Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
Будущее сканеров безопасности
 
Сразу видно богатый практичекий опыт автора.

Цитата
Администратор и так загружен другими задачами – навешивать на него устранение дыр на сотнях узлов корпоративной сети

Устранение уязвимостей - прямая обязанность администратора. Причем, как правило не безопасности, а ответсвующего за функционирование системы. А уж как он будет это делать - третий вопрос.И чему он рад - или не рад, тоже бизнеса особо касаться не должно. Просто в рабочем графике админа должно быть расписано время на тестирование и установку обновлений.

Цитата
Администратор и так загружен другими задачами – навешивать на него устранение дыр на сотнях узлов корпоративной сети

Не хочется вас огорчать, но по крайней мере карантин от MS, это защита от доброго человека. Поскольку все проверки осуществляются _на клиентской стороне_, и если она _уже скомпометирвана_, то все эти проверки _не эффективны_.

Цитата
TCP-флаги, размер окна и т.п.

Я рыдаю. Ну как в ыайдете уязвимость по TCP-флагам :-) Ну максимум - отфигерпринтите OS до семейства по размеру окна и т.д. По баннерам пассивные сканнеры работают, по баннерам.

Цитата
Рассылаются не просто бюллетени о тех или иных дырах, а составляется некий аналитический отчет, содержащий информацию только о проблемах в используемом вами ПО.

Дык сканнер это и пытается сделать :-)

PS. А сканеры уровня узла отжили, Алексей, отжили. SSH с root или SMB\WMI с админом. Всем хватает.

Что касается заголовка статьи то в принципе все направления развития описаны, чуть чуть от себя:

1. Расширение функций инвентаризации за счет контроля не только версий ОС и сетевых служб но и установленного на клиенте сетевого ПО, причем и не подерживаемого сканером (например установка Opera, когда коропоративная политика безопасности предписывает FFx).  Сюда же можно отнести продвинутые отчеты, демонстрирующие изменение сети.

2. Отслеживание уязвимости в динамике (к примеру, сканер + Symantec Deep Sight Alert ), т.е. что бы уровень риска уязвимости не был "сферическим конем в вакууме", а привязывался к конкретной системе и текущему положению дел. Сюда же падают различные двусторонние свзяи с системами анализа ритсков.

3. А как же любимая всеми интеграция сканеров с активными системами, например IPS или тем же карантином? Когда при обнаружении уязвимой службы, доступ к ней просто блокируется на сетевом оборудовании?
 
Цитата
Гость пишет:
Ещё раз подчеркиваю - независимые компании они хоть и партнеры, но они не зависимые.


Но если они независимыет вы просто приравниваете их в внешней сети и спользуюете стандартные подходы по защите периметра, немного расширенные в разделе доступных рессурсов.
 
А как же свободные ОС a.k.a. Linux?
Вся система собрана дистрибьютером из пакетов, все обновляется само,
по мере выхода критических патчей, ничего не падает. Пусть security комманда дистростроителей этим занимается.

Некоторые даже обновления в крон ставят.

Утопия только в том, что в системе не должно быть ни одного стороннего
(например не GPL приложения) и некоторые патчи все-таки запаздывают
 
:help:
 
Цитата
Гость пишет:
А управлять их поведением - это навязывание. Ну и что что они с нашей точки зрения не соотвествуют уровню, они то в этом проблем не видят.

Я еще раз повторюсь. Если они лезут к НАМ, то они должны соответствовать моим требованиям. Иначе доступ им будет блокирован. Со своим уставом в чужой монастырь не лезут, соблюдают принятый. Вы же не качаете права, что вам личный досмотр устраивает в аэропорту. Здесь тоже самое. Не согласен - свободен или получаешь минимальные привилегии.

Цитата
Гость пишет:
Если как вы пишите - то получится куча карантинных зон (у каждого, и для каждого) и кто оплатит?

 Почему куча? Одна для всех.

Цитата
Гость пишет:
А без сканера как?

 А кто говорит, что он не нужен?

Цитата
Гость пишет:
тогда и будем обсуждать

А я никого не тяну за собой. Использовать, не использовать - дело сугубодобровольное.
Luka
 
Цитата
Гость пишет:
Тестировать же каждую заплатку... на каждой системе.... в условиях малого, среднего бизнеса - NOT REAL.

 Ну тогда остается ставить все автоматом без проверки или отдать на аутсорсинг.

Цитата
Гость пишет:
Другое дело, обнаружили уязвивость - блокировали её FW или другим средством

 И кто против? Я же про это и писал, что интеграция - один из вариантов развития событий.
Luka
 
Цитата
Гость пишет:
Устранение уязвимостей - прямая обязанность администратора. Просто в рабочем графике админа должно быть расписано время на тестирование и установку обновлений.

 На словах красиво, на практике - зачастую все не так. Почему? Вступать в полемику не буду. У вас есть на все это время - отлично.

Цитата
Гость пишет:
по крайней мере карантин от MS

 А я говорил про карантин от MS? Я говорил вообще о карантине, как методе. Карантин и у Cisco есть.

Цитата
Гость пишет:
Ну как в ыайдете уязвимость по TCP-флагам

 В статье есть замечательные буквы "и т.п." ;-)

Цитата
Гость пишет:
А сканеры уровня узла отжили

 У кого как ;-)

Цитата
Гость пишет:
Отслеживание уязвимости в динамике

 И что? Я про это и писал, про интеграцию сканеров с анализом рисков и про подготовку информации целенаправленно под конкретного клиента.

Цитата
Гость пишет:
Расширение функций инвентаризации за счет контроля не только версий ОС и сетевых служб но и установленного на клиенте сетевого ПО

 И что снова? Я что ограничил инвентаризацию контрлем только версии ОС?

Цитата
Гость пишет:
А как же любимая всеми интеграция сканеров с активными системами

 Про это тоже было написано - интеграция сканера с МСЭ и т.п.
Luka
 
Цитата
Алексей Лукацкий пишет:
На словах красиво, на практике - зачастую все не так

На практике вообще все плохо. Это не вопрос.
Цитата
Алексей Лукацкий пишет:
Карантин и у Cisco есть.

Вопрос к тому, как он работат. Я сомневаюсь что есть принципиальные отличия от реализации MS. На клиенте что-то запускается, оно выдает ОК или не ОК. Этот подход порочен by design.

Цитата
Алексей Лукацкий пишет:
В статье есть замечательные буквы "и т.п."

Тогда бы сразу писали - по сетевым пакетам и т.п. Зачем демонстрировать техническую неграмотность?

Цитата
Алексей Лукацкий пишет:
Я про это и писал. Я про это и писал. Я про это и писал

Таким образом, всю вашу статью можно было всести к следующей фразе:

"Сканеры будут развиваться. И Т. Д. И Т. П."

Цитата
Алексей Лукацкий пишет:
У кого как

Пример развивающегося сканера уровня узла. Не обрезка сетевого сканнера на localhost итегрированного с HIPS а ля EEYE Blink.
 
2NC "Во сколько (в денежном эквиваленте) такое обойдется средней фирме? И пойдет ли руководство на подобный шаг? Ни один директор на подпишет такие расходы.Он предпочтет сменить сисадмина.. "
Что Вы этим хотели сказать? К какой части моего ответа относятся слова "такое обойдется". На какой шаг должно идти руководство? Соотвественно не ясно, что такое "такие расходы". И почему наконец должны сменить сисадмина?
 
Цитата
Гость пишет:
На клиенте что-то запускается, оно выдает ОК или не ОК

А у нас ничего не запускается ;-)  Клиент перенаправляется в каратин путем использования динамических ACL.


Цитата
Гость пишет:
Зачем демонстрировать техническую неграмотность?

А я и не претендую...

Цитата
Гость пишет:
Сканеры будут развиваться. И Т. Д. И Т. П

Ну тогда меня спросили бы "КАК?" И пришлось бы в комментах писать тоже самое, что и в статье.

Цитата
Гость пишет:
Пример развивающегося сканера уровня узла

BigFix, Altiris...
Luka
 
Цитата
Алексей Лукацкий пишет:
Клиент перенаправляется в каратин путем использования динамических ACL.

А эти самые тинамические штуки создаются на основе чего? Размера окна клиента?
 
Цитата
Гость пишет:
А эти самые тинамические штуки создаются на основе чего?

На основании состояния защищенности клиента.
Luka
 
Цитата
Алексей Лукацкий пишет:
На основании состояния защищенности клиента

А оно определяется на основании чего? Флагов TCP?
 
