W miarę rozbudowy sieci wzrasta również prawdopodobieństwo pojawienia się w niej większej liczby błędów oprogramowania i luk w systemie ochrony. Ocena stanu zabezpieczeń systemu komputerowego pracującego w sieci pozwala na identyfikację jego słabych punktów. Do tego celu są wykorzystywane odpowiednie narzędzia, zwane Vulnerability Assessment (VA).

Podstawą rzeczywistego bezpieczeństwa informacji w każdym środowisku informatycznym jest strategia zabezpieczeń, w której zachowano równowagę między ryzykiem i kosztami. Strategia taka powinna być skoncentrowana wokół zapewnienia spójności, dostępności i poufności danych. Jednak zdefiniowanie, wdrożenie i kontrolowanie skutecznej strategii w dużych, wieloplatformowych środowiskach, obejmujących całe przedsiębiorstwo, jest zadaniem niezwykle złożonym i pracochłonnym.

W wielu organizacjach wystarcza ustanowienie dobrych reguł polityki bezpieczeństwa, polegających na określeniu, co w zakresie dostępu i operacji jest dozwolone, a co nie. Polityka taka realizowana jest zazwyczaj poprzez zapory ogniowe. Należy je jednak precyzyjnie skonfigurować, a to wymaga dokładnej wiedzy, co hipotetyczny haker może osiągnąć oraz jaki obszar swobody dopuszczony przez zapory ogniowe jest bezpieczny. Źle skonfigurowana zapora ogniowa może być bardziej niebezpieczna niż jej brak, ponieważ daje złudne poczucie bezpieczeństwa. Zatem do pełnego zabezpieczenia sieci niezbędne jest regularne jej sprawdzanie w aspekcie bezpieczeństwa. Do tego celu służy właśnie oprogramowanie Vulnerability Assessment, a programy tej kategorii nazywane są często skanerami do wyszukiwania luk w systemach komputerowych.

Skanowanie typu VA to kontrolowanie wszystkich potencjalnych luk wykorzystywanych przez hakerów do odwiedzania systemów komputerowych. Analizując typ oprogramowania i jego ustawienia konfiguracyjne w danej sieci, skanery mogą określić, czy poszczególne typy ataków są w niej możliwe.

Produkty tej kategorii oprogramowania nazywane są także produktami oceny ryzyka (risk assessment) i dzielą się na dwa rodzaje:

• skanery pasywne,
• skanery aktywne.

Skanery pasywne

Skanery pasywne, zwane też skanerami hostowymi, pozwalają zazwyczaj na definiowanie reguł polityki ochrony maszyn pracujących w sieci (reguły te mogą być odmienne w przypadku poszczególnych urządzeń). Sprawdzają każdą maszynę automatycznie, tworząc raporty szczegółowo określające odchylenia od przyjętych ustawień konfiguracyjnych związanych z bezpieczeństwem oraz działania, jakie w związku z tym należy podjąć. Skanery hostowe identyfikują słabe punkty na poziomie systemowym w takich obszarach, jak uprawnienia do plików, właściwości kont użytkowników czy ustawienia rejestrów. Wymagają zazwyczaj rozmieszczenia modułów agentów w systemach działających w sieci. Moduły przekazują informacje do centralnej bazy danych, z której użytkownik może generować odpowiednie raporty. Wiele tego typu rozwiązań integruje się z systemami zarządzania w sposób pozwalający na modyfikowanie reguł polityki zarządzania w kontekście bezpieczeństwa i wspomagający prawidłowe konfigurowanie maszyn w sieci. Skaner hostowy zajmuje się badaniem aktualnego stanu systemu operacyjnego i wykrywaniem słabych punktów, naruszeń integralności oraz śladów nieautoryzowanego działania.

W działaniu opiera się na modułach agentów rozmieszczonych na poszczególnych komputerach (serwerach i stacjach roboczych) sieci, komunikujących się zazwyczaj z centralną konsolą zarządzania. Uzupełnia działania skanera sieciowego, skupiającego się na zabezpieczeniach sieci i jej usług. Zakres badań obejmuje:

• integralność systemu;
• wykrywanie działań nieautoryzowanych;
• sprawdzanie konfiguracji i bezpieczeństwa systemu;
• sprawdzanie bezpieczeństwa usług sieciowych;
• sprawdzanie bezpieczeństwa środowiska pracy użytkownika.

Porównywany jest aktualny stan systemu operacyjnego z aktualizowaną bazą stanu wiedzy o jego słabych punktach. Badane są niezainstalowane łatki, łatwe hasła, nieodpowiednie uprawnienia użytkowników, konfiguracje istotnych usług i nietypowa aktywność, sugerująca możliwość penetracji systemu.

Stan konfiguracji określonego systemu operacyjnego pamiętany jest często w formie zabezpieczonej podpisem cyfrowym. Pozwala to na śledzenie stanu systemu w sposób automatyczny, z natychmiastowym informowaniem administratora o wykrytych nieprawidłowościach.

System łamania haseł pozwala na zweryfikowanie skuteczności przyjętego sposobu tworzenia haseł. Rozwiązania maja często możliwość automatycznego generowania skryptów korygujących nieodpowiednie uprawnienia dostępu do systemu plików. Tworzone są raporty ułatwiające usunięcie wykrytych nieprawidłowości, a aktualne odnośniki do łatek systemowych upraszczają zainstalowanie zalecanych łatek bezpieczeństwa.

Skanery aktywne

Skanery aktywne, zwane też sieciowymi, są swego rodzaju „hakerami na uwięzi”. Zawierają mechanizmy symulowania pewnych znanych typów ataków (np. DoS), za pomocą których administrator może sondować odporność zasobów sieciowych na te ataki. Sondując sieć skanerem sieciowym, administrator może często uzyskać wyraśny obraz potencjalnych luk w systemie, a także wskazówki, jak je uszczelnić. Niektóre z tych systemów wykonują wielokrotne przebiegi sondujące w sieci, używając informacji zgromadzonych we wcześniejszych przebiegach do wzmocnienia ataków w kolejnych próbach.

Skanery sieciowe przede wszystkim identyfikują problemy związane z usługami dostępnymi w sieci, takimi jak HTTP, FTP czy SMTP. Nadają się najlepiej do rozpoznawania systemów pracujących w sieci, usług w nich funkcjonujących i słabych punktów tych usług. Zazwyczaj nie dostarczają szczegółowej informacji i nie kontrolują specyficznych systemów tak szczegółowo, jak skanery hostowe, zapewniają natomiast dokładniejszą informację o usługach i sieci. Ponadto nie wymagają instalowania agentów na wszystkich maszynach w sieci, co jest konieczne w przypadku systemów hostowych.

Skaner sieciowy zapewnia zautomatyzowane wykrywanie luk w systemach oraz analizę stanu urządzeń funkcjonujących w sieci. W skład rozwiązań wchodzi zazwyczaj moduł wykonawczy testów sieciowych, przeprowadzanych w celu identyfikacji urządzeń i potencjalnych luk. Udostępniane jest też repozytorium informacji o plikach i słabych punktach, wynikach skanowania oraz innych danych używanych przez skaner.

Umiejscowienie skanera w sieci ma istotny wpływ na wyniki skanowania. Szczególne znaczenie mają relacje pomiędzy skanerem i zaporą ogniową. Skanowanie sieci spoza linii ochrony zapór ogniowych może ujawniać nieszczelności właśnie na tych zaporach. Takie skanowanie może zapewniać wartościowe informacje o efektywności ustawień konfiguracyjnych na zaporach ogniowych, ale z drugiej strony nie tworzy znaczącej oceny wewnętrznej kondycji ochronnej sieci. Skanowanie sieci z lokalizacji wewnątrz obszaru chronionego przez zapory ogniowe (sieć i skaner są z tej samej strony zapory) ujawnia wrażliwość sieci na wewnętrzne zagrożenia i nadużycia.

Mechanizm sztucznej inteligencji pozwala na objęcie przez program roli hakera czy też analityka systemów bezpieczeństwa.

