Řešení, která najdou díry ve vašem zabezpečení (2)

Při správném používání může analyzátor zranitelností pomoci udržet ve formě stovky či tisíce serverů, síťových zařízení a vestavěných systémů.

Řešení, která najdou díry ve vašem zabezpečení  (2)


Zda jsme našli důkazy nebo jestli nám chybí – to je velký rozdíl. Když skener hlásí zranitelnost, je důležité mít pohotově dostupné podpůrné důkazy. Například když na našich serverech Windows jeden ze skenerů ohlásil zranitelnost „uživatel se nikdy nepřihlásil,“ aniž jsme se ale dozvěděli, o jakého uživatele se jedná. Jak je to užitečné? (Odpověď zní, že moc ne.)

McAfee, Qualys a SAINT poskytly skvělé podpůrné důkazy a produkt Critical Watch nabídl některé důkazy, ale ne v rozsahu, jak bychom si přáli. Lumension a eEye byly v tomto směru skoupé, i když eEye skryl některé z důkazů v reportech, jež nebyly vidět pomocí webového rozhraní.

Skenování různých platforem operačních systémů byl dalším rozlišovacím faktorem, který nemusí být důležitý pro každého správce sítě. Všechny produkty podporovaly Windows, ale zjistili jsme různé úrovně zvládnutí ostatních systémů, jako jsou Mac a Unix, stejně jako u infrastrukturních zařízení, jako jsou přepínače či směrovače. SAINT a v menším rozsahu také eEye měly ve srovnání s ostatními produkty silnější zaměření na unixové systémy.

Celkově jsme zjistili, že produkty firem Qualys a SAINT měly nejsilnější skenery a produkt společnosti McAfee byl téměř na stejné úrovni. Lumension, eEye a Critical Watch měly vyšší počty nesprávných detekcí (falešně pozitivních i falešně negativních) a také slabou prezentaci důkazů při dokumentaci zranitelností.

Reportování

Skrytí informací o zranitelnosti uvnitř produktu správcům sítě nijak nepomůže. Očekáváme, že produkt pro vyhodnocení zranitelnosti bude schopen reportovat zjištěné informace způsobem, který maximalizuje pochopení a minimalizuje ztracený čas.

Správci sítě budou pravděpodobně chtít používat pro reporty grafická uživatelská rozhraní, protože budou chtít zjišťovat podrobnosti o jednotlivých systémech a zranitelnostech a zaměřovat se na úlohy, jako jsou náprava a instalace oprav.

Auditoři a správci mohou chtít tištěné reporty, které shrnují informace a poskytují celkový obraz toho, kde existuje riziko pro celý podnik a tam, kde se budou potřebovat zaměřit. Sledovali jsme všechny typy výstupů v rámci obecné kategorie „reportování“, abychom vyhodnotili srozumitelnost, transparentnost, konfigurovatelnost a užitečnost.

Zjistili jsme, že zde skutečně existují dva typy analyzátorů zranitelností: založené na skenování a založené na vybavení. Ten prvně jmenovaný je ten, kde jsou všechny reporty a data zaměřeny na skenovací činnosti. Jinými slovy, takový analyzátor provádí skenování a potom z této činnosti můžete získat report.

Protože skener zranitelností pracuje tak, že sleduje seznam cílů a spouští některé vybrané skeny a vytváří výstup, je vytvoření analyzátoru zranitelností založeného na skenování velmi přirozené.

Vezmete skener, na kterém jste tak těžce pracovali, a přilepíte k němu vyšperkované grafické uživatelské rozhraní. Takový skener může sledovat informace, jako jsou trendy, ale nejedná se o udržování podrobné historie pro každý skenovaný systém.

Alternativou je analyzátor založený na vybavení. („Vybavením“ může být server, pracovní stanice, směrovač a kdovíco ještě.) Zaměření není tak silné na činnost skenování, ale na shromažďované informace, které jsou sbírány o příslušném vybavení. Skener postupem doby nasbírá informace o prvcích ve vašich sítích a vytvoří obrázek zranitelností, konfigurací a dokonce historie instalace oprav. Někteří dodavatelé začali tento přístup nazývat ve své literatuře pojmem „jedno skenování a více reportů“.

