Сканування вразливостей спочатку створювалося як хакерський інструмент, проте тепер він допомагає адміністраторам знайти «тонкі» місця в мережі і «дірки» в додатках.

Щоб потрапити в мережу, хакерам потрібно знати найбільш вразливі місця в безпеці підприємства. Це робиться з допомогою засобів сканування відкритих мережевих портів або погано захищених додатків і операційних систем.

Застосування засобів сканування дозволяє дізнатися, де знаходяться вразливості і дає можливість їх усунути раніше, ніж хакери туди доберуться.

Проблема полягає в тому, що багато компаній не використовують ці кошти, або якщо вони і мають їх, то не приділяють належної уваги. 85% успішних мережевих атак здійснюються через уразливості, для закриття яких вже були випущені патчі і виправлення.

Нескінченні експлойти

Останнім часом стрімко зросла кількість зломів web-додатків. Недавні дослідження в області безпеки(проведені компанією Acunetix) стверджували, що близько 70% з 3200 корпоративних і некомерційних сайтів, просканованих їх власним сканером вразливостей, містять масу серйозних вразливостей і можуть бути зламані.

Всього було знайдено 210 000 вразливостей, в середньому приблизно 66 вразливостей на сайт, починаючи з таких потенційно серйозних, як SQL-ін’єкції і міжсайтовий скриптінг, і закінчуючи відносно незначними, типу можливості перегляду вмісту каталога.

Кілька слів про латках

Сканери вразливостей виконують пошук відомих вразливостей, використовуючи бази даних, які постійно оновлюються новими даними про уразливості. Вони виконують пошук небезпечного коду, помилки налаштування системи, шкідливих програм і оновлень, які необхідно поставити.

Багато сканери можуть бути налаштовані на сканування мережі після застосування патчів, щоб переконатися, що патчі дійсно працюють. Сканери вразливостей не можуть активно блокувати раптово з’явилася мережну атаку – це функції міжмережевих екранів, систем запобігання вторгнень і антивірусів. Однак, їх робота в поєднанні зі сканерами уразливості стає більш ефективною.

Пасивний і Агресивний

Сканери вразливостей бувають пасивні та активні, кожен з них має свої переваги і недоліки. Пасивні сканери як контрольно-вимірювальні прилади — прослуховують трафік в пошуках чогось незвичайного. Їх перевага полягає в тому, що вони не впливають на експлуатацію мережі і можуть працювати в режимі 24 х 7» у разі потреби, але вони можуть пропустити вразливість, особливо на ділянках мережі з маленьким трафіком.

Дії активних сканерів подібні діям хакерів, вони шукають недоліки шляхом аналізу відповідей мережевих пристроїв на посилку їм певних пакетів даних. Вони є більш агресивними та більш результативними, ніж пасивні сканери, але вони можуть призвести до збоїв в роботі мережевих пристроїв.

Багато вважають, що доцільно використовувати пасивні і активні сканери паралельно. Пасивні сканери можуть забезпечити безперервний моніторинг, в той час як активні сканери можуть бути використані для періодичного виявлення вразливостей.

ЗА проти «заліза»

Сканери можуть бути як програмами, працюючи на серверах і робочих станціях, або, як апаратні пристрої. Host-based (програмні) сканери вважаються більш гнучкими в плані пошуку різних видів вразливостей. Мережеві Plug-and-Play пристрою (апаратні) самодостатні і вимагають меншого обслуговування, ніж програмні агенти.

Протягом останніх декількох років найбільш експлуатовані мережеві уразливості змінювалися. З одного боку, організації стали більш активно захищати свої мережі і системи, і хакерам стало важче проникнути в них. У той же час, з розвитком веб-сервісів, вони стали для хакерів величезним плацдармом для польоту фантазії і ідеальним місцем для подвигів.

На практиці досить важко захистити корпоративний веб-сервер, і якщо одного разу хакери зможуть отримати доступ до веб-додатків, вони можуть використовувати їх для отримання інформації з баз даних, вилучення файлів з кореневої директорії вашого сервера, або використовувати веб-сервер для відправки шкідливого контенту з вашої веб-сторінки.

Підводячи підсумки

Сканери вразливостей, які працюють з веб-додатками імітують атаки на ці додатки та повідомляють про знайдені вразливості, дають рекомендації про те, як виправити або усунути їх.

Однак, яким би потужним не був сканер, потрібно ретельно аналізувати отримані результати. Крім того, при досить агресивному скануванні, існує можливість перекласти свій сервер у стан відмови обслуговування…

Надані самі собі сканери будуть прагнути видавати ту інформацію, яку виробники вважатимуть істотними. Тому важливо, щоб детальний аналіз про важливість отриманих результатів виробляв людина. Необхідно відсортувати уразливості на першочергові, які мають важливе значення у середовищі конкретного користувача.

Користуватися сканерами вразливостей просто необхідно. Але ви не можете повністю покладатися виключно на них. Хороший інструмент плюс людина – найкращий шлях до успіху.

За мотивами