Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 4 След.
RSS
Будущее сканеров безопасности
 
Обсуждение статьи Будущее сканеров безопасности
 
Цитата
В частности в момент попытки получения доступа к критичным ресурсам. Нет дыры – доступ разрешен, есть дыра – доступ к ресурсу блокируется, а сам узел направляется в карантинную сеть для загрузки заплаток, лечения и т.п.

Проблема в том, что при таком подходе между обнаружением свежей дыры и сканированием может пройти недопустимо много времени, которое сильно работает против вас. Это то же, что лечить зубы только при приеме на работу. Сканирование должно быть регулярным. А  проверять анализы перед тем как впустить - вот это правильно.
 
Статья конечно умная, да и написана авторитетным человеком, так что даже не удобно первому задавать вопросы. Но что делать если вопросы есть, а более уважаемые люди ещё не высказали своего мнения.

1. Хотелось бы отметить некоторый факт который имеет место в современной действительности. А именно - конкретная организация может в принципе на протяжении n-го периода времени обеспечить защиту своей сети, и все бы было хорошо. Но вот только у организации есть партнеры, по бизнесу скажем. Что в итоге - защищенная сеть (мы говорим о коммерческой организации) огранизации вынуждена взаимодействовать с другими сетями в которых не факт что обеспечивается должный уровень безопасности. И что тогда? Используя сканер - можно как-то оценить уровень безопасности "наших" данных которые обрабатывают партнеры. Понятно что ставить им "заплатки" не в нашей компетенции. А вот оценить уровень безопасности и риски возможно. Влиять же каким либо образом на другие компании в данной ситуации невозможно, по причине их независимости (разве только информировать их о проблемах). Так что "классическое" понимание сканера вроде как актуально.
Как раз для такой оценки. Это по поводу заблуждения.

2. Могут - но не хотят. Если нечто возможно и вы знаете об этом - это одно. Если вы не знаете об этом - это совсем другое.
Сканер - он фактически обнаруживает "дыру", то есть теперь вы об этом знаете (корректность обнаружения - это уже дело разработчиков). А до этого вы могли только предполагать - что она есть, или вообще не думать на эту тему.
Есть одна известная история. В город должен был приехать цирк, продали билеты. Через некоторое время каждый житель города догадался что цирк не приедет (по каким-либо причинам). На следующий день по радио объявили - да действительно цирк не приедет. Казалось бы что нового.... А тем не менее.... после объявления каждый житель города узнал, что о том что цирк не приедет знают все жители города.

Если система имеет 100 дыр и не была взломана то существует некий механизм защиты препятствующий её взлому (то что систему никто не пытался атаковать как раз и заслуга данного механизма защиты, просто будем смотреть шире - где сказано что механизм защиты должен быть именно программным или аппаратным). Вопрос в другом физически реализованные механизмы легче поддаются классификации, оценке вот собственно и все.
То что систему не актуально взламывать - как раз и есть один из механизмов защиты. Зачем ломать то, что не представляет интереса. К вопросу о сканере - он честно нашел 100 дыр, и этого достаточно. Дальше уже не инструментальная часть, а аналитическая.

3. С некоторым опережением.... В частности в момент доступа к критичным ресурсам....

Очень интересно как вы определите критичность... Только по фактическому опыту, либо по прогнозу, опять таки диктуемому предыдущим опытом. И к чему приходим система безопасности сама принимает решение (без участия человека) что будет критичным, а что нет. Здорово. Теперь осталось доказать что возможно влияние на систему принятия решений и мы получили "САМУЮ совершенную систему безопасности" управляемую из вне...  

Такой подход сейчас пропагандируют...
Пропагандировать можно все что угодно. Равно как любая теория хороша, пока не доходит до практической реализации.
Можно пропагандировать полеты на Луну - скажем аборигенам в Австралии.... согласитесь очень актуально.

