Нет сомнения в том, что инструментальные средства сканирования уязвимости изменили лицо тестирования на проникновение и заняли свою нишу. Но в то же время они не являются палочкой-выручалочкой из всех бед нарушения безопасности. Если сможете, то возразите автору. Он хочет поделиться своим опытом, который он приобрел во время работы в большой аутсорсинговой (outsourcing - привлечение внешних ресурсов для решения собственных проблем, например для разработки проекта) организации и отвечал за внутреннюю безопасность ее сети. Один из новых клиентов организации, у которого была большая распределенная сеть, состоящая из многих систем и платформ, решил воспользоваться услугами независимого консультанта для выполнения теста на проникновение в свою сеть. Описываемые события происходили в 1998 году, когда мистика хакерской культуры привлекала всеобщее внимание и тесты на проникновение только начинали приобретать популярность.

Клиент, о котором идет речь, выбрал компанию, оказывающую услуги по тестированию сети на проникновение откуда-то из Сан-Франциско, и предоставил им необходимую информацию для тестирования своих систем сети, взаимодействующих с внешним миром. По прошествии нескольких дней консультант клиента прислал курьером итоговый отчет. К отчету был приложен их счет на сумму что-то около 10 ООО долл. К сожалению, будучи внешним соисполнителем, у автора не было возможности просмотреть отчет, присланный независимым консультантом. Он смог его увидеть только тогда, когда менеджер по информатизации (СЮ) клиента вызвал автора в свой офис и попросил объяснить ему, почему приглашенный извне консультант, выполнивший тест на проникновение в их сеть, нашел свыше 50 различных уязвимостей в их Web-серверах. Конечно, автор был потрясен. Он думал, что хорошо выполнял свои обязанности, сохраняя в безопасности сервер на уровне всех последних найденных уязвимостей и патчей. Автор даже выполнял свой собственный мини-тест на проникновение для контроля самого себя. И ни разу не было обнаружено чего-то такого, что свидетельствовало бы о каких-либо недочетах. Автор попросил познакомить его с отчетом независимого консультанта. И как только менеджер по информатизации вручил его автору, он сразу же заметил на нем логотип одного из производителей коммерческих сканеров уязвимости. В процессе дальнейшего изучения отчета было обнаружено, что высокооплачиваемый независимый консультант просто применил коммерческий продукт (использование которого можно было легко оплатить за указанную им цену) для тестирования нужных систем, распечатал отчет и отослал его вместе со счетом. Для автора было ясно, что этот так называемый независимый консультант, выполнивший тест на проникновение, не удосужился каким-либо образом проверить результаты тестирования. В конечном счете, для того чтобы убедить менеджера по информатизации в недостоверности предоставленного ему отчета, пришлось вызвать независимого консультанта в офис для очной встречи всех заинтересованных сторон. После просмотра всего отчета стало ясно, что консультант не понял содержимое отчета и лишь прочитал его перед отправкой. Из переданных клиенту автора более 400 страниц отчета только десять были действительно полезными.

Автор уверен, что многие из читателей сами смогли бы привести похожие примеры коварных скользких коммивояжеров, приходящих вооруженными несколькими коммерческими, а в некоторых случаях и свободно распространяемыми инструментальными средствами и выставляющих огромные счета за небольшие или вообще никакие дополнительные услуги. Следует понять, что хотя все из рассмотренных в этой главе инструментальных средств могут оказаться полезными для тестирования на проникновение, тем не менее для того, чтобы добиться наибольшего эффекта от их использования, все равно потребуются какие-то знания. Выбирая организацию, предоставляющую услуги по тестированию на проникновение, узнайте, в какой степени в своих исследованиях они полагаются на коммерческие, свободно распространяемые средства и собственные разработки. Если читатель увидит, что при тестировании в основном используются коммерческие инструментальные средства, то вполне возможно, что он захочет поискать другую компанию, занимающуюся тестированием на проникновение. Если читатель сам занимается тестированием на проникновение, то ему следует позаботиться о наличии в его арсенале достаточного числа инструментальных средств, скриптов и знаний общих уязвимостей.

