Tarkastele ja vertaile haavoittuvuusskannereita. Verkkoturvallisuusskannerit: ominaisuudet, toimintaperiaatteet ja edistykselliset ratkaisut Haavoittuvuuksien tarkistus

Suojausskanneri: havaitsee verkon haavoittuvuudet, hallitsee päivityksiä ja korjauksia, korjaa automaattisesti ongelmia, tarkastaa ohjelmistot ja laitteistot. GFI Network Security">Verkon suojaus 2080

Verkkosuojausskanneri ja keskitetty päivityshallinta

GFI LanGuard toimii virtuaalisena tietoturvakonsulttina:

— Hallitsee Windows ® , Mac OS ® ja Linux ® päivityksiä

— Havaitsee tietokoneiden ja mobiililaitteiden haavoittuvuuksia

— Suorittaa verkkolaitteiden ja ohjelmistojen tarkastuksia

GFI Languard on suojausskanneri kaikenkokoisille verkoille: verkkoportti- ja haavoittuvuusskanneri, turvaskanneri, löytää verkon aukot automaattisesti

GFI Languard on suojausskanneri kaikenkokoisille verkoille: verkkoportti- ja haavoittuvuusskanneri, turvaskanneri, löytää verkon aukot automaattisesti

Mikä on GFI LanGuard

Enemmän kuin haavoittuvuusskanneri!

GFI LanGuard on verkon suojausskanneri: havaitsee, tunnistaa ja korjaa verkon haavoittuvuudet. Täysi porttiskannaus, tarvittavien ohjelmistopäivitysten saatavuus verkkosi suojaamiseksi sekä ohjelmiston ja laitteiston tarkastus ovat kaikki mahdollisia yhdestä ohjauspaneelista.

Portin skanneri

Useiden valmiiden tarkistusprofiilien avulla voit suorittaa täyden tarkistuksen kaikista porteista sekä tarkistaa nopeasti vain ne, joita ei-toivotut ja haittaohjelmat käyttävät yleisesti. GFI LanGuard skannaa useita isäntiä samanaikaisesti, mikä vähentää merkittävästi tarvittavaa aikaa ja vertaa sitten varattuista porteista löytyvää ohjelmistoa odotettuun.

Päivityksiä ja korjauksia

Kunnes viimeisimmät päivitykset on asennettu, solmusi ovat täysin suojaamattomia, koska hakkerit käyttävät uusimpia haavoittuvuuksia nykyisten korjaustiedostojen ja päivitysten tunkeutumiseen verkkoosi. Toisin kuin käyttöjärjestelmään sisäänrakennetut työkalut, GFI LanGuard tarkistaa paitsi itse käyttöjärjestelmän, myös suosittuja ohjelmistoja, joiden haavoittuvuuksia yleensä käytetään hakkerointiin: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, selaimet, pikaviestit.

Solmun tarkastus

GFI LanGuard laatii sinulle yksityiskohtaisen luettelon jokaiseen tietokoneeseen asennetuista ohjelmistoista ja laitteistoista, havaitsee kielletyt tai puuttuvat ohjelmat sekä tarpeettomat liitetyt laitteet. Useiden tarkistusten tuloksia voidaan verrata ohjelmiston ja laitteiston muutosten tunnistamiseksi.

Uusin uhkatiedustelu

Jokainen tarkistus suoritetaan sen jälkeen, kun on päivitetty tiedot haavoittuvuuksista, joiden määrä GFI LanGuard -tietokannassa on jo ylittänyt 50 000. Ohjelmistotoimittajat itse tarjoavat uhkatietoja sekä luotettavia SANS- ja OVAL-luetteloita, joten olet aina suojattu uusimmilta uhilta, kuten sydänverenvuodolta, salaisuudelta, shellshockilta, villakoiolta, hiekkamatolta ja muilta.

Automaattinen korjaus

Kun saat yksityiskohtaisen tarkistusraportin kustakin haavoittuvuudesta ja linkit lisäkirjallisuuteen, voit korjata useimmat uhat yhdellä napsautuksella "Korjaa"-painiketta: portit suljetaan, rekisteriavaimet korjataan, korjaustiedostot asennetaan, ohjelmisto päivitetään, kielletty. ohjelmat poistetaan ja puuttuvat ohjelmat asennetaan.