По поводу 100%. Да, все замечательно, есть только один вопрос интересный - количество контролируемых контрольных точек.
Оч. актуальный вопрос. Ведь уязвимость это часто стечение нескольких факторов. И вероятность "срабатывания" уязвимости на конкретной системе как раз и зависит от этих факторов. Мы говорим в данном случае не о том что кто-то поленился ломать вашу систему, нет мы говорим о том что факт атаки имеет место, но вы остались не взломанным... Не бывает такого? Да что вы, вот пример - злоумышленник аткаует уязвимый сервер, подключился - стал "качать" ценную информацию.... и вдруг, электрик Вася случайно замкнул пару проводов. Злоумышленник же не знал что там не стоит UPS  - в итоге сервер отключается по питанию (а может и HDD накрылся... ).
Утечки ценной информации не произошло, Васе ценный приз...  Только вот ни Cisco ни MS не знали что Вася питание "дернет". Разработали свои умные системы безопасности - кучу денег потратили напрасно (по факту то Вася блокировал уязвимость) ... или они уже "знают" (судя по вашей логике - цитирую - ..."гораздо эффективнее решать проблему по мере ее наступления или с небольшим опережением"....) что удачно вложили денежные ресурсы.

4. Конечно интеграция решений дает им некоторые преимущества. Равно как и добавляет недостатки. Примеры интеграции приведенные автором актуальны, но вот увидеть их в массовом количестве на практике (сканер + МЭ, сканер + система установки обновлений) не приходилось. Возможно тут вопросы стоимости решения, возможно есть и другие факторы, а возможно это только я не видел.

Спасибо за возможность задать вопросы, и за ваши ответы на них.
 
>Поэтому устранять дыры надо, но не все и не всегда.

И это рекомендует специалист Cisco Systems! Дожили...

Типовой сценарий, демонстрирующий ошибочность данного утверждения:
В текущий момент дыра не опасна, т.к. текущая сетевая конфигурация не допускает возможности ее эксплуатации. Заплатку ставить не обязательно - ее и не поставили. Спустя год сетевая инфраструктура изменилась (нормальное развитие компании: появились новые сервисы, изменилась топология сети и т.п.). И в этой новой конфигурации та старая дырка вполне может становить архи опасной. Но про нее уже ни кто не помнит.

Возьму на себя смелость сформулировать "Правильные Рекомендации":
1. Уязвимости в софте нужно устранять все и всегда;
2. В организации должны существовать четкий регламент и отлаженный механизм обновления программных продуктов (в т.ч. установка патчей безопасности);
3. Уязвимости, представляющие реальную угрозу эксплуатации в контексте конкретной сетевой инфраструктуры организации, должны устраняться в аварийном режиме (вне регламентов);
4. Все остальные уязвимости устраняются согласно регламентам из п.2
5. Классификацию уязвимостей (аварийная - неаварийная), применительно к сетевой инфраструктуре компании, грамотно может сделать только специалист этой компании. И ни какие внешние консультанты здесь не помогут (как это не печально для бизнеса Positive Technologies)

© under Public Domain
 
to anonimous - ваш вопрос конечно актуален. Но тот же Микрософт данные сканирования проводит. Ставят виртуальную машину и гоняют её по интернету... она нарывается на уязвимости и падает. Идет фиксация падения... потом анализ, потом патч...
(см. Automated Web Patrol with Strider HoneyMonkeys - Technical Report
MSR-TR-2005-72
Microsoft Research
Microsoft Corporation)

Вот только они не все конфигурации смогут опробовать. Даже при большом количестве машин...
И главное они не смогут "прогнать" по интернету на вашей конфигурации.... следовательно.... одно маленькое отличие, и контрольная точка вас пропустит ... а дальше, а дальше этот механизм защиты не сработал, и если нет других то вы имеете шанс узнать какие новые уязвимости в настоящее время доступны лицам не использующим новые технологии MS и Cisco.
 
Товарищ Лукацкий сам  за себя скажет, но есть комментарии к утвержденю nomad.