Pokud potřebujete provést skenování pro PCI audit nebo penetrační test, budete spokojeni s analyzátory zranitelností založenými na skenování. Pokud se však pokoušíte zahrnout správu zranitelností do pokračujícího procesu zaměřeného na pochopení stavu zabezpečení v rámci celé podnikové sítě v průběhu času, budete spíše potřebovat analyzátor založený na vybavení.

S tímto přístupem vám možná zabere konfigurace skenování delší dobu, ale budete ho spouštět pravidelně a opakovaně, a přispívat tím do souboru znalostí o vaší síti.

Analyzátor založený na vybavení se vždy může chovat jako analyzátor založený na skenování jednoduše tak, že vytvoří report pro naposledy provedené skenování. Každý z testovaných produktů to dělal perfektně. Přesto jsme však zaznamenali různé výsledky při snaze získat od produktů obraz většího celku pomocí reportů pro více skenů za určitou dobu.

Nejvíce se našemu ideálu, jak by mělo fungovat perfektní reportování analyzátoru zranitelností, přiblížil produkt firmy Qualys, přičemž produkt společnosti McAfee byl téměř na stejné úrovni. Oba umožňují vytvářet snadno čitelné a přehledné reporty, a to založené na skenování i na vybavení. U obou je také intuitivní rozhraní pro reportování; důrazně preferujeme, aby reportování bylo zcela odděleno od skenování.

Žádný z produktů však nebyl perfektní. Qualys nám neumožnil spouštět automatizované reporty. Je to vedlejší efekt jeho silného modelu zabezpečení SaaS. Protože Qualys udržuje ve svých databázích extrémně citlivé informace o vaší síti a systémech včetně přihlašovacích údajů, které jste zadali pro účely skenování, bere Qualys zabezpečení velmi vážně.

V tomto případě možná až příliš vážně. Jeho šifrovací model brání komukoli vidět vaše podniková data, dokud nejste aktuálně přihlášeni do webového uživatelského rozhraní. Bohužel slovo „komukoli“ v tomto případě zahrnuje také generátor reportů Qualys. Nespustí se, pokud nejste přihlášeni, což znamená, že donutit Qualys k vytvoření reportů a k jejich zaslání na pravidelném základě je 100x těžší, než by mělo být. Pokud na tom však trváte, můžete to provést.

Tým Qualysu nám poskytl informace o rozhraní QualysGuard API, což je nástroj, který by mohl umožnit vzdáleně spouštět reporty, možná v rámci dávkové úlohy. Není to však to, co jsme hledali. Společnost Qualys je hrdá na to, jak vážně přistupuje k zabezpečení citlivých dat, ale toto je jeden z případů, kde potřebuje vymyslet jednodušší způsob k provedení jednoduché úlohy.

Společnost McAfee také odvedla dobrou práci při poskytování pohledů na informace o zranitelnostech, a to jak pohledů založených na vybavení, tak i na skenování. Například MVM byl jeden ze dvou produktů (QualysGuard VM byl druhý), které úspěšně vytvořily rozdílový report ukazující změny ve zranitelnostech mezi jednotlivými skeny.

Produkt společnosti McAfee však neumožnil dostatečně jednoduchou navigaci ve vybavení a zranitelnostech v grafickém uživatelském rozhraní. Reporty lze snadno vytvořit a jsou přehledné – to je výhoda vůči většině ostatních produktů.

Pokud však chcete zobrazit stejné informace pomocí webového grafického uživatelského rozhraní, jste více omezeni v možnostech procházet zranitelnosti a získat dobré pochopení stavu vašeho zabezpečení. Chtěli jsme vidět reporty, které by měly stejnou úroveň informací nezávisle na tom, zda byly čteny prostřednictvím formátu PDF nebo přes webové grafické uživatelské rozhraní.

 

Pokračování testu přístě.

Úvodní foto: Maksim Samasiuk - Fotolia.com










Komentáře