Řešení, která najdou díry ve vašem zabezpečení (5)

16. 6. 2012

Sdílet

 Autor: Maksim Samasiuk - Fotolia.com
Při správném používání může analyzátor zranitelností pomoci udržet ve formě stovky či tisíce serverů, síťových zařízení a vestavěných systémů.

Dodržování směrnic je přirozeným rozšířením nástroje pro analýzu zranitelností. Normální skenování zranitelností zahrnuje vyhledávání nezáplatovaných systémů, nechráněných adresářů a dalších chyb v konfiguraci.

Kontrola dodržování směrnic obvykle přidá sadu namátkových kontrol, které jsou specifické pro konkrétní regulační režim. Zásady dodržování směrnic mohou například vyžadovat, aby mohly být jednotky DVD-ROM použitelné pouze lokálně přihlášenými uživateli. To skutečně není zranitelnost, je to jen něčí nápad pro konkrétní bezpečnostní zásadu.

Všechny testované produkty kromě produktu Lumension Scan mají významnou komponentu pro kontrolu dodržování směrnic. U některých z nich je skenování dodržování směrnic k dispozici za příplatek nebo je tato možnost nabízena jako oddělená licence.

V analyzátorech zranitelností má „dodržování směrnic“ dvě hlavní části: jedna definuje zásady a kontrolu dodržování směrnic a druhá generuje reporty se specifickými kontrolami, které jsou vyžadovány regulačním režimem.

Protože je dodržování směrnic zcela separátní disciplínou analýzy zranitelností s velmi odlišnými požadavky, měli byste před výběrem analyzátoru zranitelností pečlivě zvažovat roli testování a reportování dodržování směrnic.

Požadavky na testování dodržování směrnic se budou měnit podle režimu, který se pokusíte podporovat, a tato sada funkcí je obvykle více zaměřena na auditování zásad a méně na zajišťování bezpečné konfigurace individuálních systémů.

Každý například ví, že instalace oprav v produkčních systémech neprobíhá během několika hodin po vydání nejnovější aktualizace společnosti Microsoft. Reportování dodržování směrnic se týká více reportování doby, kterou trvalo uvedení systémů zpět do stavu podle specifikace, než zjišťování, které systémy tyto opravy potřebují.

Je-li pro vás při pořizování analyzátoru zranitelností dodržování směrnic důležité, měli byste podrobněji zkoumat produkty eEye, McAfee, Qualys a SAINT. Při našem rychlém seznámení na nás nejvíce udělaly dojem nástroje pro vytváření zásad dodržování směrnic společnosti McAfee a schopnost produktů SAINT rychle importovat a upravovat standardizované zásady dodržování směrnic na základě tří standardních formátů.

 

Analyzátory zranitelností nabízejí i možnost skenování webu

Skenování webu se liší od skenování zranitelností, protože vyhledává chyby v samotných webových aplikacích namísto v softwaru nainstalovaném na webovém serveru. Skenery zranitelností nás například všechny informovaly o starém vestavěném systému v naší síti, který byl zranitelný útokem skriptování mezi weby (cross-site scripting) z důvodu staré verze PHP.

To je jen normální skenování zranitelnosti a v závislosti na konfiguraci vašich webových aplikací a webového serveru může skener vygenerovat velké množství falešně pozitivních detekcí. Skutečné nalezení zneužitelného skriptu na webové stránce však vyžaduje intenzivnější vyhledávání z vnějšího prostředí a také specializovanější skener.

Skenování webu obvykle zahrnuje nějaký typ funkcí DLP (při hledání informací o identitě na webových stránkách), skenování vyzrazování informací (hledání dostupnosti celých databází), detekci cross-site scriptingu a SQL injection, a samozřejmě skenování na známé zranitelnosti v běžných webových aplikacích.

Produkty FusionVM, McAfee MVM a QualysGuard VM obsahují možnost skenování webu ve svých skenerech (někdy v rámci oddělené licence), zatímco eEye nabízí separátní produkt, Retina Web, který je na tento úkon přímo zaměřen.

Při hodnocení různých analyzátorů zranitelností jsme pátrali po podpoře protokolu IPv6. Většina ji ani nezmínila a jedinou výjimkou byla firma SAINT. SAINT sice zatím nepodporuje protokol IPv6 všude, ale v rámci testované skupiny je to produkt, který se nejvíce blíží připravenosti na IPv6.

ICTS24

 

Tabulka výsledků testu

Produkt

McAfee Vulnerability Manager (MVM) 7

QualysGuard Vulnerability Management

SAINTmanager

Retina CS 2.0

FusionVM

Lumension Scan 6.4

Dodavatel

McAfee

Qualys

SAINT

eEye

Critical Watch

Lumension

Cena

16 820 dolarů v prvním roce (včetně apliance 1U), 9 020 dolarů v roce druhém

17 495 dolarů

19 000 dolarů první rok, 4 750 dolarů druhý rok

28 000 dolarů první rok, 7 000 dolarů druhý rok

18 500 dolarů (první rok včetně podpory 1 000 IP adres)

6 500 dolarů

Výhody

Solidní, spolehlivý,
hodně funkcí

Vynikající sada funkcí, silné reportování

Propracované penetrační testy

Snadno definovatelné reporty, ekosféra pro produkty dalších dodavatelů

Nabídka SaaS, silná sada funkcí pro kontrolu dodržování směrnic, vestavěné skenování webu

Základní funkce a nízká cena

Nevýhody

Komplikované workflow

Obtížné spouštění automatizovaných reportů

Slabé rozhraní správy

Relativně nový produkt s drobnými chybami

Webové grafické uživatelské rozhraní potřebuje aktualizaci

Omezené funkce