Вы устраняете конкретную уязвимоть признанную таковой СТОРОННЕЙ компанией, или группой специалистов. Есть разница?
Ну поставите вы патч, а система в вашей конфигрурации работать не будет.... вообще.
И таких случаев в последнее время стало МНОГОВАТО... у того же Микрософта. По этому с установкой непроверенных обновлений спешить не стоит, а вот БЛОКИРОВАТЬ угрозы, необходимо.

Политкиа безопасности - документ отражающий фактическое состояние по вашей сети. если в ней не зафиксированно, что уязвимость имеется, то её и не надо устранять или блокировать. есть возможность устранить - устрани, нет блокируй, нет возможности сделать ни то ни другое - риск. Риск что однажды оно накроется.
 
Вообще то в продолжение темы, по несрабатывающим уязвимостям - которых сотни... сотни. А их не ломают. Может кто-нибудь все же осилит эту тему. А то эти относительные сравнения 100 к 1 уже порядком надоели. Может тут фактор времени нужно включить. Ну есть же системы с переходными процессами, вот система находится как раз в переходном процессе - по этому её и не взломали. А как только выйдет на нормальный режим - так сразу и будет сыпаться в 100 раз чаще чем та у которой 1 дыра.
Была бы очень интересная статья, как раз в рубрику "Исследования". А для других - типа "Реклама" - статьи всегда найдутся.
 
Дополнение - если...., если система выйдет на нормальный режим.
 
>Ну поставите вы патч, а система в вашей конфигрурации работать не будет.... вообще.
>И таких случаев в последнее время стало МНОГОВАТО... у того же Микрософта.

Как все запущено..

Ну неужели надо подробно расписывать, что должно входить в регламент (политику) обновления софта? Ну,  конечно, там ОБЯЗАТЕЛЬНО фигурирует проверка на совместимость. Это так сложно для понимания?

>По этому с установкой непроверенных обновлений спешить не стоит...

Я и не призываю спешить. Я всего лишь утверждаю, что устанавливать необходимо ВСЕ патчи. Возможно с доработкой напильником на предмет совместимости. Возможно в контакте с вендором (для российских компаний это дико, а на западе - норма).
 
Ну расскажите тогда уважаемый про связку сканер и система установки патчей. В идеале Сканер обнаружил уязвимость - система автоматически натянула патч. Все в теории великолепно. Но где тут тестирование (какой его объем да и вообще, кто вам даст гарантию что оно после этого лучше будет работать?). А если вы не установите патч автоматически и сейчас - то до момента установки вас потенциально могут....
А если установите - он может поработает день, может два... может 5..., а может сразу замрет.
В рекомендациях же производителей ЧЕРНЫМ по белому - указано. ЕСЛИ вы не имеете проблем устраняемых данным обновлением - не устанавливайте его.
Проверка на совместимость - сколько она по времени занимает проверка то?

Примеры надеюсь приводить не надо... когда некорректные обновления приводили к выходу из строя систем?

Я ещё раз подчеркну - в идеале - ДА нужно бы ставить. И да - давайте стремиться к совершенству. Только за.
 
если статья вышла за рамки сканеров безопасности (если нет, при чем тут тогда threat intelligence), то неплохо бы упомянуть про penetration testing, ИМХО один из основных конкурентов индустрии автоматизированных решений по выявлению проблем защиты, в данном случае сканеров безопасности.
 
Цитата
Отсюда, кстати, можно сделать вывод, что сканер безопасности (каким бы эффективным он не был) сам по себе мало кому нужен. Как и любое другое средство защиты, он не висит в вакууме и должен быть тесно интегрирован в инфраструктур обеспечения информационной безопасности компании. Поэтому сейчас многие производители сканеров безопасности делают шаг вперед и включают в свои продукты механизмы интеграции с другими средствами защиты.
А если посмотреть с другой точки зрения? Так ли уж он не нужен?
И нельзя подходить с чисто технической точки зрения.Тольку с любых технических средств защиты(особенно у нас в России),если дебилковатая секретарша открывает картинку с расширением ехе.? Что,мало троянов и вирей отключающих фаеры? Лутше б думали о том,как интегрировать не с техсредствами,а с человеческим фактором.А с техническими средствами все равно получится "тришкин кафтан"...Можно перекрыть кислород и секретарше,и бухгалтерше..Но что они сделают,эти дебильные бабы торчащие постоянно на сайтах знакомств и в чатах? Правильно,пожалуются директору..А если директор постоянно принимает "разные услуги" от этих баб,то он наедет на админа,типа "ну пусть заходят"..И результат? Все возвращается на круги своя.. :cry:
 
