Сканування на уразливості: навіщо це потрібно і як захистити свій ПК

Процес під назвою сканування вразливостей являє собою перевірку окремих вузлів або мереж на потенційні загрози.

А необхідність перевірити безпеку виникає у ІТ-фахівців досить часто – особливо, якщо мова йде про великих організаціях, що володіють цінною інформацією, яка може знадобитися зловмисникам.

Не варто нехтувати таким скануванням і адміністраторам невеликих мереж – тим більше що в 2017-му році серйозним атакам з боку запущених хакерами масштабних вірусів-шифрувальників зазнали сотні тисяч комп’ютерів.

Застосування сканерів уразливості

Для сканування мереж на слабкі місця в системах їх безпеки фахівці з інформаційної безпеки застосовують відповідне програмне забезпечення.

Такі програми називаються сканерами уразливості.

Принцип їх роботи полягає в перевірці додатків, які працюють на комп’ютерах мережі, і пошуку так званих «дірок», якими могли б скористатися без вашого дозволу для отримання доступу до важливих відомостей.

Грамотне використання програм, здатних виявити вразливість в мережі, дозволяє ІТ-спеціалістам уникнути проблем з вкраденими паролями і вирішувати такі завдання:

  • пошук потрапив на комп’ютер шкідливого коду;
  • інвентаризація ПО і інших ресурсів системи;
  • створення звітів, що містять інформацію про уразливість і способах їх усунення.

Мал. 2. Об’єкти мережі, що підлягають перевірці на уразливості.

Сканери вразливостей мають особливе значення для тих організацій, в сферу діяльності яких входить обробка і зберігання цінних архівів і конфіденційних відомостей. Такі програми потрібні компаніям, які займаються науковими дослідженнями, медициною, торгівлею, інформаційними технологіями, рекламою, фінансами і виконанням інших завдань, яким може перешкодити витік інформації.

механізми сканування

Сканування на уразливості виконується за допомогою двох основних механізмів – сканування і зондування.

Перший варіант передбачає, що програма-сканер виконує пасивний аналіз, визначаючи наявність проблем з безпекою тільки по ряду непрямих ознак, але без фактичних доказів.

Цю методику називають «логічним висновком», а її принципи полягають у виконанні наступних кроків: 

1 Ідентифікація портів, відкритих на кожному з пристроїв в мережі;

2 Збір заголовків, пов’язаних з портами і знайдених в процесі сканування;

3 Порівняння отриманих заголовків зі спеціальною таблицею, що містить правила визначення вразливостей;

4 Отримання висновків про наявність чи відсутність в мережі проблем з безпекою.

Процес під назвою «зондування» являє собою методику активної перевірки, що дозволяє практично зі стовідсотковою гарантією переконатися в тому, чи є в мережі уразливості чи ні.

Вона відрізняється порівняно невеликою в порівнянні зі скануванням швидкістю, проте в більшості випадків є більш точною.

Метод, який також називається «підтвердженням», застосовує отриману під час попередньої перевірки інформацію для того щоб ще ефективніше проаналізувати кожне мережеве пристрій, підтвердивши або спростувавши наявність загроз.

Головною перевагою другого варіанту є не тільки підтвердження тих проблем, які можуть бути виявлені простим скануванням, але і виявлення проблем, пошук яких неможливий за допомогою пасивної методики. Перевірка виконується за допомогою трьох механізмів – перевірки заголовків, активних зондирующих перевірок і імітації атак.

Основні етапи перевірки вразливостей

Більшість програм, що виконують сканування на уразливості, працює наступним чином:

Збирає про мережі всю необхідну інформацію, спочатку визначаючи всі активні пристрої в системі і працює на них програмне забезпечення. Якщо аналіз проводиться тільки на рівні одного ПК з вже встановленими на ньому сканером, цей крок пропускають.

Намагається знайти потенційні уразливості, застосовуючи спеціальні бази даних для того щоб порівняти отриману інформацію з уже відомими видами «дірок» в безпеці. Порівняння виконується за допомогою активного зондування або перевірки заголовків.

Підтверджує знайдені вразливості, застосовуючи спеціальні методики – імітацію певного типу атак, здатних довести факт наявності або відсутності загрози.

Генерує звіти на базі зібраних при скануванні відомостей, описуючи уразливості.

Мал. 5. Звіт одного з сканерів вразливостей.

Завершальний етап сканування є автоматичне виправлення або спробу усунення проблем. Ця функція є практично в кожному системному сканері, і відсутня у більшості мережевих додатків для перевірки вразливостей.

Відмінності в роботі різних програм

Деякі сканери поділяють уразливості за рівнем загрози.

наприклад, система NetSonar ділить їх на мережеві, здатні впливати на роутери, тому більш серйозні, і локальні, що впливають на робочі станції.