Skannerin käyttötarkoitus

Nykyään lähes kaikilla paikallisilla verkoilla on pääsy maailmanlaajuisen Internetin resursseihin. Joissakin paikallisverkoissa ei välttämättä ole palvelimia, joihin pääsee ulkopuolelta, ja verkko muodostaa yhteyden Internetiin NAT-tekniikalla, eli yksi tietokone tarjoaa Internetin koko verkkoon. Joissakin verkoissa voi olla useita palvelimia, joihin pääsee Internetistä, ja verkon tietokoneilla voi olla globaaleja IP-osoitteita. Joka tapauksessa aina vähintään yksi tietokone, jolla on suora yhteys Internetiin. Tällaisen tietokoneen hakkerointi vaarantaa verkon tietoturvan ja sillä voi olla vakavia seurauksia. Jos verkossa on käynnissä useita globaaleilla osoitteilla varustettuja palvelimia ja ne tarjoavat esimerkiksi yrityksen työntekijöille mahdollisuuden päästä käsiksi postiin tai yritystietokantoihinsa mistä päin maailmaa tahansa, niin tällaisen verkon turvallisuuden varmistamisesta tulee melko monimutkainen tehtävä. , joka vain työntekijän erittäin pätevä. Tämän asiantuntijan päätehtävänä on seurata kymmenien tietoturvasivustojen uutissyötteitä, jotka julkaisevat tietoa löydetyistä haavoittuvuuksista, vastata välittömästi tällaisiin viesteihin ja etsiä itsenäisesti haavoittuvuuksia, jotka eivät ole vielä tunnettuja tai ainutlaatuisia. Ottaen huomioon, että haavoittuvuuden löytämisen ja ohjelmiston valmistajan virallisen korjauksen julkaisemisen välillä voi kulua melko paljon aikaa, asiantuntijan on suljettava nopeasti mahdollisuus haavoittuvuuden hyödyntämiseen. Jos vierailijoille tarjottavat palvelut ovat melko suosittuja, niin mitä nopeammin järjestelmänvalvoja saa tietää haavoittuvuuden löytämisestä (ihannetapauksessa jo ennen kuin se julkaistaan ​​erikoistuneilla sivustoilla), sitä suurempi on todennäköisyys, että hänellä on aikaa korjata löydetty aukko. Jotkut haavoittuvuudet voivat olla ainutlaatuisia tietylle palvelulle. Esimerkiksi komentosarjaohjelmoinnin virheet voivat avata hakkerille oven asentaa palvelimelle konsoli, jonka avulla hän voi saada täyden hallinnan palvelimeen ja sitten muihin verkkoresursseihin. Näin ollen julkisten palveluiden toimintaverkon turvallisuuden varmistaminen on erittäin monimutkainen ja vaikea tehtävä, jota XSpider on suunniteltu auttamaan.

XSpider voi täysin automaattisesti skannata verkossa olevat tietokoneet ja palvelut havaitakseen haavoittuvuudet. Asiantuntijat päivittävät jatkuvasti haavoittuvuustietokantaa, mikä yhdistettynä tietokantojen ja ohjelmamoduulien automaattisiin päivityksiin pitää XSpider-version jatkuvasti ajan tasalla.

XSpider voi suorittaa ajoitettuja tarkistuksia. Näin ollen voit yksinkertaistaa haavoittuvuuksien havaitsemista merkittävästi asettamalla XSpider-aikataulun, automaattisen päivityksen ja lähettämällä raportteja skannaustuloksista postitse tai tallentamalla ne verkkoasemalle. Näin voit keskittyä jo löydettyjen haavoittuvuuksien torjuntaan sekä ohjelmiston lisäkonfigurointiin ja päivittämiseen. XSpider tarjoaa myös tässä asiassa korvaamatonta apua, sillä se näyttää skannaustulosraportissa paitsi tiedon löydetystä haavoittuvuudesta, myös linkkejä esimerkiksi Microsoftin verkkosivuilla oleviin artikkeleihin, joissa kuvataan XSpiderin löytämää haavoittuvuutta ja annetaan suosituksia sen poistamiseksi.

Voit lukea ostoehdot, selvittää hinnat ja tilata XSpiderin osoitteessa.

Tulokset tarkistamalla isäntä, jossa on Windows XP ilman Service Pack -pakettia ja palomuuri on poistettu käytöstä

Toisessa testissä tarkastettiin isäntä, jossa oli Windows XP ilman Service Pack -pakettia ja jonka palomuuri oli poistettu käytöstä. Tab XSpiderin pääikkuna näkyy alla olevassa kuvassa.

Tarkistuksen aikana löydettiin useita kriittisiä haavoittuvuuksia. Työn tulokset sisälsivät linkkejä Microsoft Knowledge Base -tietokannan artikkeleihin, jotka kuvaavat löydettyä haavoittuvuutta, ja linkkejä näiden haavoittuvuuksien poistavien korjaustiedostojen lataamiseen.

Kiitämme yritystä "" kopion tuotteesta testausta varten.

Olen esitellyt sinulle yksityiskohtaisesti erilaisia ​​​​haavoittuvuuksia, mutta nyt on aika tutustua näiden haavoittuvuuksien skannereihin.

Haavoittuvuusskannerit ovat ohjelmisto- tai laitteistotyökaluja, joita käytetään verkkotietokoneiden diagnosointiin ja valvontaan. Niiden avulla voit tarkistaa verkkoja, tietokoneita ja sovelluksia mahdollisten tietoturvaongelmien havaitsemiseksi, haavoittuvuuksien arvioimiseksi ja poistamiseksi.

Haavoittuvuustarkistajien avulla voit tarkistaa järjestelmäsi eri sovelluksista aukkojen varalta, joita hyökkääjät voivat hyödyntää. Matalatason työkaluja, kuten porttiskanneria, voidaan käyttää myös mahdollisten järjestelmässä olevien sovellusten ja protokollien tunnistamiseen ja analysointiin.

Siten skannerit on tarkoitettu ratkaisemaan seuraavat tehtävät:

  • haavoittuvuuksien tunnistaminen ja analysointi;
  • resurssien, kuten käyttöjärjestelmän, ohjelmistojen ja verkkolaitteiden luettelo;
  • luoda raportteja, jotka sisältävät kuvauksen haavoittuvuuksista ja vaihtoehdoista niiden poistamiseksi.

Kuinka se toimii?

Haavoittuvuusskannerit käyttävät kahta päämekanismia toimiakseen.
Ensimmäinen- luotaus - ei kovin nopeaa, mutta tarkkaa. Tämä on aktiivinen analyysimekanismi, joka suorittaa simuloituja hyökkäyksiä ja testaa siten haavoittuvuuksia. Probing käyttää hyökkäyksen toteutusmenetelmiä, jotka auttavat vahvistamaan haavoittuvuuksien olemassaolon ja havaitsemaan aiemmin havaitsemattomat "virheet".

Toinen skannausmekanismi on nopeampi, mutta antaa vähemmän tarkkoja tuloksia. Tämä on passiivinen analyysi, jossa skanneri etsii epäsuorien merkkien avulla haavoittuvuutta vahvistamatta sen olemassaoloa. Skannaus tunnistaa avoimet portit ja kerää niihin liittyvät otsikot. Niitä verrataan edelleen sääntötaulukkoon verkkolaitteiden, käyttöjärjestelmien ja mahdollisten "aukkojen" määrittämiseksi. Vertailun jälkeen verkon suojausskanneri raportoi haavoittuvuuden olemassaolon tai puuttumisen.

Useimmat nykyaikaiset verkkoturvaskannerit toimivat seuraavilla periaatteilla:

  • kerätä tietoa verkosta, tunnistaa kaikki aktiiviset laitteet ja niissä toimivat palvelut;
  • mahdollisten haavoittuvuuksien havaitseminen;
  • valittujen haavoittuvuuksien vahvistaminen, joihin käytetään erityisiä menetelmiä ja mallinnetaan hyökkäyksiä;
  • raporttien luominen;
  • haavoittuvuuksien automaattinen poisto. Tätä vaihetta ei aina toteuteta verkon suojausskannereissa, mutta se löytyy usein järjestelmäskannereista.

Parhaat haavoittuvuusskannerit

Katsotaanpa nyt uusimpia skannereita, jotka ovat saaneet parhaat asiantuntijaarviot.

Nessus

Projekti käynnistettiin jo vuonna 1998, ja vuonna 2003 kehittäjä Tenable Network Security teki verkkoturvaskannerin kaupallisen. Säännöllisesti päivitettävä tietokanta haavoittuvuuksista, asennuksen ja käytön helppous sekä korkea tarkkuus ovat sen etuja kilpailijoihin verrattuna. Ja tärkein ominaisuus on lisäosien käyttö. Toisin sanoen mitään läpäisytestiä ei ole ommeltu tiukasti ohjelman sisään, vaan se on suunniteltu laajennukseksi. Lisäosat on jaettu 42 eri tyyppiin: Pentestin suorittamiseksi voit aktivoida sekä yksittäisiä laajennuksia että kaikki tietyn tyyppiset lisäosat - esimerkiksi suorittaaksesi kaikki paikalliset tarkistukset Ubuntu-järjestelmässä. Mielenkiintoinen kohta on, että käyttäjät voivat kirjoittaa omia testejä käyttämällä erityistä komentosarjakieltä.

Nessus on erinomainen haavoittuvuuksien skanneri. Mutta sillä on myös kaksi haittaa. Ensimmäinen on, että jos "turvalliset tarkistukset" -vaihtoehto on poistettu käytöstä, jotkin haavoittuvuustestit voivat johtaa häiriöihin tarkistettujen järjestelmien toiminnassa. Toinen on hinta. Vuotuinen lisenssi voi maksaa 114 tuhatta ruplaa.

Symantec Security Check

Ilmainen skanneri samalta valmistajalta. Päätoiminnot - virusten ja troijalaisten, Internet-matojen, haittaohjelmien havaitseminen, haavoittuvuuksien etsiminen paikallisverkosta. Tämä on online-tuote, joka koostuu kahdesta osasta: Turvatarkistus, joka tarkistaa järjestelmän turvallisuuden ja Viruksen tunnistus joka suorittaa tietokoneesi täyden virustarkistuksen. Asentuu nopeasti ja helposti, toimii selaimen kautta. Viimeaikaisten arvostelujen mukaan tätä verkkoskanneria käytetään parhaiten lisäskannaukseen.

XSpider

XSpider-ohjelma, joka kehittäjän mukaan voi tunnistaa kolmanneksen huomisen haavoittuvuuksista. Tämän skannerin tärkein ominaisuus on kyky havaita verkon "vikojen" enimmäismäärä ennen kuin hakkerit näkevät ne. Samalla skanneri toimii etänä ilman lisäohjelmiston asennusta. Työskentelyn jälkeen skanneri lähettää turvallisuusasiantuntijalle täydellisen raportin ja neuvoja "reikien" poistamiseen. Tämän skannerin lisenssin hinta alkaa 11 tuhannesta ruplasta neljälle isännälle vuodessa.

QualysGuard

Monitoiminen haavoittuvuusskanneri. Se tarjoaa laajoja raportteja, jotka sisältävät:

  • haavoittuvuuksien kriittisyyden tason arviointi;
  • arvio niiden poistamiseen tarvittavasta ajasta;
  • niiden vaikutusten laajuuden tarkistaminen liiketoimintaan;
  • turvallisuuskysymysten alan suuntausten analysointi.

QualysGuardin pilvipohjainen alusta ja sisäänrakennettu sovellussarja antavat yrityksille mahdollisuuden yksinkertaistaa tietoturvaprosessia ja vähentää samalla, kun ne tarjoavat tärkeitä tietoturvatietoja ja automatisoivat IT-järjestelmien ja verkkosovellusten täyden valikoiman auditointi-, vaatimustenmukaisuus- ja suojaustehtäviä. Tämän ohjelmiston avulla voit skannata yritysten verkkosivustoja ja vastaanottaa automaattisia hälytyksiä ja raportteja uhkien tunnistamiseksi ja poistamiseksi oikea-aikaisesti.

Rapid 7 NeXpose

Rapid 7 on yksi nopeimmin kasvavista tietoturvayrityksistä maailmassa. Hän osti äskettäin Metasploit Framework -projektin, ja hän loi NeXpose-projektin. Kaupallisen version "pääsy" maksaa lähes 3000 dollaria, mutta harrastajille on tarjolla yhteisöversio, jossa on hieman rajoitettuja ominaisuuksia. Tämä ilmainen versio integroituu helposti Metasploitiin. Toimintatapa on melko hankala: ensin käynnistetään NeXpose, sitten Metasploit Console (msfconsole), jonka jälkeen voit aloittaa skannausprosessin ja määrittää sen useilla komennoilla (nexpose_connect, nexpose_scan, nexpose_discover, nexpose_dos ja muut). Voit yhdistää NeXposen ja muiden Metasploit-moduulien toimintoja.

X-Scan

Ulkoisesti X-Scan näyttää enemmän kotitekoiselta tuotteelta, jonka joku on luonut omiin tarpeisiinsa ja joka on julkaistu vapaasti kelluvaksi. Ehkä se ei olisi saavuttanut niin suurta suosiota, jos ei olisi tuettu Nessus-skriptejä, jotka aktivoidaan Nessus-Attack-Scripts-moduulilla. Toisaalta, kun katsot skannausraporttia, kaikki epäilykset skannerin hyödyllisyydestä häipyvät taustalle. Sitä ei suunnitella jonkin virallisen tietoturvastandardin mukaan, mutta se kertoo varmasti paljon uutta verkosta.

Yksi tietotekniikan tärkeimmistä kysymyksistä on turvallisuus. Tiesitkö, että 96 % testatuista sovelluksista sisältää haavoittuvuuksia?

Alla on Cenzicin kaavio, joka näyttää erilaiset löydetyt haavoittuvuudet.

Tässä artikkelissa puhun ilmaisista työkaluista verkkosivuston haavoittuvuuksien ja haittaohjelmien tarkistamiseen.

Luettelo harkituista työkaluista:

  • Scan My Server;
  • SUCURI;
  • Qualys SSL Labs, Qualys FreeScan;
  • Quttera;
  • havaita;
  • SiteGuarding;
  • Web-tarkastaja;
  • Acunetix;
  • Asafa Web;
  • Netsparker Cloud;
  • UpGuard Web Scan;
  • Tfolioturvallisuus.

1. Skannaa Oma palvelin

ScanMyServer tarjoaa yhden kattavimmista tietoturvatestien raporteista: SQL-injektio, sivustojen välinen komentosarja, PHP-koodin lisäys, lähteen paljastaminen, HTTP-otsikoiden asettaminen ja paljon muuta.

Skannausraportti lähetetään sähköpostitse, ja siinä on lyhyt kuvaus löydetyistä haavoittuvuuksista.

2.SUCURI

SUCURI on suosituin ilmainen haittaohjelmatarkistus. Voit nopeasti testata sivuston haitallisen koodin, roskapostin lisäyksen ja sen esiintymisen eri mustilla listoilla varalta.

SUCURI myös puhdistaa ja suojaa verkkosivustosi online-uhkilta. Työkalu toimii missä tahansa sisällönhallintajärjestelmässä, mukaan lukien WordPress, Joomla, Magento, Drupal, phpBB jne.

3. Qualys SSL Labs, Qualys FreeScan

SSL Labs on yksi suosituimmista SSL-verkkopalvelintarkistustyökaluista. Se tarjoaa perusteellisen analyysin https-URL-osoitteesta, yleisarvioinnista, salauksesta, SSL/TLS-versiosta, simuloiduista kättelyistä, protokollatiedoista, BEASTista ja muista.

FreeScan tarkistaa sivustot OWASP:n tärkeimpien riskien ja haittaohjelmien, SCP-suojausparametrien ja muiden testien varalta. Skannataksesi sinun on rekisteröidyttävä ilmaiselle tilille.

4.Quuttera

Quttera tarkistaa sivuston haittaohjelmien ja haavoittuvuuksien varalta.

Tämä työkalu etsii sivustolta haitallisia tiedostoja, epäilyttäviä tiedostoja, mahdollisesti epäilyttäviä tiedostoja, phishTankia sekä turvallista selausluetteloa (Google, Yandex) ja haittaohjelmaluetteloita.

5. Tunnista

Detectify on SaaS-pohjainen verkkosivustoskanneri. Sen avulla voit suorittaa yli 100 automaattista tietoturvatestiä, mukaan lukien OWASP Top 10 -testi, haittaohjelmatestaus ja paljon muuta.

Detectify tarjoaa 21 päivän ilmaisen kokeilujakson.

6. SiteGuarding

SiteGuardingin avulla voit tarkistaa verkkotunnuksesi haittaohjelmien, mustien listojen, roskapostin lisäysten ja muiden varalta.

Skanneri on yhteensopiva WordPressin, Joomlan, Drupalin, Magenton, osCommercen, Bulletinin ja muiden alustojen kanssa.

SiteGuarding auttaa myös sinua poistamaan haittaohjelmat verkkosivustostasi.

7. Web Inspector

Web Inspector skannaa sivuston ja tarjoaa raportteja - "musta lista", "phishing", "haittaohjelmat", "madot", "takaovet", "troijalaiset", "epäilyttävät kehykset", "epäilyttävät yhteydet".

8. Acunetix

Acunetix tarkistaa koko sivustolta yli 500 erilaista haavoittuvuutta.

Työkalu tarjoaa ilmaisen kokeilujakson 14 päivän ajan.

9. Asafa Web

AsafaWeb tarjoaa skannauksen jäljityksen, käyttäjävirheet, pinojäljityksen, Hash DoS -korjauksen, EMLAH-lokin, vain HTTP-evästeet, suojatut evästeet, napsautussyötteen ja paljon muuta.

10. Netsparker Cloud

Netsparker Cloud on yritysten verkkosovellusten tietoturvatarkistus, joka voi havaita yli 25 kriittistä haavoittuvuutta. Se on ilmainen avoimen lähdekoodin projekteille. Voit myös pyytää työkalun kokeiluversion.

11. UpGuard Web Scan

UpGuard Web Scan on ulkoinen riskinarviointityökalu, joka käyttää julkisesti saatavilla olevia tietoja eri tekijöistä, kuten SSL:stä, Clickjack-hyökkäyksestä, evästeistä, DNSSEC:stä, otsikoista jne. Se on vielä beta-vaiheessa, mutta kokeilemisen arvoinen.

12. Tfolioturvallisuus

Tinfoil Security tarkistaa ensin, onko sivustolla 10 OWASP-haavoittuvuutta ja sitten muita tunnettuja uhkia. Saat lopulta raportin toiminnasta ja voit skannata sivuston uudelleen tarvittavien korjausten tekemisen jälkeen.

Täydellinen asennus kestää noin 5 minuuttia. Voit skannata sivuston, vaikka se olisi suojattu tai edellyttää rekisteröitymistä.

Turvaskannereiden vertaileva analyysi. Osa 1: Penetraatiotesti (lyhyt yhteenveto)

Aleksanteri Antipov

Tämä asiakirja esittelee verkon suojaskannerien vertailun tulokset verkon kehäsolmuja vastaan ​​tehdyn läpäisytestin aikana.


Lepikhin Vladimir Borisovich
Informzashchita-koulutuskeskuksen verkkoturvalaboratorion johtaja

Kaikki raportin materiaalit ovat Informzashita-koulutuskeskuksen immateriaalioikeuksia. Raporttimateriaalin kopioiminen, julkaiseminen tai jäljentäminen missään muodossa on kiellettyä ilman Informzashita Training Centerin kirjallista lupaa.

Tutkimuksen koko teksti:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Esittely

Verkkoturvallisuusskannerit sopivat erinomaisesti vertailuun. Ne ovat kaikki hyvin erilaisia. Ja johtuen niiden tehtävien erityispiirteistä, joihin ne on tarkoitettu, ja niiden "kaksi" tarkoituksen vuoksi (verkon suojausskannereita voidaan käyttää sekä puolustukseen että "hyökkäykseen", ja hakkerointi, kuten tiedämme, on luova tehtävä) Lopuksi myös siksi, että jokaisen tällaisen työkalun takana on "hakkeri" (sanan alkuperäisessä merkityksessä) ajatuslento sen luojasta.

Vertailuehtoja valittaessa on otettu lähtökohtana ”tehtäväpohjainen” lähestymistapa, joten tulosten perusteella voidaan arvioida, kuinka sopiva työkalu on sille osoitetun tehtävän ratkaisemiseen. Esimerkiksi verkon suojausskannereita voidaan käyttää:

  • verkkoresurssien inventointiin;
  • "läpäisytestien" aikana;
  • testattaessa järjestelmiä erilaisten vaatimusten noudattamiseksi.

Tämä asiakirja esittelee verkon suojaskannerien vertailun tulokset verkon kehäsolmuja vastaan ​​tehdyn läpäisytestin aikana. Seuraavat arvioitiin:

  • Löytyneiden haavoittuvuuksien määrä
  • Väärien positiivisten tulosten määrä (vääriä positiivisia)
  • Väärät negatiivit
  • Poissaolojen syyt
  • Tarkistuskannan täydellisyys (tämän tehtävän yhteydessä)
  • Varastomekanismien laatu ja ohjelmistoversion määritys
  • Skannerin tarkkuus (tämän tehtävän yhteydessä)

Luettelokriteerit yhdessä kuvaavat skannerin "soveltuvuutta" sille osoitetun tehtävän ratkaisemiseen, tässä tapauksessa se on rutiinitoimintojen automatisointi verkon kehän turvallisuuden valvontaprosessissa.

2. Lyhyt kuvaus vertailun osallistujista

Ennen vertailun aloittamista portaali teki kyselyn, jonka tarkoituksena oli kerätä tietoa käytetyistä skannereista ja tehtävistä, joihin niitä käytetään.

Kyselyyn osallistui noin 500 vastaajaa (portaalin kävijöitä).

Kun kysyttiin organisaatioissaan käyttämistä turvaskannereista, valtaosa vastaajista sanoi käyttävänsä vähintään yhtä turvaskanneria (70 %). Samaan aikaan organisaatiot, jotka käyttävät säännöllisesti turvaskannereita tietojärjestelmiensä turvallisuuden analysointiin, käyttävät mieluummin useampaa kuin yhtä tämän luokan tuotetta. 49 % vastaajista sanoi, että heidän organisaationsa käyttää kahta tai useampaa turvaskanneria (kuva 1).


1 . Tutkittujen organisaatioiden jakautuminen käytettyjen turvaskannerien lukumäärän mukaan

Syitä useampaan kuin yhden turvaskannerin käyttöön ovat se, että organisaatiot eivät luota yhden "toimittajan" ratkaisuihin (61 %) ja kun tarvitaan erikoistarkastuksia (39 %), joita ei voida tehdä kattavalla suojausskannereilla (kuva 2). .

2. Syitä useamman kuin yhden turvaskannerin käyttämiseen tutkituissa organisaatioissa

Kysymykseen, mihin tarkoituksiin erikoistuneita turvaskannereita käytetään, suurin osa vastaajista vastasi, että niitä käytetään lisätyökaluina verkkosovellusten turvallisuuden analysointiin (68 %). Toisella sijalla olivat erikoistuneet DBMS-turvaskannerit (30 %) ja kolmannella (2 %) patentoidut apuohjelmat tiettyjen tietojärjestelmien turvallisuuden analysointiongelmien ratkaisemiseksi (kuva 3).


3. Erikoistuneiden turvaskannerien käyttötarkoitukset kyselyyn vastanneiden organisaatioissa

Tietoturvaskannereihin liittyvistä lopputuotteista tehdyn vastaajakyselyn (Kuva 4) tulos osoitti, että suurin osa organisaatioista käyttää mieluummin Positive Technologies -tuotetta XSpider (31 %) ja Nessus Security Scanner (17 %).


Riisi. 4. Vastaajien organisaatioissa käytetyt turvaskannerit

Taulukossa 1 esitetyt skannerit valittiin osallistumaan testitesteihin.

Taulukko 1. Vertailussa käytetyt verkkoturvaskannerit

Nimi

Versio

http://www.nessus.org/download

MaxPatrol

8.0 (koontiversio 1178)

http://www.ptsecurity.ru/maxpatrol.asp

Internet-skanneri

http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208

VerkkokalvoVerkkoturvallisuusskanneri

http://www.eeye.com/html/products/retina/index.html

Shadow Security Scanner (SSS)

7.141 (koontiversio 262)

http://www.safety-lab.com/en/products/securityscanner.htm

NetClarity Auditor

http://netclarity.com/branch-nacwall.html

Joten ensimmäinen testi keskittyy tehtävään arvioida järjestelmien turvallisuutta hakkerointikestävyyden suhteen.

3. Yhteenveto

Muiden solmujen tulokset laskettiin samalla tavalla. Tulosten laskemisen jälkeen saatiin seuraava taulukko (taulukko 2).

Taulukko 2. Lopputulokset kaikille skannatuille kohteille

Indeksi

Internet-skanneri

Shadow Security Scanner

NetClarity
Tilintarkastaja

Palvelujen ja sovellusten tunnistaminen, pisteet

Haavoittuvuuksia löydetty, yhteensä

Näistä vääristä positiivisista
(väärät positiiviset)

Löytyi oikein
(225 mahdollisesta)

Passit
(vääriä negatiivisia)

Näistä tietokannan puuttumisen vuoksi

Näistä johtuu todennuksen tarpeesta

Muista syistä

3.1 Palveluiden ja sovellusten tunnistaminen

Palvelujen ja sovellusten tunnistamisen tulosten perusteella pisteet yksinkertaisesti laskettiin yhteen, jolloin palvelun tai sovelluksen virheellisestä tunnistamisesta vähennettiin yksi piste (kuva 5).


Riisi. 5. Palvelujen ja sovellusten tunnistamisen tulokset

MaxPatrol-skanneri sai eniten pisteitä (108) ja Nessus-skanneri hieman vähemmän (98). Näissä kahdessa skannerissa palveluiden ja sovellusten tunnistamismenettely on todellakin toteutettu erittäin tehokkaasti. Tätä tulosta voidaan kutsua melko odotetuksi.

Seuraavat tulokset ovat Internet Scanner- ja NetClarity-skannereilta. Tässä voidaan mainita, että esimerkiksi Internet Scanner keskittyy standardiporttien käyttöön sovelluksissa, tämä selittää pitkälti sen alhaisen tuloksen. Lopuksi NetClarity-skannerin suorituskyky on huonoin. Vaikka se tekee hyvää työtä palveluiden tunnistamisessa (sehän perustuu Nessus 2.x -ytimeen), sen yleinen huono suorituskyky voidaan selittää sillä, että se ei tunnistanut kaikkia avoimia portteja.