"Почему не всегда? Для этого надо просто вдуматься в то, что такое уязвимость. Это слабость, которой могут воспользоваться злоумышленники. Ключевое слово «могут». Ведь могут и не воспользоваться. По разным причинам – не нашли, не умеют, не хотят и т.д. А раз дырой никто не пользуется, зачем тратить свое время, силы и деньги на устранение?"

Интересный подход, хотя и довольно своеобразный. Интересно вас будет волновать крыша, которая может рухнуть с вероятностью 90% вам на голову, но пока ещё не рухнула лишь по причине отсутствия ветра? Стоит, конечно, согласиться, что если это крыша дяди Васи, а не ваша, то может и фиг с ней, но это уже вам решать - опасно это для вас или нет.
 
Прочитав заголовок статьи подумалось даже и не об этом...

Многие сканеры безопасности(уязвимостей) идут совсем по другому пути и принимают в себя те некоторые средства, упомянутые в статье, тот же GFI Languard содержит в себе встроенный инструмент патч-менеджмента, позволяющий оперативно устранять обнаруженную уязвимость (в некоторых оговоренных случаях) установкой патча на уязвимую систему (ессно верно для корпоративных сред и в случае локального сканирования :)

Но ведь многие сканеры безопасности идут по пути инструмента для проведения Pentestov, многие сканеры безопасности уже начинают включать в себя инструменты не только для обнаружения уязвимости, но и для ее эксплуатации (атаки на систему). Тот же CoreImpact (Canvas prjct) устанавливает на скомпрометированный хост своего агента который уже проводит дальнейший анализ и эксплуатацию. Получается тот же самый mass rooter :) (только на официальной коммерческой основе). Было бы интересно прочитать видение автора на данный путь развития сканеров.
 
обычная реклама сайта фрискан...и ничего больше...
Алексей ты еще pf.sk в стстаью включить название своей книги и ссылку на инет магазин...типа покупайте а то без нее вы ламеры...
Удачи.
 
1. IMHO(!) автор выкинул мягко говоря в корзину целый пласт знаний называемый теорией надежности. Коэффициенты которой имеют вероятностные характеристики. Однако очевидно, что ПО в котором нашли за год M уязвимостей, котрые устранялись T времени и из которых устранено N - более не надежно, чем ПО у которого (его характеристики) M1, T1, N1 много меньше.
2. Автор ошибочно считает, что найденую дыру всегда можно пропатчить - особенно этим славится компания Microsoft.  Желающие всегда могут заглянуть на Secunia и узнать сколько у какого продукта осталось непропатченных дырок.
3. Отсюда вывод:
3.1. Для критичных приложений - не используйте не надежные решения. (Рекомендация банальна до тошнотворности). Смотрите сколько ошибок было найдено в том или ином коде.
3.2. Защищайте свою сеть от удаленного сканирования. Не даром пакетный firewall pf распознает nmap, как тип удаленной ОС - со всеми вытекающими для nmap последствиями :)
3.3. Следите за обновлениями - используйте систему имеющую механизм автообновления и аудита становленных пакетов.
3.4. Используйте маршрутизаторы и коммутаторы компании Cisco Systems - это хорошее оборудование (без всякой иронии)
 