Słabe punkty sieci i oprogramowania objawiają się w dwóch podstawowych formach: znane i dotychczas nieopisane. Znane słabe punkty to te, które zostały zidentyfikowane i wyizolowane przy użyciu skanowania ochrony. W następstwie tego są publikowane ostrzeżenia dla użytkowników. Nieszczelności nieznane to takie, które nie zostały do tej pory wykryte ani publicznie potwierdzone, co czyni je szczególnie niebezpiecznymi. Mechanizm sztucznej inteligencji pozwala na wykrywanie nie tylko znanych nieszczelności systemów, ale także na wyszukiwanie nieznanych luk w systemach. Zazwyczaj wykonuje się audyt dla następujących systemów i usług:

• NetBios;
• HTTP, CGI;
• FTP;
• DNS;
• słabych punktów wykorzystywanych przez ataki DoS;
• POP, SMTP i LDAP;
• TCP/IP i UDP;
• rejestrów;
• usług;
• kont użytkowników;
• słabych stron systemu haseł;
• serwerów baz danych;
• zapór ogniowych i ruterów;
• serwerów proxy.

Mechanizm opierający się na technikach sztucznej inteligencji zapewnia symulację działań hipotetycznego hakera czy też analityka do spraw bezpieczeństwa, w celu wynajdywania luk w sieci i pakietach oprogramowania. Aplikacja czy też sieć mogą mieć luki dotychczas nierozpoznane. Program potrafi dostosowywać „sposób myślenia” symulowanego hakera czy analityka do potencjalnych luk w oprogramowaniu sieciowym.

Wykorzystywana jest technika skanowania progresywnego, która polega na symulowaniu działań napastników i wykonywaniu takich prób równolegle, a następnie korelowaniu uzyskanych z takiego skanowania danych w celu znajdowania głębiej ukrytych luk i niedociągnięć. Program „uczy się” w miarę działania, modyfikując strategię symulowanej infiltracji na podstawie uzyskanych już wyników. Skanowanie progresywne zapewnia równoległość przetwarzania prób, współużytkowanie informacji o strategii infiltracji i wynikach uzyskanych podczas skanowania oraz bardziej szczegółową ocenę wyników, pozwalającą znaleźć głębiej ukryte słabe punkty zabezpieczeń.

Analiza ścieżki przebiegu zdarzeń pozwala na dokładne odtworzenie sekwencji działań, jakie hipotetyczny intruz podjąłby w celu znalezienia lub wykorzystania luki zabezpieczeń. Sekwencja ta może być zobrazowana za pomocą funkcji analizy przebiegu.

Linia podziału pomiędzy skanerami hostowymi i sieciowymi często nie jest zbyt wyraźna. Wiele skanerów sieciowych zawiera funkcje dostępne do niedawna jedynie w systemach hostowych (mechanizm autopoprawek, analiza uprawnień w rejestrach i właściwości kont użytkowników).

Programy VA zawierają często mechanizm uszczelniania luk wykrytych w systemie. Umożliwia on automatyczne skorygowanie podstawowych elementów związanych z bezpieczeństwem systemu, takich jak ustawienia w rejestrach, uprawnienia do plików itp.

Opcjonalnym rozwiązaniem w tym obszarze są usługi online, świadczone przez wyspecjalizowanych usługodawców. Zapewniają automatyczną i kosztowo efektywną kontrolę podatności urządzeń obwodowych sieci na potencjalne ataki, a czasem nawet skanowanie systemów wewnętrznych.

W rozwiązaniach VA istotna jest możliwość szybkiego uaktualniania - do tego celu adaptowane są metody uaktualniania sygnatur produktów antywirusowych m.in. za pośrednictwem Internetu. Zarysowuje się wyraźna tendencja do stosowania automatycznych łatek tymczasowych (autofix) na wykryte nieszczelności. Skaner hostowy dysponuje w tym przypadku pewną przewagą nad skanerem sieciowym: agent rezydujący fizycznie w systemie ma bezpośredni dostęp do zasobów systemowych i może dokonać korekty.

Jedną z ważniejszych cech produktów VA jest dokładność identyfikacji słabych punktów systemu.

Zobacz także

• Audyt bezpieczeństwa systemów IT
• Audyt systemów ochrony
• Ciągłość działania i dyspozycyjność (Business Continuity and Availability)
• ILM Cykl życia informacji
• Strategia ochrony informacji
• Wzmocniony system operacyjny
• Zapory ogniowe w nowej roli - ochrona aplikacji
• Zarządzanie cyklem życia informacji
• Zarządzanie incydentami