Internet Scanner розділяє загрози на три ступені – низьку, високу і середню.

Ці ж два сканера мають ще кілька відмінностей.

З їх допомогою звіти не тільки створюються, але і розбиваються на кілька груп, кожна з яких призначена для конкретних користувачів – від адміністраторів мережі до керівників організації.

Причому, для перших видається максимальну кількість цифр, для керівництва – красиво оформлені графіки та діаграми з невеликою кількістю деталей.

У складі створюваних сканерами звітів є рекомендації щодо усунення знайдених вразливостей.

Найбільше такої інформації міститься в даних, які видаються програмою Internet Scanner, яка видає покрокові інструкції щодо вирішення проблеми з урахуванням особливостей різних операційних систем.

Іноді в тексті звітів містяться посилання на web- або ftp-сервера, які містять доповнення та патчі, що дозволяють позбутися від загроз.

По-різному реалізований в сканерах і механізм усунення несправностей. Так, в сканері System Scanner для цього існує спеціальний сценарій, який запускається адміністратором для вирішення проблеми. Одночасно відбувається створення другого алгоритму, який може виправити зроблені зміни, якщо перший привів до погіршення роботи або виходу з ладу окремих вузлів. У більшості інших програм-сканерів можливість повернути зміни назад не існує.

Дії адміністратора по виявленню вразливостей

Для пошуку «дірок» в безпеці адміністратор може керуватися трьома алгоритмами.

Перший і найпопулярніший варіант – перевірка мережі на наявність тільки потенційних вразливостей. Вона дозволяє попередньо ознайомитися з даними системи, не порушуючи роботу вузлів і забезпечуючи максимальну швидкість аналізу.

Другий варіант – сканування з перевіркою і підтвердженням вразливостей. Методика займає більше часу і може викликати збої в роботі програмного забезпечення комп’ютерів в мережі під час реалізації механізму імітації атак.

спосіб №3 передбачає використання всіх трьох механізмів (причому, з правами і адміністратора, і користувача) і спробу усунути уразливості на окремих комп’ютерах. Через низьку швидкість і ризику вивести з ладу програмне забезпечення застосовують цей метод найрідше – в основному, при наявності серйозних доказів наявності «дірок».

Можливості сучасних сканерів

Основними вимогами до програми-сканера, що забезпечує перевірку системи і її окремих вузлів на уразливості, є:

  • Кросплатформеність або підтримка декількох операційних систем. При наявності такої особливості можна виконувати перевірку мережі, що складається з комп’ютерів з різними платформами. Наприклад, з декількома версіями Windows або навіть з системами типу UNIX.
  • Можливість сканувати одночасно кілька портів – така функція помітно зменшує час на перевірку.
  • Сканування всіх видів ПО, які зазвичай схильні до атак з боку хакерів. Серед шкідливих програм відносять продукцію компанії Adobe і Microsoft (наприклад, пакет офісних додатків MS Office).
  • Перевірку мережі в цілому і окремих її елементів без необхідності запускати сканування для кожного вузла системи.

Більшість сучасних скануючих програм мають інтуїтивно зрозуміле меню і досить легко настроюються відповідно до виконуваних завдань.

Так, практично кожен такий сканер дозволяє скласти список перевіряються вузлів і програм, вказати додатки, для яких будуть автоматично встановлюватися поновлення при виявленні вразливостей, і задати періодичність сканування і створення звітів.

Після отримання звітів сканер дозволяє адміністратору запускати виправлення загроз.

Серед додаткових особливостей сканерів можна відзначити можливість економії трафік, яка виходить при скачуванні тільки однієї копії дистрибутива і її розподілі по всім комп’ютерам мережі. Ще одна важлива функція передбачає збереження історії минулих перевірок, що дозволяє оцінити роботу вузлів в певних тимчасових інтервалах і оцінити ризики появи нових проблем з безпекою.

Сканери вразливостей мережі

Асортимент програм-сканерів на сучасному ринку ПО досить великий.

Всі вони відрізняються один від одного функціональністю, ефективністю пошуку вразливостей і ціною.

Для оцінки можливостей таких додатків варто розглянути характеристики і особливості п’яти найпопулярніших варіантів.

GFI LanGuard

Виробник GFI Software вважається одним з лідерів на світовому ринку інформаційної безпеки, а його продукція входить в рейтинги найбільш зручних і ефективних при перевірці на уразливості програм.

Одним з таких додатків, що забезпечують безпеку мережі і окремих комп’ютерів, є GFI LanGuard, до особливостей якого відносять:

  • швидку оцінку стану портів в системі;
  • пошук небезпечних налаштувань на комп’ютерах мережі і заборонених для установки програм, доповнень і патчів;
  • можливість сканування не тільки окремих комп’ютерів і серверів, але і входять в систему віртуальних машин і навіть підключених смартфонів;
  • складання за результатами сканування докладного звіту із зазначенням вразливостей, їх параметрів і способів усунення;
  • інтуїтивно зрозуміле управління і можливість настройки автоматичної роботи – при необхідності, сканер запускається в певний час, а все виправлення виконуються без втручання адміністратора;
  • можливість швидкого усунення знайдених загроз, зміни налаштувань системи, поновлення дозволеного ПО і видалення заборонених програм.

Мал. 6. Додаток для пошуку загроз GFI LanGuard.

До відмінностей цього сканера від більшості аналогів можна назвати установку оновлень і патчів практично для будь-якої операційної системи.

Ця особливість і інші переваги GFI LanGuard дозволяють йому перебувати на верхніх рядках рейтингів програм для пошуку мережевих вразливостей.

При цьому вартість використання сканера порівняно невелика і доступна навіть невеликим компаніям.

Nessus

Програму Nessus вперше випустили 20 років тому, але тільки з 2003-го року вона стає платною.

Монетизація проекту не зробила його менш популярним – завдяки ефективності і швидкості роботи кожен шостий адміністратор в світі застосовує саме цей сканер.

До переваг вибору Nessus відносять:

  • постійно оновлювану базу вразливостей;
  • просту установку і зручний інтерфейс;
  • ефективне виявлення проблем з безпекою;
  • використання плагінів, кожен з яких виконує своє завдання – наприклад, забезпечує сканування ОС Linux або запускає перевірку тільки заголовків.

Мал. 7. Програма Nessus.

Додаткова особливість сканера – можливість використання тестів, створених користувачами за допомогою спеціального програмного забезпечення. У той же час у програми є і два серйозних недоліки. Перший – можливість виходу з ладу деяких програм при скануванні за допомогою методу «імітації атак», другий – досить висока вартість.

Symantec Security Check

Програма Security Check є безкоштовним сканером компанії Symantec.

Серед її функцій варто відзначити пошук не тільки вразливостей, але і вірусів – включаючи макровіруси, трояни і інтернет-черви. Фактично, додаток складається з 2 частин – сканера Security Scan, що забезпечує безпеку мережі, і антивіруса Virus Detection.

Мал. 8. Робота програми Security Check прямо з браузера.

До переваг програми відносять просту установку і можливість роботи через браузер. Серед мінусів відзначають невисоку ефективність – універсальність продукту, що дозволяє йому шукати ще й віруси, робить його не дуже відповідним для перевірки мережі. Більшість користувачів рекомендує застосовувати цей сканер тільки для додаткових перевірок.

XSpider

Сканер XSpider випускається компанією Positive Technologies, представники якої стверджують, що програма не тільки виявляє вже відомі уразливості, але здатна знайти ще не створені загрози.

До особливостей застосування відносять:

  • ефективне виявлення «дірок» в системі;
  • можливість віддаленої роботи без установки додаткового програмного забезпечення;
  • створення докладних звітів з порадами щодо усунення проблем;
  • оновлення бази вразливостей і програмних модулів;
  • одночасне сканування великої кількості вузлів і робочих станцій;
  • збереження історії перевірок для подальшого аналізу проблем.

Мал. 9. Демо-версія сканера XSpider.

Також варто відзначити, що вартість використання сканера більш доступна в порівнянні з програмою Nessus. Хоча і вище, ніж у GFI LanGuard.

QualysGuard

Сканер вважається багатофункціональним і дозволяє отримати детальний звіт з оцінкою рівня вразливості, часу на їх усунення і рівень впливу «загрози» на бізнес.

Розробник продукту, фірма Qualys, Inc., постачає програму сотням тисяч споживачів, в тому числі і половині найбільших компаній світу.

Мал. 10. Додаток QualysGuard.

Відмінністю програми є наявність хмарного сховища бази даних і вбудованого набору додатків, що дозволяє не тільки підвищити безпеку мережі, а й знизити витрати на її приведення різним вимогам.

Програмне забезпечення дозволяє сканувати корпоративні веб-сайти, окремі комп’ютери і мережу в цілому.

Результатом сканування стає звіт, автоматично відсилається адміністратору і містить рекомендації щодо усунення вразливостей.

висновки

З урахуванням широкого асортименту додатків для сканування мережі та її вузлів на уразливості, істотно полегшується робота адміністратора.

Тепер від нього не вимагається самостійно запускати всі механізми сканування вручну – досить просто знайти підходяще додаток, вибрати спосіб перевірки, налаштувати і скористатися рекомендаціями отриманого звіту.

Вибирати відповідний сканер слід по функціональності додатку, ефективності пошуку загроз (яка визначається за відгуками користувачів) – і, що теж досить важливо, за ціною, яка повинна бути порівнянна з цінністю інформації, що захищається.

Ссылка на основную публикацию