В Учебном центре "Информзащита" опубликовали сравнение сканеров уязвимостей

09:42 15.12.2008   |   1128 |  Валерий Коржов |



Учебный центр "Информзащита" провел исследование сканеров безопасности и обнародовал его результаты на семинаре, который прошел в рамках выставки ВКСС 2008. В качестве объекта для исследований компания выбрала сетевые активные сканеры, которые занимаются поиском уязвимостей дистанционно, по сети, эмулируя работу хакеров. По мнению Владимира Лепихина, заведующего лабораторией сетевой безопасности Учебного центра "Информзащита", эти типы сканеров сейчас развиваются более активно, нежели пассивные и локальные сканеры. Правда, пассивные сетевые сканеры, определенные Лепихиным, больше похожи на системы категории IDS (Intrusion Detection System), которые выявляют не атаки, а уязвимости и их использование. Технологии, названные "локальными сканерами", сейчас встраиваются в решения класса Endpoint Security.

Исследовались MaxPatrol 8.0.1178, Nessus 3.2.1, IBM Internet Scanner 7.2.58, Retina Network Security Scanner 5.10.2.1389, Shadow Security Scanner (SSS) 7.141.262, а также NetClarity Auditor 6.1, который является программно-аппаратным комплексом на основе Linux и Nessus 2.x с определенными ограничениями. Эти продукты должны были протестировать устройства Internet-периметров ряда компаний на наличие в нем уязвимостей. Чтобы обеспечить статистическую достоверность, неустойчивые узлы исключались, слишком уязвимые порты (80) тоже. Анализировались качество детектирования сетевых сервисов, количество найденных уязвимостей, пропуски и их причины, ложные срабатывания, полнота базы, точность работы сканера.

По результатам исследований лидерами стали MaxPatrol и Nessus, у которых оказались наиболее качественные механизмы определения сетевых сервисов и приложений, учитывающие операционную систему, версию ПО и другие характеристики, а также наиболее полная база данных, заполняемая из различных источников. Некоторое отставание Nessus было связано с тенденцией развития этого сканера в сторону локальных проверок - большая часть тестов этого сканера требовала аутентификации на тестируемом сервере, что превращает проверку в локальную.

Сканерами "второго эшелона" были названы Internet Scanner и Retina. В первом ограничено число проверок, хотя сами проверки выполняются качественно. Однако этот сканер выполняет много морально устаревших проверок. Второй также реализован качественно, однако имеет слабый механизм определения версий программного обеспечения и, так же как и Nessus, развивается в сторону локальных проверок. Тем не менее использовать эти продукты вполне возможно, если дополнить их, например, локальными или пассивными сканерами.

Причины неудач сканера SSS, по мнению Лепихина, в том, что его авторы используют только один источник данных об уязвимостях - сайт SecurityFocus, на котором обнаружено много неточностей. В результате у сканера оказалось слишком много ложных срабатываний, что снизило уровень доверия к его результатам - точность сканирования для SSS получилась на уровне 48%. Обнаружились и ошибки в реализации.

Сканер NetClarity Auditor позиционируется как устройство для сканирования сети и проверки соответствия политикам безопасности по технологии NAC (Network Access Control). Он практически не имеет настроек. В частности, в нем нет возможности задать диапазон портов для сканирования - он сам определяет сервисы, которые обнаруживает и проверяет. В результате большую часть уязвимых сервисов он просто не обнаружил. К тому же этот сканер имеет слабую базу проверок - он больше всего допустил пропусков реальных уязвимостей из-за отсутствия соответствующей проверки в базе.

Данное исследование - лишь первая часть серии тестов, которые планируют предпринять сотрудники учебного центра "Информзащита". В дальнейшем планируется сравнить локальные сканеры, оценить, насколько сканеры помогают соответствовать требованиям стандарта PCI DSS, провести сканирование только Windows-систем и сравнить сканеры по формальным критериям, то есть оценить дополнительные сервисы, предоставляемые разработчиками сканеров. Результаты общего исследования также будут использованы для улучшения курса "Анализ защищенности сетей". Ожидается, что следующую часть исследования компания опубликует через несколько месяцев.


Теги: