Будущее сканеров безопасности

Алексей Лукацкий, Cisco Systems

 В России сейчас наблюдается некоторый бум на сканеры безопасности. Если раньше у нас были известны только западные решения – Internet Scanner, Nessus, Retina, LAN Guard и т.п., то сейчас интерес к разработке этого класса средств защиты проснулся и у российских производителей. РНТ со своим «Стилетом», ЦБИ с «Ревизором Сети», Элвис+ с «Заставой-Инспектором»  и т.д. Сканер XSpider компании Positive Technologies, как и ShadowSecurityScanner, были созданы гораздо раньше и находятся в стороне от этого бума. Но так ли нужны эти «незаменимые помощники администратора» и куда они будут развиваться в ближайшие годы? Попробуем порассуждать.

Для чего существуют сканеры безопасности? Вопреки распространенному заблуждению – не для обнаружения дыр, а для их устранения. Зачем обнаруживать, если нельзя устранить? Можно конечно возложить эту задачу на администратора, чему он будет «безумно рад». Но правильно ли это? Администратор и так загружен другими задачами – навешивать на него устранение дыр на сотнях узлов корпоративной сети – дело неблагодарное и малоперспективное. Вспомните, как вы ходите лечить зубы? Стоматолог влезет вам в рот, поковыряется там зондом и вынесет вердикт. Будете ли вы лечить зубы? Заботящиеся о своем здоровье, разумеется, не упустят свой шанс и не допустят свой кариес бродить по полости рта. А вот несознательные сограждане поступят по принципу «авось пронесет». Как показывает статистика, не проносит. С дырами ситуация аналогичная. Если их не устранять, то рано или поздно их обнаружат «плохие парни» и воспользуются для достижения своих, не всегда достойных целей. Поэтому устранять дыры надо, но не все и не всегда.

Почему не всегда? Для этого надо просто вдуматься в то, что такое уязвимость. Это слабость, которой могут воспользоваться злоумышленники. Ключевое слово «могут». Ведь могут и не воспользоваться. По разным причинам – не нашли, не умеют, не хотят и т.д. А раз дырой никто не пользуется, зачем тратить свое время, силы и деньги на устранение? Этот вывод, кстати, разрушает все доводы, приведенные в статье «Аналитические методы анализа защищённости информационных систем»  и не раз высказанные во время ее обсуждения на форуме SecurityLab. Можно сколько угодно подсчитывать число дыр в предыдущих версиях какой-либо программы, но на реальный уровень защищенности это никак не влияет. Система может иметь 100 дыр и не будет взломана, а может иметь всего одну дыру и именно через нее произойдет проникновение.

На мой взгляд, гораздо эффективнее решать проблему по мере ее наступления или с небольшим опережением (в противном случае мы будем тратить все время и ресурсы на решение проблем безопасности, позабыв про сам продукт). В частности в момент попытки получения доступа к критичным ресурсам. Нет дыры – доступ разрешен, есть дыра – доступ к ресурсу блокируется, а сам узел направляется в карантинную сеть для загрузки заплаток, лечения и т.п. Такой подход сейчас пропагандируют многие производители. Например, Cisco Systems со своей инициативой Network Admission Control  или Microsoft с Network Access Protection . Их подход достаточно прост – зачем возлагать задачу контроля защищенности на внешнее и навесное устройство, если можно интегрировать данную проверку на уровень сетевой инфраструктуры (например, в маршрутизатор, коммутатор или точку беспроводного доступа) или на уровень операционной системы? Миновать эти контрольные точки при доступе к какому-либо ресурсу невозможно, а значит мы сможем контролировать любое устройство, независимо от типа подключения – 100%-ый охват, о котором раньше было можно только мечтать.

Отсюда, кстати, можно сделать вывод, что сканер безопасности (каким бы эффективным он не был) сам по себе мало кому нужен. Как и любое другое средство защиты, он не висит в вакууме и должен быть тесно интегрирован в инфраструктур обеспечения информационной безопасности компании. Поэтому сейчас многие производители сканеров безопасности делают шаг вперед и включают в свои продукты механизмы интеграции с другими средствами защиты. Это один из путей развития сканеров безопасности будущего. Например, интеграция с межсетевым экраном для блокирования доступа к уязвимому узлу или интеграция с системой управления патчами для своевременного латания возникших дыр.

Если учитывать, что уязвимость – это не просто дыра в ПО, а свойство информационной системы, позволяющее нарушителю реализовать угрозу, то и проверять надо не только то, что обычно проверяют традиционные сканеры безопасности. Отсутствие патча – это тоже пробел в безопасности, наличие неконтролируемого модема – тоже дыра, незнание своего «виртуального хозяйства» - тоже слабость. Поэтому можно предположить, что портфель средств анализа защищенности (vulnerability management), а именно так называется рынок данных средств, будет активно развиваться и пополняться новыми решениями. Какими? Давайте посмотрим.

С чего обычно начинается или должна начинаться безопасность? С изучения того, что есть в сети. Иными словами с инвентаризации. Давно, лет 8-9 назад существовал отличный сканер Ballista, позже переименованный в CyberCop Scanner, в котором уже тогда существовала подсистема построения карты сети, которая визуализировала все ресурсы, подлежащие защите. Сейчас стали появляться отдельные такие средства, например, IPSonar, Cisco MARS, BigFix Enterprise Suite и т.п. И с течением времени важность этих средств только возрастет. А уж если их можно будет объединять со сканерами, то такой интеграции цены не будет.

Построили сеть, нашли дыру в ПО… Что дальше? Ее надо устранить. Самый простой способ – установить патч. Поэтому закономерно, что активно развивается рынок средств управления патчами. Начиналось все с обычных сканеров, которые могли проверять наличие/отсутствие обновлений, а устанавливать их приходилось вручную. Затем стали появляться такие компании как Altiris, BigFix, которые автоматизировали процесс установки всех необходимых заплат, существенно повысив эффективность системы информационной безопасности.

А что делать, если дыра не в ПО? На помощь придут системы анализа рисков и системы проверки соответствия политике безопасности (policy compliance), ярким примером которых являются отечественные системы «АванГард», «Кондор», «Гриф» и, конечно же, западные системы – CRAMM, Cisco Security Auditor и т.д. Работа на обоих уровнях позволяет охватить все проблемные участки корпоративной сети.

Нередки ситуации, когда сканирование какого-либо узла не приводит к какому-либо результату. Это не потому, что дыр нет (акция «Проверь здоровье своей сети», www.freescan.ru, ярко продемонстрировала, что неуязвимых узлов нет). Просто узел может быть настроен так, что он не пропускает запросы от сканера или они блокируются промежуточными средствами защиты. Как быть в этой ситуации? Вариантов 2 – установка сканеров на сам контролируемый узел и контроль сетевого трафика, исходящего из данного узла. В первом случае сканер выполняет те же самые проверки, что и его сетевой собрат, но на более глубоком уровне за счет тесной интеграции с операционной системой и приложениями. Во втором случае выполняется так называемый пассивный анализ, когда по различным признакам сетевого трафика (TCP-флаги, размер окна и т.п.) мы обнаруживаем различные уязвимости. Разумеется, в данном случае объем получаемых данных гораздо ниже, чем у обычного сканера, но в ситуации информационного голода, лучше что-то, чем ничего.

Мы рассмотрели все основные технологические тенденции, связанные со сканерами безопасности. Однако есть еще 2 направления развития, которые необходимо назвать. Это услуги, связанные с анализом защищенности и которые будут востребованы в самое ближайшее время. Во-первых, удаленное сканирование сети заказчика со стороны организации-исполнителя. Вы не всегда имеете возможность приобрести сканер безопасности для себя (нет денег, нет людей, нет времени). Но анализировать защищенность как-то надо. И на помощь приходит услуга удаленного сканирования. Ярким примером является сервис «Проверь здоровье своей сети» (www.freescan.ru), запущенный компаниями Cisco Systems и Positive Technologies.

Другим примером услуги является т.н. threat intelligence или регулярное уведомление заказчика о различных проблемах в используемом у него программно-аппаратном обеспечении. Этот сервис известен очень и очень давно – первые рассылки CERT были запущены в конце 80-х – начале 90-х годов. Сейчас немного изменился формат этой услуги. Рассылаются не просто бюллетени о тех или иных дырах, а составляется некий аналитический отчет, содержащий информацию только о проблемах в используемом вами ПО.

Казалось бы, рассмотренные мной технологии не связаны между собой. Но это не так. Все они направлены на решение одной единственной задачи – анализ защищенности информационных ресурсов во всех его аспектах и устранение обнаруженных проблем. Именно подчиненность это задаче позволяет объединять все эти технологии в единый класс защитных средств – vulnerability management.