Цитата
3.2. Защищайте свою сеть от удаленного сканирования. Не даром пакетный firewall pf распознает nmap, как тип удаленной ОС - со всеми вытекающими для nmap последствиями  
Детский сад..а что,nmap-ом с Инета нельзя просканить? ;)  Оставаясь анонимным? Например с сайта http://www.valkaryn.net/nmap/
Зайдя туда с Сокса? На любую защиту находится....  :-) И наверное ты не слышал про сканирование син и аск пакетами? :-)
Защитничек... :funny:
 
Цитата
anonymous пишет:
Проблема в том, что при таком подходе между обнаружением свежей дыры и сканированием может пройти недопустимо много времени

Что значит много? Если вы проводите эту проверку при каждой попытке доступа в сеть, а именно так работает технология, о которой я упомянул, то это сопоставимо с частотой запуска "классических" сканеров. Хотя могу предположить, что далеко не каждый администратор запускает сканеры против пользовательских компьютеров ежедневно.
Luka
 
Цитата
Гость пишет:
Понятно что ставить им "заплатки" не в нашей компетенции. Влиять же каким либо образом на другие компании в данной ситуации невозможно, по причине их независимости (разве только информировать их о проблемах).

Почему нет? Зачем они получают доступ к нам? Не просто так, а для решения своих бизнес-задач. Это нужно ИМ, а не только нам. Следовательно, чтобы получить то, что нужно ИМ, пусть выполнят некоторые требования. При попытке доступа их сканируют и проверяют. Соответствуют? Отлично. Прошу в сеть. Не соответствуют? Два варианта развития события. Первый - не пускать совсем. Можно, но неправильно. Второй - направить в карантин, где установить им на узел отсутствующие патчи и т.п.

Ведь вы когда летите на самолете вынуждены пройти паспортный контроль и сканирование через рамку и личный досмотр. Хотите, нет, но вынуждены. Здесь все тоже самое.

Цитата
Гость пишет:
Очень интересно как вы определите критичность...

 Путем анализа рисков и инвентаризацией системы. Очевидно, что защищать все от всего - не очень эффективно, да и по деньгам дорого. Поэтому сначала вы изучаете все свои ресурсы, приоритезируете их по важности/критичности, а потом уже занимаетесь защитой в соответствии с приоритетом.

Цитата
Гость пишет:
Пропагандировать можно все что угодно. Равно как любая теория хороша, пока не доходит до практической реализации.

 Ну многие описанные мной технологии уже реализуются на практике в сетях с тысячами компов.

Цитата
Гость пишет:
но вот увидеть их в массовом количестве на практике (сканер + система установки обновлений) не приходилось.

 Как пример, система Citadel.

Цитата
Гость пишет:
Спасибо за возможность задать вопросы, и за ваши ответы на них

Вам спасибо. Приятно отвечать на правильно поставленные вопросы, а не думать, чтобы такое ответить автору, просто заявившему "Чушь!" и не развившему свою глубокую мысль ;-)
Luka
 
Цитата
Nomad пишет:
В текущий момент дыра не опасна, т.к. текущая сетевая конфигурация не допускает возможности ее эксплуатации. Заплатку ставить не обязательно - ее и не поставили. Спустя год сетевая инфраструктура изменилась (нормальное развитие компании: появились новые сервисы, изменилась топология сети и т.п.). И в этой новой конфигурации та старая дырка вполне может становить архи опасной. Но про нее уже ни кто не помнит

Не надо воспринимать все столь буквально. Речь только об одном. Не все дыры надо устранять сразу же. Т.к. они могут не нести с собой большую угрозу. Ситуация изменилась? Ну так и опасность дыры возросла и мы ее устраняем. Все предельно просто. А чтобы про дыру не забыть и существуют автоматизированные системы анализа защищенности, которые сканируют все, не взирая на память администратора. Опять же нужна интеграция, о которой я написал. Интегрировали систему анализа рисков и обычный сканер - вот и решение. Один модуль контролирует важность дыры, а второй ее обнаружение.
Luka
Страницы: 1 2 3 4 След.
Читают тему (гостей: 4)