3.2 Haavoittuvuuksien tunnistaminen

Kuvassa Kuvassa 6 näkyy kaikkien skannerien löytämien haavoittuvuuksien kokonaismäärä ja väärien positiivisten tulosten määrä. Eniten haavoittuvuuksia löysi MaxPatrol-skanneri. Nessus osoittautui jälleen toiseksi (tosin merkittävällä marginaalilla).
Johtaja väärien positiivisten tulosten määrässä oli Shadow Security Scanner. Periaatteessa tämä on ymmärrettävää, edellä on annettu esimerkkejä erityisesti sen tarkastuksiin liittyvistä virheistä.


Riisi. 6. Löytyi haavoittuvuuksia ja vääriä positiivisia tuloksia

Kaikissa 16 solmussa kaikki skannerit löysivät (ja vahvistettiin myöhemmin manuaalisella tarkistuksella) 225 haavoittuvuutta. Tulokset jaettiin kuvan mukaisesti. 7. MaxPatrol-skanneri tunnisti suurimman määrän haavoittuvuuksia - 155 mahdollisesta 225:stä. Toinen oli Nessus-skanneri (sen tulos oli lähes kaksi kertaa huonompi). Seuraavaksi on Internet Scanner, sitten NetClarity.
Vertailussa analysoitiin puuttuvien haavoittuvuuksien syitä ja erotettiin ne, jotka tehtiin tietokannan tarkastusten puutteesta. Seuraava kaavio (kuva 8) näyttää syyt siihen, miksi skannerit huomaavat haavoittuvuuksia.


Riisi. 7. Löytyi haavoittuvuuksia ja puutteita


Riisi. 8. Syyt puuttuviin haavoittuvuuksiin

Nyt muutama indikaattori laskelmista.

Kuvassa Kuvassa 39 on esitetty väärien positiivisten lukujen suhde löydettyjen haavoittuvuuksien kokonaismäärään. Tätä indikaattoria voidaan tietyssä mielessä kutsua skannerin tarkkuudeksi. Loppujen lopuksi käyttäjä käsittelee ensin luetteloa skannerin löytämistä haavoittuvuuksista, joista on tarpeen valita oikein löydetyt.


Riisi. 9. Skannerien tarkkuus

Tästä kaaviosta voidaan nähdä, että suurin tarkkuus (95 %) saavutettiin MaxPatrol-skannerilla. Vaikka sen väärien positiivisten tulosten määrä ei ole pienin, tämä tarkkuusaste saavutetaan löydettyjen haavoittuvuuksien suuren määrän ansiosta. Seuraavaksi tarkin määritelmä on Internet Scanner. Se osoitti vähiten vääriä positiivisia tuloksia. SSS-skannerilla on alhaisin tulos, mikä ei ole yllättävää, kun otetaan huomioon vertailun aikana havaittu suuri määrä vääriä positiivisia.

Toinen laskettu indikaattori on tietokannan täydellisyys (kuva 10). Se lasketaan oikein löydettyjen haavoittuvuuksien määrän suhteena haavoittuvuuksien kokonaismäärään (tässä tapauksessa - 225) ja luonnehtii "mittausten" laajuutta.


Riisi. 10. Tietokannan täydellisyys

Tästä kaaviosta on selvää, että MaxPatrol-skanneripohja on sopivin tehtävään.

4. Johtopäätös

4.1 Kommentit johtajien tuloksista: MaxPatrol ja Nessus

Tämän vertailun kaikkien kriteerien mukaan ykkössijalla on MaxPatrol-skanneri, Nessus-skanneri on toisella sijalla, muiden skannereiden tulokset ovat huomattavasti heikompia.

Tässä yhteydessä on syytä muistaa yksi Yhdysvaltain kansallisen standardointi- ja teknologiainstituutin (NIST) laatimista asiakirjoista, nimittäin "Guideline on Network Security Testing". Siinä todetaan, että tietokonejärjestelmien turvallisuutta valvottaessa on suositeltavaa käyttää vähintään kahta turvaskanneria.

Itse asiassa saadussa tuloksessa ei ole mitään odottamatonta tai yllättävää. Ei ole mikään salaisuus, että XSpider (MaxPatrol) ja Nessus-skannerit ovat suosittuja sekä tietoturvaasiantuntijoiden että hakkereiden keskuudessa. Tämän vahvistavat yllä olevat tutkimustulokset. Yritetään analysoida syitä MaxPatrolin ilmeiseen johtajuuteen (tämä pätee osittain Nessus-skanneriin) sekä muiden skannerien "menetyksen" syitä. Ensinnäkin tämä on korkealaatuista palveluiden ja sovellusten tunnistamista. Päätelmäpohjaiset testit (ja niitä oli tässä tapauksessa melko vähän) riippuvat suuresti tiedonkeruun tarkkuudesta. Ja palveluiden ja sovellusten tunnistaminen MaxPatrol-skannerissa on lähes täydellinen. Tässä yksi havainnollistava esimerkki.
Toinen syy MaxPatrolin menestykseen on tietokannan täydellisyys ja sen riittävyys käsillä olevaan tehtävään ja yleensä "tänään". Tulosten perusteella on havaittavissa, että MaxPatrolin tarkastustietokantaa on laajennettu ja yksityistetty merkittävästi, se on "kunnostettu", kun taas ilmeistä "poikkeamaa" web-sovelluksia kohtaan kompensoi tarkastusten laajeneminen muilla alueilla. Esimerkiksi vertailussa esitetyn reitittimen skannauksen tulokset olivat Ciscon vaikuttavia.

