Аналіз захищеності

Сервіс аналізу захищеності призначений для виявлення уразливих місць із метою їхньої оперативної ліквідації. Сам по собі цей сервіс ні від чого не захищає, але допомагає виявити (і усунути) пробіли в захисті раніше, ніж їх зможе використати зловмисник. У першу чергу, маються на увазі не архітектурні (їх ліквідувати складно), а "оперативні" проломи, що з'явилися в результаті помилок адміністрування або через неуважність до відновлення версій програмного забезпечення.

Системи аналізу захищеності (названі також сканерами захищеності), як і розглянуті вище засоби активного аудиту, засновані на нагромадженні й використанні знань. У цьому випадку маються на увазі знання про прогалини в захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.

Відповідно, ядром таких систем є база уразливих місць, що визначає доступний діапазон можливостей і вимагає практично постійної актуалізації.

У принципі, можуть виявлятися проломи найрізноманітнішої природи: наявність шкідливого ПЗ (зокрема, вірусів), слабкі паролі користувачів, невдало сконфігуровані операційні системи, небезпечні мережеві сервіси, невстановлені латки, уразливості в додатках і т.д. Однак найбільш ефективними є мережеві сканери (очевидно, у силу домінування сімейства протоколів ТСРЯР), а також антивірусні засоби. Антивірусний захист ми зараховуємо до засобів аналізу захищеності, не вважаючи її окремим сервісом безпеки.

Сканери можуть виявляти уразливі місця як шляхом пасивного аналізу, тобто вивчення конфігураційних файлів, задіяних портів і т.п., так і шляхом імітації дій атакуючого. Деякі знайдені уразливі місця можуть усуватися автоматично (наприклад, лікування заражених файлів), про інші повідомляється адміністраторові.

Системи аналізу захищеності містять у собі традиційний "технологічний цукор": автовиявленням компонентів аналізованої ІС і графічним інтерфейсом, який допомагає ефективно працювати із протоколом сканування.

Контроль, забезпечуваний системами аналізу захищеності, носить реактивний, запізнілий характер, він не захищає від нових атак, однак варто пам'ятати, що оборона повинна бути ешелонованою, і в якості одного з рубежів, контроль захищеності цілком адекватний. Відзначимо також, що переважна більшість атак носить рутинний характер; вони можливі тільки тому, що відомі проломи в захисті роками залишаються неусунутими.