Наука хост-безопасности

Опубликовано: 14 Апреля, 2023


Новая решимость


Сдвиг в доктрине связан с работами, связанными с управлением сетевой безопасностью. Всего несколько лет назад основное внимание в области корпоративной безопасности уделялось защите периметра и средствам проверки подлинности. Инженеры по безопасности потратили свое время на обдумывание реализации брандмауэра, прав доступа и иногда внедрения технологий шифрования.


Тем не менее, новое движение охватило отрасль, поскольку нарушения безопасности становятся все более и более распространенными, несмотря на защиту периметра. По данным Gartner, примерно 70% нарушений безопасности совершаются внутри сетевого периметра. Это, в свою очередь, является причиной более 95% вторжений, которые приводят к значительным финансовым потерям. Какой бы ошеломляющей ни была эта статистика, она связана с появлением таких инструментов, как Netcat и Nmap, которые можно использовать для обхода большинства систем защиты периметра, блокирующих порты, таких как брандмауэры. Кроме того, рост популярности веб-сервисов и интернет-торговли принес с собой обычную тираду о преждевременном выпуске программного обеспечения, усеянного дырами в безопасности.


Все это заставило предприятия снова начать переоценку безопасности с точки зрения хоста. Эта «новая» доктрина является возвратом к практике компьютерной безопасности до появления Интернета, которая включает в себя все, от методов физической и процедурной безопасности до управления уязвимостями на основе хоста. В свою очередь, менеджеры по безопасности сосредотачиваются на оценке уязвимости своих систем, приложений и изучении их взаимодействия с другими хостами.


Корпоративная ответственность


Назовите это благоразумием или надзором, но новые федеральные законы сделали обеспечение безопасности принимающей стороны не только необходимостью, но и законом; со штрафами и уголовными последствиями. Почти каждая отрасль имеет нормативный мандат, который может быть полностью решен только путем применения методов безопасности на основе хоста. В сфере здравоохранения действует HIPAA, а в финансовой сфере действует Закон Грэмма-Лича-Блайли. Публичные компании должны соблюдать закон Сарбейнса-Оксли. И давайте не будем забывать антитеррористическую повестку дня Национальной безопасности для любой частной или государственной компании, которая считается важной для национальной безопасности.


Это, конечно, создало потребность в менеджерах по безопасности, которые отчаянно пытаются быть в курсе каждой новой обнаруженной уязвимости или эксплойта. Хотя цифры разнятся, по оценкам некоторых источников, от 10 до 100 «недавно обнаруженных» уязвимостей ежедневно появляются на досках новостей в Интернете. Консультационные услуги появлялись десятками, и группы Usenet снова стали важной опорной точкой для ИТ-менеджеров. Обычно инженер по безопасности подписывается как минимум на 3 консультативных списка и 5 или более групп Usenet. Это создает десятки, если не сотни электронных писем, которые нужно просматривать каждый день, что может показаться невыполнимой задачей — быть в курсе новых угроз безопасности.


Из этой трясины появилось много новых продуктов, помогающих облегчить административную нагрузку по поддержанию систем в актуальном состоянии. Две похожие, но разные линейки продуктов пытаются решить эту проблему напрямую: сканеры безопасности уязвимостей и решения для корреляции оценки уязвимостей.


Сканеры безопасности уязвимостей


Сканеры уязвимостей используют очень простой подход к обеспечению безопасности на основе хоста. С помощью так называемого «черного ящика» или слепой методологии эти решения сканируют вашу сеть на наличие актуальных баз данных известных уязвимостей. Хосты и службы сначала идентифицируются в максимально возможной степени, а затем соотносятся соответствующим образом. Эти сканеры заходят так далеко, что создают ослабленные версии известных эксплойтов, обещая предоставить администраторам исчерпывающие отчеты о нарушениях безопасности во всей их инфраструктуре. По сути, это переносит ответственность за выявление недавно обнаруженных эксплойтов на поставщика и тем самым снижает административную нагрузку по достижению и поддержанию высокого профиля безопасности.


Одним из заметных коммерческих продуктов в этой области является программное обеспечение для управления уязвимостями Foundstone Enterprise(tm) от Foundstone, экспертов в области стратегической безопасности. Foundstone Enterprise может похвастаться очень быстрым и эффективным решением, с помощью которого можно сканировать тысячи хостов за относительно короткое время. За сканированием идентификации сетевых активов следуют проверки уязвимостей и моделирование хакерских эксплойтов по сценарию для детального определения открытых уязвимостей. Создаются очень подробные отчеты, а администраторы получают списки приоритетных задач для исправления безопасности. Помимо того, что Foundstone Enterprise является самым быстрым и точным коммерческим решением для сканирования на сегодняшний день, оно обладает одними из самых полезных функций создания отчетов как для администраторов, так и для менеджеров.


Другие игроки на этой арене включают сканер безопасности Интернета от ISS и сканер сетевой безопасности Retina от Eeye.


Бесплатные сканеры уязвимостей с открытым исходным кодом также есть в Интернете Nessus, SATAN и SARA. Несмотря на то, что у них много сторонников среди администраторов безопасности, отчеты оставляют желать лучшего.


Решения для корреляции уязвимостей


Решения для корреляции уязвимостей используют несколько иной подход к безопасности на основе хоста. Эти новые линейки продуктов делают снимки вашей системы и сетевой среды и сопоставляют их с известной базой данных уязвимостей и лучших практик. После идентификации актива его текущий номер версии и конфигурация установки сопоставляются с часто обновляемой базой данных. Администраторам предоставляется приоритетный список действий, которые необходимо предпринять для защиты своих систем и последующего создания отчетов и журналов аудита.


Основное преимущество этого «белого ящика» или надежного подхода по сравнению со сканером уязвимостей заключается в том, что он по большей части ненавязчив. Никакие эксплойты на самом деле не работают против ваших систем, поскольку уязвимости сопоставляются с набором известных переменных: в основном это перечень устройств, установленных приложений и конфигураций. Учитывая, что большой процент известных эксплойтов может привести к отказу в обслуживании или, что еще хуже, к полному сбою приложения, справедливо предположить, что ненавязчивая корреляция является более полной, чем навязчивая.


Это также делает эти решения более подходящими для корреляции в реальном времени, поскольку сканеры уязвимостей, как правило, делают системные журналы и системы обнаружения вторжений бесполезными во время сканирования. Отсутствие сетевого трафика также привлекательно. Недостатком этого типа решения является то, что в истинном стиле аудита администраторы в конечном итоге получают список задач, которые должны быть выполнены в их системах, независимо от того, выполнили они уже задачи или нет. Кроме того, в отличие от решений для сканирования уязвимостей, решения для корреляции уязвимостей обычно требуют развертывания агента на всех проверяемых системах. Это приводит к более высокой совокупной стоимости владения (TCO) в крупномасштабной организации, которая требует развертывания на сотнях или тысячах клиентов.


Одним из примечательных продуктов в этой области является Vulnerability Manager от Computer Associates [ранее известный как советник EsecurityOnline, дочерней компании Ernst & Young]. VM — это решение для сопоставления уязвимостей, которое сопоставляется с базой данных, известной как Security Framework, разработанной подразделением аудита сетевой безопасности Ernst & Young. Создаются отчеты со списками приоритетных задач для усиления защиты системы, а записи об изменениях и исправлениях, примененных для целей аудита, сохраняются.


Также стоит упомянуть LANGuard Network Scanner от GFI, так как это гибридное решение для корреляции уязвимостей и сканер уязвимостей в одном. Его механизм сканирования выполняет обычное сканирование портов и служб вместе с несколькими наиболее распространенными эксплойтами, но в среде Windows GFI действительно сияет, когда он вооружен учетной записью администратора предприятия или домена. Полное перечисление служб, учетных записей пользователей, членства в группах и установленных исправлений делает этот инструмент незаменимым помощником в больших средах Windows. GFI доходит до того, что перечисляет настройки SNMP на большинстве устройств, а также предоставляет решение для развертывания исправлений в сетях Windows.


Резюме


Независимо от того, какой тип решения будет доминировать на рынке, оценка уязвимостей обещает стать ярким пятном на отстающем рынке ИТ. Это уже дает толчок множеству компаний, предлагающих управляемые услуги, а также ряд ответвлений продуктов, таких как решения для управления исправлениями. В целом, эти продукты хорошо приняты на рынке, поскольку безопасность на основе хоста больше не является привилегией. У компаний, надеющихся оставаться конкурентоспособными в корпоративной Америке, нет другого выбора, кроме как сделать безопасность своим главным приоритетом.