Принципи роботи систем аналізу захищеності

Для розуміння принципів роботи систем аналізу захищеності необхідно позначити деякі терміни та визначення. Ключове поняття даного заняття - це "вразливість". Під вразливістю захисту ОС розуміється така її властивість (недолік), яке може бути використане зловмисником для здійснення несанкціонованого доступу (НСД) до інформації. Системи аналізу захищеності здатні виявляти уразливості в мережевій інфраструктурі, аналізувати і видавати рекомендації щодо їх усунення, а також створювати різного роду звіти. До типових вразливостям можна віднести:

• відсутність оновлень системи безпеки ОС;

• неправильні налаштування систем безпеки ОС;

• невідповідні паролі;

• сприйнятливість до проникнення із зовнішніх систем;

• програмні закладки;

• неправильні настройки системного і прикладного ПЗ, встановленого на ОС.

Більшість систем аналізу захищеності (XSpider, Internet Scanner, LanGuard, Nessus) виявляють уразливості не тільки в операційних системах, але і в найбільш поширеному прикладному ПЗ. Існують два основні підходи, за допомогою яких системи аналізу захищеності виявляють уразливості: сканування і зондування. Через першого підходу системи аналізу захищеності ще називають "сканерами безпеки" або просто "сканерами".

При скануванні система аналізу захищеності намагається визначити наявність уразливості за непрямими ознаками, тобто без фактичного підтвердження її наявності - це пасивний аналіз. Даний підхід є найбільш швидким і простим у реалізації. При зондуванні система аналізу захищеності імітує ту атаку, яка використовує перевіряється уразливість, тобто відбувається активний аналіз. Даний підхід повільніше сканування, але дозволяє переконатися, присутній чи ні на аналізованому комп'ютері уразливість.

На практиці ці два підходи реалізуються в сканерах безпеки через такі методи перевірки [[48]]:

1. Перевірка заголовків (Banner check);

2. Активні зондувальні перевірки (Active probing check);

3. Імітація атак (Exploit check).

Перший метод заснований на підході "сканування" і дозволяє робити висновок про вразливості, спираючись на інформацію в заголовку відповіді на запит сканера безпеки. Прикладом такої перевірки може бути аналіз заголовків поштової програми Sendmail, в результаті якого можна дізнатися її версію і зробити висновок про наявність в ній уразливості.

Активні зондувальні перевірки також засновані на підході "сканування". Даний метод порівнює фрагменти сканованого програмного забезпечення з сигнатурою відомої вразливості, що зберігається в базі даних системи аналізу захищеності. Різновидами цього методу є, наприклад, перевірки контрольних сум або дати сканованого програмного забезпечення.

Метод імітації атак заснований на використанні різних дефектів у програмному забезпеченні та реалізує підхід зондування. Існують уразливості, які не можуть бути виявлені без блокування чи порушення функціонування сервісів операційної системи в процесі сканування. При скануванні критичних серверів корпоративної мережі небажано застосування даного методу, оскільки він може вивести їх з ладу - і в такому випадку сканер безпеки успішно реалізує атаку "Denial of service" (відмова в обслуговуванні). Тому в більшості систем аналізу захищеності за замовчуванням такі перевірки, засновані на імітації атак, вимкнені. При їх включенні в процес сканування зазвичай видається попереджувальне повідомлення.