Řešení, která najdou díry ve vašem zabezpečení (1)

12. 5. 2012

Sdílet

 Autor: Maksim Samasiuk - Fotolia.com
Při správném používání může analyzátor zranitelností pomoci udržet ve formě stovky či tisíce serverů, síťových zařízení a vestavěných systémů.

Všichni se bojíme, že na našich serverech je nějaký skrytý problém zabezpečení. Děláme, co můžeme, instalujeme opravy, používáme nejlepší postupy, udržujeme své znalosti aktuální pomocí školení a sledování novinek.

Nebylo by ale skvělé mít automatizovaný nástroj pro kontrolu naší práce? To je příslib analyzátorů zranitelností: jsou to produkty detekující problémy v konfiguracích, aplikacích a v oblasti instalace oprav.

Budete vědět, na co zaměřit své síly při nápravě zabezpečení, a budete klidnější, že máte systém, který vám umožní zabránit, aby drobnosti unikly skulinami a způsobily velké problémy.

Naopak při nesprávném použití mohou analyzátory vytvořit tisíce stran matoucích informací, frustrovat manažery zabezpečení a správce sítě, a nakonec z toho může vzniknout více problémů, než se vyřeší.

Otestovali jsme šest produktů předních dodavatelů z hlediska výsledků skenování zranitelností, schopnosti reportování, správy produktu, nástrojů pro pracovní procesy a interoperability s dalšími podnikovými produkty.

Dva produkty vyčnívaly: QualysGuard VM využívající technologii SaaS a McAfee Vulnerability Manager, který je nabízen v podobě softwaru a apliance.

Produktová řada SAINTmanager se umístila na třetím místě díky výkonnému skeneru, ale znevýhodněna byla slabým grafickým uživatelským rozhraním. Náš favorizovaný vyzyvatel, eEye Retina CS, měl silný skener s nově vytvořeným grafickým uživatelským rozhraním. Zjistili jsme však mnoho chyb a nedostatků v designu, které je nutno odstranit předtím, než bude připraven pro nasazení v podnikovém prostředí.

Retina je relativně nový produkt, který je aktivně vyvíjen. Během tří měsíců našeho testu jsme u něj zaznamenali jeden upgrade a před předáním tohoto testu do tisku vydala společnost eEye další.

Produkt FusionVM společnosti Critical Watch je další nabídkou využívající technologii SaaS. Obsahuje určité skvělé nápady, ale provedení je nedostatečné. Lumension Scan odvedl dobrou práci v oblasti, pro kterou byl navržen, ale je to produkt s omezeným záběrem funkcí a nenabízí vlastnosti potřebné pro podnikovou sféru, na které jsme se zaměřovali.

Z různých důvodu se testu odmítly zúčastnit společnosti IBM, Ncircle, Trustwave, StillSecure, Rapid7, Beyond Security a Tenable.

 

Skenování

Všechny analyzátory zranitelností mají společné jádro: skener, který hledá zranitelnosti. Pokud byste prováděli síťový penetrační test, byl by skener jediným nástrojem, který byste potřebovali.

V některých produktech, zejména Retina CS a produkt firmy SAINT, tj. SAINTscanner/SAINTmanager/SAINTwriter, je skener samostatným nástrojem, který lze spouštět bez nástrojů pro správu a reportování. (Viz kapitola Možnost skenování webu.)

U ostatních produktů, jako jsou QualysGuard VM a Critical Watch FusionVM, je skener neoddělitelný od dalších součástí. Jste-li bezpečnostním konzultantem, který jen chce provádět skenování, potom se pro vaše potřeby nejlépe hodí produkty firem eEye a SAINT.

Abychom získali představu, jak dobře skenery pracují, proskenovali jsme tři produkční sítě ve třech společnostech a navíc speciálně postavenou laboratorní testovací síť. V té testovací jsme záměrně ponechali čtyři servery bez instalace oprav po dobu dvou měsíců: dva systémy Windows (Windows 2003 a 2008), linuxový systém a server OS X. Poté jsme zapnuli analyzátory zranitelností a vyhodnotili výsledky.

Nejdříve varování: skenery zranitelností mohou způsobit nestabilitu ve vaší síti a také ji pravděpodobně způsobí. Produkty SAINT a Critical Watch učinily v naší síti skutečnou škodu – uzamčení jednoho z našich produkčních unixových serverů – a dále vznikly potíže s úložištěm SAN, které vedly k přerušení služby pro několik klientů.

Prakticky všechny produkty zapříčinily restartování UPS jednotek společnosti APC, což (naštěstí) neovlivnilo nic kromě rozhraní pro správu. Dávejte tedy pozor, jaké IP adresy skenujete a jak skeny probíhají.

Možná byste si mysleli, že se naše sítě za pouhé dva měsíce nedostaly významněji mimo aktuální stav, ale testované skenery k tomu měly hodně co říci. Vítězem podle váhy byl produkt eEye, který vygeneroval 180stránkový report, ale produkt McAfee zvítězil počtem – sdělil nám 537 různých informací o těchto čtyřech systémech, přičemž 380 z nich nebyly specifické zranitelnosti, ale jen informační položky. Stále však zbývalo 84 kritických zranitelností, kde po nás produkt společnosti McAfee požadoval opravu.

Zřejmým závěrem bylo, že někteří dodavatelé neodvedli dobrou práci při redukci dat. Ano, je pravda, že oprava Adobe APSB10-14 pokrývá 28 různých zranitelností, ale jsou všechny opraveny jednou záplatou a zacházet s nimi jako s 28 separátními incidenty (jako to dělá McAfee) jednoduše podporuje zmatek.

Critical Watch měl podobný problém, zajištění všech částí jedné z kritických oprav od společnosti Microsoft jako separátních elementů, přestože úloha nápravy byla stejná: nainstalovat MS11-012 pro opravu pěti odděleně reportovaných zranitelností.

Pedantský bezpečnostní nadšenec by mohl trvat na reportování všech separátních problémů, ale to je účel detailních reportů. Ve výchozím stavu by tato informace měla být kombinována do stravitelnější podoby.

Některé výsledky byly velmi rutinní. Například při našem testu systémů Windows jsme měli seznam aktualizací zabezpečení a oprav, které nám sdělil systém Microsoft Update, a očekávali jsme zobrazení všech těchto oprav v seznamu zranitelností pro každý systém. Produkty McAfee, Qualys a eEye ve svých výsledcích skenování obsahovaly všechny položky z našich kontrolních seznamů. Produkty Critical Watch, Lumension a SAINT však některé z nich nezachytily.

Pokud by byl náš test tvořen pouze využitím kontrolního seznamu známých chybějících oprav zabezpečení, bylo by snadné produkty ohodnotit. Každý ze skenerů nám toho však sdělil hodně a bylo obtížné zjistit, zda tyto informace byly nebo nebyly relevantní či hodnotné.

Například Lumension uvedl, že v našich systémech Windows používáme zastaralou verzi produktu SecureCRT (to byla pravda), a ohodnotil tuto zranitelnost jako „vysoká“ (což je pravděpodobně přehnané). Toto však žádný jiný produkt neodhalil. Znamená to, že je Lumension lepší než ostatní skenery, které problém nezachytily?

Nu ano, kromě toho, že produkt eEye zjistil cca 1 999 různých nastavení ochrany v neznámém klíči registru, který by mohl být použit privilegovanými uživateli k dalšímu eskalování jejich práv během spouštění systému. Znamená to, že je eEye lepší než ostatní skenery, které problém v registru neodhalily? V tomto kruhu se můžete pohybovat stále dokola, protože každý produkt oznámil problémy, většinou méně významné, které ostatní neohlásily.

 

Nesprávné detekce

Také jsme kontrolovali nesprávné detekce – místa, kde skenery reportovaly zranitelnost tam, kde žádná neexistovala. To je pro bezpečnostní „puristy“ citlivá oblast. Některé skenery jednoduše zpracovaly existenci konkrétního souboru jako zranitelnost systému.

Například Lumension označil unixový kernel na našem testovacím linuxovém systému jako zastaralý, protože viděl nainstalovaný Red Hat Package Manager se starým kernelem. My jsme ale tento kernel nepoužívali (byl jen uložen na disku), takže systém zranitelný nebyl.

Situaci však nebylo tak těžké posoudit u všech nesprávných detekcí. Například CriticalWatch zjistil, že našemu systému Mac OS X chybí oprava Microsoft Windows, a produkt eEye požadoval opravy pro zranitelnosti VMware a Hyper-V v systémech, kde tyto virtualizační nástroje nebyly nainstalovány. Nesprávné detekce byly přítomné ve výsledcích všech skenerů kromě produktu Qualys.

Při porovnávání skenerů jsme měli další problémy. Databáze CVE (Common Vulnerabilities and Exposures) podporovaná ministerstvem USA pro národní bezpečnost je nejbližší referencí se standardem běžných jmen. Očekávali bychom, že dodavatelé zajistí, že jejich zranitelnosti budou řádně odpovídat záznamům databáze CVE, ale když jsme se pokoušeli porovnávat výsledky, zjistili jsme chyby a opomenutí u většiny skenerů.

ICTS24

Například jsme si mysleli, že produkt McAfee jako jediný odhalil problém (záznam CVE-2010-3886), dokud jsme nezjistili, že je skrytý v eEye jako Retina Audit 13156, bez čísla CVE.

Také jsme sledovali dvě další důležitá kritéria: reportování důkazů zranitelnosti a podporu více platforem. O tom a o dalších kriteriích ale příště...