить, какие системы имеют недостатки и произвести соответствующие действия для снижения риска. Некоторые промышленные стандарты, такие как DSS PCI, обязывают организации производить оценки уязвимости их сетей. Давайте кратко посмотрим, что такое соответствие DSS PCI:

    Соответствие DSS PCI

    PCI DSS расшифровывается как Payment Card Industry Data Security Standard (Стандарт безопасности информации в индустрии платёжных карточек). Этот стандарт был разработан лидирующими компаниями, производящими кредитные карточки для того, чтобы помочь защитить приватные данные кредитных карт, принадлежащих клиентам. До этого каждая компания-производитель кредитных карт имела похожий стандарт защиты данных клиентов на стороне продавца. Любая компания, которая совершает транзакции с использованием кредитных карт, должна соответствовать PCI. Одно из требований соответствия PCI – регулярное тестирование безопасности систем и процессов, что может быть достигнуто с помощью оценки уязвимости. Маленькие компании, которые проводят небольшое количество транзакций, имеют возможность проводить собственную оценку с помощью анкетирования. Крупные компании, которые проводят большое количество транзакций, обязаны проходить независимый аудит.

    Тестирование на проникновение против Оценки уязвимости

    Известно, что в индустрии безопасности существует некоторая доля замешательства по поводу отличий между тестированием на проникновение и оценкой уязвимости, они часто классифицируются как одно и то же, хотя на самом деле это не так. Тестирование на проникновение звучит более захватывающе, но большинству людей в действительности нужна оценка уязвимости, а не тестирование на проникновение; многие проекты маркируются как тесты на проникновение, хотя фактически они на 100% являются оценкой уязвимости. Тестирование на проникновение, как правило, включают в себя оценку уязвимости, но это лишь один из дополнительных шагов таких тестов. Тестирование на проникновение – это метод оценки безопасности компьютерной системы или сети посредством симуляции атаки злоумышленника. Данный процесс включает активный анализ системы на наличие любых недостатков, технических изъянов или уязвимостей. Этот анализ проводится с позиции потенциального злоумышленника, и будет включать в себя активную эксплуатацию уязвимостей безопасности. Любые обнаруженные проблемы в безопасности будут представлены владельцу системы вместе с оценкой их серьёзности и часто с планом для уменьшения риска или с техническим решением. Оценка уязвимости – это то, что обычно делают большинство компаний, так как системы, которые они тестируют, находятся в активном производственном процессе, и их работа не может быть нарушена активными эксплойтами, которые могут вывести систему из строя. Оценка уязвимости – это процесс определения и квалификации уязвимостей системы. Система, которая изучается, может являться физическим оборудованием, таким как атомная электростанция, компьютерной системой или более крупной системой (например, инфраструктурой системы связи или водной инфраструктурой округа). Оценка уязвимости содержит в себе множество вещей в совокупности с оценкой риска.

    Анализ уязвимости сети можно условно разделить на следующие этапы:

  • Определение и классификация сетевых или системных ресурсов
  • Присвоение уровней относительной важности ресурсам
  • Идентификация потенциальных угроз для каждого ресурса
  • Устранение самых серьезных потенциальных проблем. Определение и реализация способов минимизации последствий в случае реальной атаки.
  •  

    В основном это всё, для чего компании заключают договор с компаниями, работающими в области безопасности. Определить перспективу, а не заниматься проникновением в системы, оценить и документировать возможные уязвимости и получить рекомендации по применению оздоровляющих мер и улучшений.