Řešení, která najdou díry ve vašem zabezpečení (3)

Při správném používání může analyzátor zranitelností pomoci udržet ve formě stovky či tisíce serverů, síťových zařízení a vestavěných systémů.

Řešení, která najdou díry ve vašem zabezpečení  (3)


I když firmy Qualys a McAfee odvedly velmi dobrou práci, nalezli jsme velký příslib u produktů společností SAINT a eEye. Oba produkty mají ke svým solidním skenerům přidané bezplatné generátory reportů. SAINTwriter a Insight jsou pro tyto dva dodavatele cestou pro přesun z původních produktů schopných jen skenovat do řešení určená pro podniky. Naše testování však ukázalo, že oba mají určité výrazné slabiny.

SAINT obsahuje v produktu SAINTwriter 16 předdefinovaných typů reportů. Pokud těchto 16 typů (včetně reportů založených na vybavení a založených na zranitelnostech) splňuje vaše potřeby, budete s řešením mnohem spokojenější, než když budete muset použít jeho vlastní rozhraní k definování reportů.

Ve srovnání například s návrhem reportů systému firmy eEye je přidávání reportů k produktu SAINT bolestné a obtížné. SAINT má také určitá výrazná omezení. V nástroji pro definici reportů například nelze vytvořit dynamické dotazy typu „zobraz všechny zranitelnosti s vysokou závažností“ nebo „zobraz všechny opravy společnosti Microsoft“.

SAINT má také obtížnou navigaci pomocí grafického uživatelského rozhraní ve výsledcích skenování. Nalezení jednoho systému v síti vyžaduje značné manévrování, a pokud vaše síť obsahuje stovky systémů v databázi skeneru zranitelností, je v produktu SAINT téměř nemožné udržet kontrolu.

Na druhou stranu, jakmile naleznete systém, který chcete, jsou k dispozici dobré nástroje pro zkoumání a správu zranitelností, jako jsou funkce na jedno kliknutí „ignoruj tuto zranitelnost u tohoto systému“ a podobně hezká možnost „ignoruj tuto zranitelnost u všech systémů“.

Přestože vývojáři společnosti eEye vestavěli do produktu Retina pro reportování a navigaci ve zranitelnostech velmi atraktivní grafické uživatelské rozhraní založené na technologii Shockwave Flash, zjistili jsme několik funkčních problémů, které způsobují frustrace při používání a překážejí efektivní správě zranitelností.

Situaci nezlepšil ani nedostatek dokumentace, zejména pro důležité funkce. Retina je poměrně  novým produktem, který je přibližně rok starý a je postaven na vrcholu váženého a velmi respektovaného skeneru firmy eEye.

Během tří měsíců našeho testu jsme zaznamenali jeden upgrade produktu Retina a před předáním tohoto testu do tisku vydala společnost eEye další, který řešil dvě z našich hlavních námitek: neschopnost ignorovat zranitelnosti pro určité systémy a neschopnost vytvářet rozdílové reporty.

Ve srovnání se všemi ostatními testovanými nástroji je definice nových reportů v produktu Retina pohádková. Grafické uživatelské rozhraní produktu Retina je zcela podřízeno reportům: Určíte, co potřebujete získat za report, a Retina provede skenování za účelem získat data (nebo použije stará data, pokud chcete jen jiný formát reportu pro stejná stará data).

Jakmile definujete report a spustíte ho, potom přejeme hodně štěstí: Všechny se totiž zobrazují s obecným titulkem – nelze pojmenovat specifické spuštění například podle lokality, aniž vytvoříte zcela novou šablonu reportu. To způsobuje vyšší náročnost při hledání výsledků – musíte reporty proklikat, abyste zjistili, který je který.

Celkově mají reportovací a analytické schopnosti produktu Retina potenciál velkého pokroku a produkt se tak může stát skvělým nástrojem. V současné době však reportovací sada nástrojů Retina nenabízí použitelnost a funkcionalitu potřebnou v podnicích pro vyhodnocení zranitelností v rámci velkého rozsahu. To se však může velmi rychle změnit.

Podle našeho názoru funkce reportování v produktech Critical Watch a Lumension nedosahovaly standardů ostatních účastníků testu.

Rozhraní Critical Watch nesplňuje nejzákladnější hlediska návrhu – má trojnásobně vnořené posuvníky, nedostatek možností přizpůsobení obrazovky zobrazení a slabou integraci s vlastním systémem správy zásad. Když například vidíte zranitelnost, kterou chcete v příštích reportech odfiltrovat (například jako falešně pozitivní), vyžaduje grafické uživatelské rozhraní osm či více kliknutí a poté ztratíte místo, kde jste se v reportu nacházeli.

I když v produktu FusionVM existuje informace o obecném trendu a další dobře navržené reporty včetně odlišnosti od očekávání, není možné provést rozdílové reportování. U produktu FusionVM jsme zjistili další problémy s interoperabilitou při reportování, jako jsou PDF reporty, které jsou nekompatibilní s některými prohlížeči (možná protože jsou šifrované), a reporty pro Excel, které nelze do této aplikace importovat.

Byli jsme také frustrováni reportovacími funkcemi produktu Lumension. Automatické generování reportů podle plánu není možné a reportování krátkodobých trendů mělo 2 800 stran pro dva skeny vzdálené od sebe méně než 24 hodin.

Protože je produkt Lumension založen na skenování, zjistili jsme, že pokus prohlížet data jinak než pro celý sken (například podmnožinu skenovaných systémů, která je z určitého důvodu zajímavá) byl v podstatě nemožný bez opětovného skenování a opakovaného generování reportu.

Lumension má jednodušší analytické rozhraní a reportování než ostatní produkty. To usnadňuje začátek práce a orientaci, ale jakmile narazíte na zeď omezených funkcí, neexistuje moc prostoru pro kreativní konfigurace.

 

Příště se podíváme na problematiku správy.

Úvodní foto: Maksim Samasiuk - Fotolia.com










Komentáře