Kolmas syy on sovellusversioiden laadullinen analyysi, jossa otetaan huomioon käyttöjärjestelmät, jakelut ja erilaiset "haarat". Voit myös lisätä eri lähteiden käyttöä (haavoittuvuustietokannat, ilmoitukset ja toimittajatiedotteet).

Lopuksi voimme myös lisätä, että MaxPatrolilla on erittäin kätevä ja looginen käyttöliittymä, joka heijastaa verkkoturvaskannerien työn päävaiheita. Ja tämä on tärkeää. Yhdistelmä "solmu, palvelu, haavoittuvuus" on erittäin helppo ymmärtää (Toimittajan huomautus: tämä on vertailun tekijän subjektiivinen mielipide). Ja varsinkin tähän tehtävään.

Nyt puutteista ja "heikoista" kohdista. Koska MaxPatrol osoittautui vertailussa johtajaksi, sille osoitettu kritiikki on "maksimi".

Ensinnäkin niin sanottu "häviäminen pienissä asioissa". Erittäin laadukkaalla moottorilla on tärkeää tarjota vastaavia lisäpalveluita, esimerkiksi käteviä työkaluja, joiden avulla voit tehdä jotain manuaalisesti, työkaluja haavoittuvuuksien etsimiseen ja järjestelmän "hienosäätöä". MaxPatrol jatkaa XSpider-perinnettä ja keskittyy maksimaalisesti "klikkaa ja se toimii" -ideologiaan. Toisaalta tämä ei ole huonoa, toisaalta se rajoittaa "huolellista" analyytikkoa.

Toiseksi jotkut palvelut jäivät "katsomatta" (voit päätellä tämän vertailun tuloksista), esimerkiksi IKE (portti 500).

Kolmanneksi, joissakin tapauksissa puuttuu kahden tarkastuksen tulosten perustavanlaatuinen vertailu keskenään, kuten esimerkiksi edellä kuvatun SSH:n tapauksessa. Toisin sanoen useiden tarkastusten tulosten perusteella ei tehdä johtopäätöksiä. Esimerkiksi host4:n käyttöjärjestelmä tunnistettiin Windowsiksi ja PPTP-palvelun "toimittaja" luokiteltiin Linuxiksi. Voimmeko tehdä johtopäätöksiä? Osoita esimerkiksi raportissa käyttöjärjestelmän määritysalueella, että tämä on "hybridi" solmu.

Neljänneksi tarkastusten kuvaus jättää paljon toivomisen varaa. Mutta tässä on ymmärrettävä, että MaxPatrol on epätasa-arvoisissa olosuhteissa muiden skannerien kanssa: kaikkien kuvausten korkealaatuinen kääntäminen venäjäksi on erittäin työvoimavaltainen tehtävä.

Nessus-skanneri osoitti yleisesti ottaen hyviä tuloksia, ja useissa kohdissa se oli tarkempi kuin MaxPatrol-skanneri. Suurin syy Nessuksen jäljessä on haavoittuvuuksien puuttuminen, mutta ei tietokannan tarkistusten puutteesta, kuten useimmat muut skannerit, vaan toteutusominaisuuksista. Ensinnäkin (ja tästä johtuu suuri osa puutteista) Nessus-skannerissa on ollut kehitystrendi kohti "paikallisia" eli järjestelmätarkistuksia, jotka edellyttävät tiliin yhdistämistä. Toiseksi Nessus-skanneri ottaa huomioon vähemmän (MaxPatroliin verrattuna) tietolähteitä haavoittuvuuksista. Tämä on hieman samanlainen kuin SSS-skanneri, joka perustuu suurelta osin SecurityFocukseen.

5. Tämän vertailun rajoitukset

Vertailussa skannerien ominaisuuksia tutkittiin vain yhden tehtävän – verkon kehäsolmujen hakkeroinninkestävyyden testaamisen – yhteydessä. Jos esimerkiksi piirretään autoanalogia, näimme kuinka eri autot käyttäytyvät esimerkiksi liukkaalla tiellä. On kuitenkin muita tehtäviä, joiden ratkaisu samoilla skannereilla voi näyttää täysin erilaiselta. Lähitulevaisuudessa on tarkoitus verrata skannereita, kun ratkaistaan ​​esimerkiksi seuraavat ongelmat:

  • Järjestelmien auditoinnin suorittaminen tilin avulla
  • PCI DSS -yhteensopivuuden arviointi
  • Windows-järjestelmien skannaus

Lisäksi on tarkoitus verrata skannereita muodollisin kriteerein.

Tämän vertailun aikana testattiin vain itse "moottoria" tai nykyaikaisesti skannerin "aivoja". Lisäpalveluiden (raportit, skannauksen edistymistä koskevien tietojen tallentaminen jne.) kykyjä ei arvioitu tai vertailtu millään tavalla.

Myöskään vaaran astetta ja kykyä hyödyntää löydettyjä haavoittuvuuksia ei arvioitu. Jotkut skannerit rajoittuivat "pieniin" alhaisen riskin haavoittuvuuksiin, kun taas toiset tunnistivat todella kriittisiä haavoittuvuuksia, jotka mahdollistavat pääsyn järjestelmään.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä