Computerworld, США
Два подхода к поиску уязвимых мест в сети
Существует два подхода к поиску уязвимых мест в сети — активный и пассивный. Активный подход предполагает, что организация пытается устранить все бреши в системе, а пассивный подход (мониторинг) предусматривает лишь контроль системной защиты. Было бы ошибкой думать, что при покупке системы обнаружения уязвимых мест вам обязательно следует выбирать либо один, либо другой вид защиты.
Пассивный подход позволяет специалистам по информационной безопасности контролировать, какие используются операционные системы, что было передано в систему или из нее, а также что циркулирует внутри системы, какие службы работают и какие части системы с большей вероятностью могут подвергаться нападению. С другой стороны, активный подход предлагает больше информации об уязвимых местах систем и приложений.
Инструментальные средства активного сканирования применяются там, где требуется постоянная бдительность. Такие средства ведут мониторинг в четко определенной области, контролировать которую данный продукт запрограммирован. Иногда средства активного сканирования сконфигурированы таким образом, чтобы они предотвращали какие-то конкретные ситуации. Основные функции мониторинга таких продуктов, как правило, определены очень жестко, и их нельзя настроить или расширить.
Когда организация использует пассивный подход к сканированию своей локальной сети, полученная информация, как правило, включает в себя данные, относящиеся к хостам в сети: какие порты открыты, какие версии программного обеспечения поддерживаются и какие сервисы работают.
Пассивный анализ обладает огромным потенциалом, поскольку позволяет оценивать уязвимость программного обеспечения, не мешая работе клиента или сервера. Эта технология поддерживает управление ИТ-активами, предоставляя системным администраторам возможность постоянно получать информацию о том, с какими программами работают пользователи, и оценивать их уязвимость.
Сочетание активного и пассивного сканирования может помочь формированию более полного представления о программном обеспечении, загруженном как на клиентской части систем, так и на серверах.
Выбор систем пассивного сканирования чрезвычайно широк. Например, компания Tenable Network Security предлагает продукт, получивший название NeVO. Монитор уязвимых мест NeVO может определять, что происходит в вашей сети, без активного ее сканирования. NeVO работает круглосуточно и помогает установить, появились ли какие-либо новые хосты, порты, сервисы или уязвимые места с момента проведения последнего активного сканирования сети. Для определения потенциальных угроз NeVO использует свои собственные функции поиска и сравнения шаблонов и внутренний язык сигнатур, при этом Tenable регулярно публикует новые сигнатуры для NeVO, позволяя легко поддерживать актуальное состояние продукта.
Компания Guardian Digital предлагает операционную среду EnGarde Secure Linux, которая представляет собой инструментарий пассивного сканирования, обладающий возможностями обнаружения вторжений и помогающий пользователям определять угрозы защите. Guardian также предлагает систему Internet Defense and Detection System, которая, как утверждают представители компании, является первым свободно распространяемым приложением, объединяющим в одном продукте передовые возможности как обнаружения, так и предотвращения вторжений.
Настраиваемый программный инструментарий, такой как LANguard Network Security Scanner компании GFI Software, — еще один пример пассивного сканера, который выявляет широкий спектр проблем защиты в компьютерной сети. GFI также выпускает активный сканер, получивший название LANguard Portable Storage Control. Этот продукт лучше всего подходит для ликвидации изъянов в конкретных зонах, которые обнаружены с помощью инструментальных средств пассивного сканирования.
Итак, пассивная защита уведомляет о потенциальных проблемах, и только. Проблема остается до тех пор, пока администратор не предпримет необходимые действия. Активная же система защиты уведомляет администраторов о любых сомнительных ситуациях, а также предпринимает меры по предотвращению нанесения ущерба, например блокируя сомнительный IP-адрес или закрывая порт.
Вывод заключается в том, что пассивное сканирование в системах помогает получить информацию обо всех аспектах систем при обычных коммуникациях, не нарушая текущих операций. Активное сканирование потенциально позволяет получить больше сведений и в сочетании с пассивным сканированием дает более полное представление о происходящем. Мудрый системный администратор будет использовать оба подхода.