1998 г
Система анализа защищенности System Security Scanner
Информация предоставлена НИП "Информзащита"
Что такое система анализа защищенности?
При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.
Что такое System Security Scanner?
Система анализа защищенности System Security Scanner (S3) разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. В отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, система S3 анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищенности изнутри сканируемого компьютера, в то время как система Internet Scanner снаружи. На основе проведенных тестов система System Security Scanner вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система System Security Scanner может быть использована для анализа защищенности операционных систем Unix (различные версии), Windows NT, Windows 95 и 98.
Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Security Scanner, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности Вашей организации.
Достоинства системы System Security Scanner были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Security Scanner содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Возможности системы SYSTEM SECURITY SCANNER
Система System Security Scanner обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:
- большое число проводимых проверок;
- задание шаблонов для различных групп сканируемых узлов;
- централизованное управление процессом сканирования;
- параллельное сканирование нескольких узлов корпоративной сети;
- централизованное обновление компонентов системы на удаленных узлах;
- создание сценариев для устранения найденных проблем;
- запуск процесса сканирования по расписанию;
- возможность работы из командной строки;
- мощная система генерации отчетов;
- различные форматы отчетов;
- функционирование под управлением многих операционных систем;
- мощная система подсказки;
- простота использования и интуитивно понятный графический интерфейс;
- невысокие системные требования к программному и аппаратному обеспечению.
Большое число проводимых проверок
Текущая версия системы System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows NT, Windows 9x (версия System Scanner 1.0 для Windows). Система System Security Scanner проводит различные категории проверок, к которым можно отнести:
- Получение информации о сканируемой системе
- Проверки настроек FTP
- Проверки настроек электронной почты
- Проверки настроек RPC
- Проверки настроек NFS
- Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service")
- Проверки паролей
- Проверки настроек Web-серверов
- Проверки настроек Web-броузеров
- Проверки настроек удаленных сервисов (в т.ч. RAS для ОС Windows NT).
- Проверки настроек DNS
- Проверки файловой системы ОС Windows NT
- Проверки учетных записей ОС Windows NT
- Проверки настроек сервисов ОС Windows NT
- Проверки системного реестра ОС Windows NT
- Проверки установленных patch'ей системы безопасности ОС Windows NT
- Проверки антивирусных программ
- Проверки прикладного ПО (в т.ч. Microsoft Office)
- Проверки настроек модемов.
Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Задание шаблонов для сканирования
Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может задавать те проверки, которые должны проводиться для выбранных узлов. Для облегчения работы в большой и распределенной корпоративной сети существует возможность задания параметров сканирования как для отдельных хостов, так и для групп сканируемых хостов. Таким образом администратор может задать общие характеристики сканирования для группы хостов и произвести более точную настройку для индивидуального хоста. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
Централизованное управление
Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Security Scanner незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Система System Security Scanner обладает уникальной возможностью централизованной инсталляции своих компонентов на удаленных хостах корпоративной сети. Это позволяет администраторам безопасности не сходя со своего рабочего места установить систему S3 на все критичные участки Вашей корпоративной сети и своевременно проводить анализ защищенности узлов.
Запуск процесса сканирования по расписанию
Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы System Security Scanner по расписанию. Для этого можно использовать утилита CRON. При помощи данной утилиты администратор может не только запускать систему S3 для проведения локального или удаленного сканирования, но и создавать отчеты по результатам сканирования.
Для ОС Windows NT задание графика запуска осуществляется из графического интерфейса системы S3.
Система генерации отчетов
Система System Security Scanner обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
К концу 1998 года планируется завершить русификацию системы System Security Scanner, и в частности системы генерации отчетов.
Форматы отчетов
Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:
- текстовом;
- HTML;
- CSV;
- и многие другие.
Создание сценариев для устранения найденных проблем
Система System Security Scanner обладает уникальной возможностью по созданию скриптов (fix script), корректирующих или устраняющих обнаруженные в процессе анализа защищенности проблемы. Кроме того, в процессе создания fix-скрипта система S3 также создает скрипт, позволяющий отменить изменения, сделанные fix-скриптом. Это может потребоваться в том случае, если сделанные изменения нарушили нормальное функционирование отдельных хостов корпоративной сети.
Функционирование под управлением многих операционных систем
Система System Security Scanner позволяет проводить анализ защищенности следующих операционных систем:
- Windows NT;
- Windows 95;
- Windows 98;
- SunOS;
- Solaris;
- HP UX;
- AIX;
- IRIX;
- Linux.
Простота использования
Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:
- задание глубины сканирования;
- выбор сканируемых узлов;
- запуск процесса сканирования;
- генерация и анализ отчета.
Система подсказки
Система System Security Scanner обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или patch'и и hotfix'ы, устраняющие найденные проблемы
Системные требования
Требования к аппаратному обеспечению:
- Процессор - Pentium 75 МГц;
- ОЗУ - 16 Мб (рекомендуется 32);
- НЖМД - не менее 10 Мб (для ОС Unix) и не менее 20 Мб (для ОС Windows);
- Монитор - 800х600, не менее 256 цветов.
Требования к программному обеспечению:
- Операционная система
- Windows 95 и выше;
- Windows NT 3.0 и выше;
- SunOS - 4.1.3 и выше;
- Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше;
- HP UX - 9.05 и 10.x;
- AIX - 2.3.5, 4.1 и 4.2;
- Linux - 1.2.13 и выше;
- IRIX - 6.2, 6.3 и 6.4.
- Дополнительные сведения - для использования системы права администратора рабочей станции не требуются.
Функционирование системы System Security Scanner
Система System Security Scanner выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие "следов", уже оставленных злоумышленниками.
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.