Цитата
Гость пишет:
А оно определяется на основании чего?

На основании различных методов:
1. удаленное сканирование состояния защищенности узла
2. локальная проверка состояния защищенности узла с помощью агента, встроенного в ОС или уже установленное программное обеспечение (антивирус, СЗИ, персональный МСЭ, система управления патчами и т.п.).
Luka
 
Цитата
Алексей Лукацкий пишет:
окальная проверка состояния защищенности узла с помощью агента,

О чем я и говорю - что-то запускается на клиенте и проверяет его состояние. соотвественно это что-то может всегда говорить "ок", если контролируется плохим парнем.

А вообще понравилось в статье - типа патчи ставить дело десятое, а вот введем карантин и будет всем счастие, непропатченные машины в сеть ходить не будут. типа своими руками dos организовываем :-)
 
Цитата
Гость пишет:
О чем я и говорю - что-то запускается на клиенте и проверяет его состояние. соотвественно это что-то может всегда говорить "ок", если контролируется плохим парнем.

 Я же написал - возможны 2 (ДВА) метода. Можно и БЕЗ локального агента.

Цитата
Гость пишет:
А вообще понравилось в статье - типа патчи ставить дело десятое

 Где я про это написал? Разъясню структуру статьи. Есть звезда. В центре - текущий уровень развития сканеров безопасности. Лучи - это варианты развития, направления будущей разработки. Ни одно не имеет явного приоритета - все равноправны.
Luka
 
Цитата
Алексей Лукацкий пишет:
же написал - возможны 2 (ДВА) метода. Можно и БЕЗ локального агента

Алексей, ну не пытайтесь выглядеть хуже чем вы есть. Что такое сканирование БЕЗ локального агента? Как оно работает? Вы имеете представление? Давайти самый простой вариант - по баннерам служб (там номер версии указывается), что мешает плохому парню поставить самый пропатченный баннер, даже если служба непатчена? А?
Опции ТСП?
 
Цитата
Алексей Лукацкий пишет:
Лучи - это варианты развития, направления

Про инвентаризацию - это не направление развития, это один из способов использования сканеров. Оно уже есть. Просто будет повышаться уровень детализации.

Кстати, тут резонно заметил Птица - один из вариантов использования сканера - pentest своей сети, и соответсвенно либо проверки все больше должны мигрировать в сторону exploit либо сканнер будет интегрироваться с системами _реальной_ проверки уязвимостей.
 
** fleim start **
Итак, есть одно положительное в данной статье: она так или иначе заставила меня "вспомнить" пароль от собственного аккунта... и почтового ящика. Огромное спасибо, Алексей и Михаил :)

Да не побъют меня все остальные читатели данного раздела форума..
Да не затаят они на меня злобу...
Да не свалится на мои системы шторм атак...
Да не занесут меня в чёрный список на этом и множестве других форумов... и не прикроют доступ к критически необходимой информации..
Аминь!
** fleim paused **

Подводим промежуточные итоги?

По моему мнению статьи:
- моего доброго знакомого:
«Аналитические методы анализа защищённости информационных систем»
и
«Будущее сканеров безопасности»

дополняют друг друга....
Обе статьи манипулируют ключевым словом "уязвимость". И указывают на необходимость их (уязвимостей) устранения...

А конечное решение (что? как? где? когда?) так или иначе каждый выбирает сам..

Ждём дальнейшего развития.... и новых статей.

** fleim unpaused **
(удаляющиеся крики: Михаил, Михаил! :) )
** fleim end **
 
2 Гость, 2 All:

Хочу заострить внимание на следующем вопросе:

Цитата

Просто в рабочем графике админа должно быть расписано время на тестирование и установку обновлений.

Это первый момент... Время, действтительно, быть должно...
Но есть еще один момент - второй - почти во всех компаниях существует специализированный софт, индивидуальный для каждой компании.
Каким образом админ может знать тонкости созданного софта, который разрабатывался целым отделом, выделенным под эти нужды? Ему придется потратить много времени, для того, чтобы разобраться (при желании запросить всю документацию программеров) с разработками для компании и он разберется... со временем ...
Однако постоянно появляются новые версии программ (запросы меняются), придется заново разбираться, но ведь кроме этого есть и другие задачи... Как тут быть?
Страницы: Пред. 1 2 3 4 След.
Читают тему