Новое лицо тестирования уязвимости

В июле 2001 года во время информационного совещания The Black Hat Briefings в JIac-Berace, штат Невада, Иван Акр (Ivan Acre) и Максимилиано Какерес (Maximiliano Caceres) из компании CORE-SDI представили свою работу, посвященную тестированию на проникновение и автоматизации тестирования на проникновение. Их теория состоит в том, что современные методологии, используемые для выполнения тестов на проникновение, недостаточно эффективны и оптимальны, как они могли бы быть на самом деле. Кроме того, типичное автоматизированное инструментальное сканирующее средство отсканирует хост, идентифицирует уязвимость и не сделает ничего реального для того, чтобы взломать сканируемый хост или предпринять попытку просмотреть любые другие хосты, которые могут быть подключены к нему тем или иным способом.

CORE-SDI проделало впечатляющий объем работ, развивая новые инструментальные средства, которые, по их мнению, призваны помочь автоматизировать внутренний процесс тестирования на проникновение, начиная с фазы сбора информации и заканчивая фактическим использованием хоста. Некоторые из ключевых преимуществ этого подхода могут быть реализованы в инструментальном средстве, которое полностью охватывает процесс тестирования на проникновение, описывая его общей структурой, для того чтобы определить и реализовать стандартизованную методологию, улучшить безопасность тестирования на проникновение и, наконец, ускорить безошибочное решение монотонных и отнимающих много времени задач.

Лично автор чувствует, что CORE-SDI обладает потенциалом для революционных преобразований в области тестирования на проникновение и поднятия планки сканирования уязвимости на новую высоту. Прошло некоторое время с момента озвучивания новых идей. По слухам, CORE-SDI близка к выпуску бета-версии своего инструментального средства. Как и любой другой, кто каждый год выполняет большое число тестов на проникновение, автор выжидает, наблюдая, что предложит CORE-SDI, поскольку заявленное ими инструментальное средство не только улучшит качество работы современных тестировщиков на проникновение, но и повысит ценность тестирования на проникновение для организаций.

Резюме

Совместно используя коммерческие и свободно распространяемые приложения сканирования уязвимости, можно добиться поразительных результатов при выполнении тестов на проникновение. Инструментальные средства имеют собственные ограничения и поэтому не превращают оператора в эксперта. Поэтому читатель должен осторожно относиться к так называемым специалистам по тестированию на проникновение, которые в своих действиях целиком полагаются на автоматизированный инструментарий.

К некоторым ключевым моментам успешного использования автоматизированных инструментальных средств для тестирования на проникновение относятся следующие: осмысление функциональных возможностей и ограничений автоматизированного инструментария, то есть то, что он делает или не делает, глубокие познания в области уязвимости и знание условий, при наступлении которых ими можно воспользоваться в злонамеренных целях, способность распознать ошибочные результаты работы пользователей и выяснить, является ли система уязвимой.

Во время типичного теста на проникновение клиент генерирует ряд запросов. Некоторые из них будут способствовать скрытному проведению тестирования настолько, насколько это возможно, вплоть до уклонения от обнаружения тестирования системами обнаружения вторжения. Сканеры уязвимости нельзя использовать из-за того, что, как правило, они создают слишком большой шумовой трафик в сети и оставляют многочисленные следы в журналах регистрации.

Тестирование на уязвимости вне зависимости от того, является ли тест автоматизированным или нет, не относится к классу точных наук. Для проверки существования одной и той же уязвимости обычно есть несколько способов. К этому надо добавить и то, что некоторые производители искажают предоставляемые сведения о некоторых уязвимостях, для того чтобы увеличить число «выполняемых их программами проверок на уязвимости». В результате покупка сканера уязвимости превращается в запутанное мероприятие. Поскольку подобные программы недешевы, то к вопросу выбора сканера уязвимости следует подходить очень тщательно. Из сказанного вытекает следующее: будущее автоматизированных сканеров уязвимости и автоматизированного инструментария тестирования на проникновение выглядит обнадеживающим, потому что в этой области есть место для дальнейшего их усовершенствования и новаторства.

Конспект

Краткие сведения об автоматизированных средствах оценки безопасности

• Ни одно из автоматизированных средств сканирования не предлагает законченного решения.

• Опираясь на рекламную информацию, предоставляемую производителями о своих сканерах, примите собственное решение при покупке их программ, учитывая их производительность и практичность.

• Сканер Nessus - мощный свободно распространяемый инструментарий, который предоставляет возможности покупаемых за деньги коммерческих инструментальных средств.

Применение автоматизированных инструментальных средств для тестирования на проникновение

Современные автоматизированные инструментальные средства во время сканирования на самом деле не проникают в изучаемый хост. Они лишь проверяют хост на присутствие в нем возможных уязвимостей.

• Остерегайтесь ложных срабатываний и бойтесь упущений.

• Как правило, для получения наиболее достоверных результатов рекомендуется использовать комбинацию из нескольких инструментальных средств, как коммерческих, так и свободно распространяемых.

Случаи, когда инструментальных средств недостаточно

• Ни одно из автоматизированных инструментальных средств не является совершенным до такой степени, чтобы на него можно было полностью положиться.

• Твердое понимание уязвимостей и условий, при которых можно воспользоваться ими в злонамеренных целях, является обязательным.

• При наличии желания проникнуть в хост или внутреннюю сеть обязательно потребуются собственные скрипты и другой инструментарий.

Часто задаваемые вопросы

Вопрос: Существует ли в Интернете ресурс, на котором были бы перечислены все коммерческие и свободно распространяемые инструментальные средства сканирования?

Ответ: Хорошим, но немного устаревшим, является подготовленная Талискером (Talisker) страница «Сетевые вторжения» (Network Intrusion), расположенная по адресу www.networkintrusion.co.uk. Дополнительным ресурсом может послужить сайт Security Focus (www.securityfocus.com), на котором можно найти большой список различных инструментальных средств.

Вопрос: Какой коммерческий сканер уязвимости является для автора любимым? Ответ: Все зависит от среды и обязательств, принятых автором. Автор использовал и все еще использует большинство коммерческих программ, но наиболее часто он применяет сканеры IIS Internet Scanner и eEye Retina.

Вопрос: Разве коммерческие сканеры уязвимости не являются опорой для специалистов в области защиты, у которых на самом деле нет достаточных навыков или знаний о реальных проблемах защиты? Ответ: К сожалению, в области безопасности в настоящее время наблюдается наплыв людей и организаций, которые думают, что все, что нужно для того, чтобы стать консультантом в области защиты, - это автоматизированный инструментарий. Перед приемом на работу любого консультанта в области защиты просмотрите все его дипломы и рекомендации и основательно изучите их.

Вопрос: Какие инструментальные средства удаленного доступа могут быть использованы во время теста на проникновение как средство получения дальнейшего доступа с помощью уже скомпрометированного хоста? Ответ: В настоящее время для реализации сказанного нет общедоступного инструментального средства, кроме разве что сканера eEye Retina. Разработчики сканера eEye Retina утверждают, что он использует полученную в результате сканирования информацию для компрометации других хостов, чьи IP-адреса были определены перед началом сканирования. Новые инструментальные средства, разрабатываемые компанией CORE-SDI, будут также обладать такой возможностью, которая, кажется, выглядит вполне многообещающей.

Применение автоматизированных инструментальных средств для тестирования на проникновение | Защита от хакеров корпоративных сетей | Сообщения о проблемах безопасности


Защита от хакеров корпоративных сетей



Новости за месяц

  • Июнь
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс