Контроль политики

Сейчас средства защиты есть практически у всех, однако атаки по-прежнему продолжаются. Проблема в том, что чем больше средств защиты есть на предприятии, тем сложнее уследить за их работой, и поэтому эффективность защитных мер падает. Чтобы системы защиты работали эффективно нужно постоянно проверять их работоспособность и соответствие политике безопасности предприятия. Контроль конфигурации сетевых устройств и средств защиты позволяет определить насколько защищена сетевая инфраструктура предприятия. Действия хакеров также можно заметить по изменению конфигурационных файлов, поскольку для закрепления в системе нападающие вынуждены вносить изменения в атакуемую систему. Таким образом, аудит безопасности сетевого оборудования и средств защиты даёт возможность проверить реальное состояние защиты корпоративной инфраструктуры.

Кроме того, различные стандарты безопасности требуют наличия систем мониторинга и аудита защитных механизмов. Подобные требования есть как в стандарте ЦБ РФ, так и в законе «О персональных данных». Регулярный аудит и мониторинг предполагается и в стандарте безопасности платёжных систем PCI DSS. В этих стандартах также предполагаются регулярные проверки сторонними аудиторами функционирования средств защиты, а развёртывание системы мониторинга и аудита упрощает проведение подобных проверок — в некоторых случаях они вообще могут проводиться удалённо, без выезда аудитора на место.

Активный и пассивный аудит

Следует отметить, что есть несколько технологий аудита. Наиболее популярными инструментами являются системы активного аудита, которые эмитируют работу хакера в системе. Они проверяют наличие той или иной уязвимости напрямую, посылая соответствующие запросы на уязвимые сервисы. Однако в процессе проверки они посылают огромное количество паразитных запросов по сети и сильно нагружают информационную систему в целом. Поэтому такой аудит сложно проводить часто. К тому же всегда остаётся опасность, что подобный сканер что-то напортит в сложной корпоративной среде предприятия.

В последнее время начали активно развиваться технологии так называемого пассивного аудита, которые собирают информацию об уязвимостях системы другими способами без большой нагрузки и выполнения сложных запросов. Одним из методов подобного пассивного сканирования является проверка конфигурационных файлов сетевых устройств и средств защиты. В такой сканер загружается конфигурационные файлы устройств, а программный комплекс проверяет соответствие их настроек принятой на предприятии политики безопасности. В некоторых случаях ПО может даже сформировать правильный файл, который достаточно загрузить на устройство и уязвимость будет устранена.

Одним из подобных пассивных сканеров является продукт компании Titania Ltd, который носит название Nipper Studio.


Nipper Studio

Он анализирует конфигурационные файлы различных устройств и выдаёт по ним рекомендации для улучшения защиты. Кроме того, продукт может сгенерировать и исправленные конфигурации, которые соответствуют политике безопасности компании. Сканер также готовит отчёт по найденным уязвимостям и формирует необходимую администратору и руководству отчётность о найденных проблемах. Для формирования статистики продукт может использовать два стандарта представления сведений об уязвимостях: стандартный CVSS 2 и собственный. Правда метрики CVSS нужно предварительно настраивать, чтобы они максимально соответствовали сетевой инфраструктуре компании. Собственная методика оценки Titania более близка к общепринятой с разделением уязвимостей по уровням критичности.

Продукт может прямо из коробки проверять различные устройства таких производителей как Cisco, Juniper, Check Point и многих других. И этот список постоянно расширяется. Nipper Studio проверяет у этих устройств версию программного обеспечения, используемые методы и сервисы аутентификации, конфигурацию VPN-системы и сервисов администрирования. Также проверяются настройка веб-сервиса, системы журналирования событий, работа DNS-сервиса и правильность настройки времени. Для систем защиты проверяются правила межсетевого экрана, IPS/IDP, настройки шифрования и беспроводных устройств, таблицы маршрутизации и работа принтеров. Для каждого из поддерживаемых устройств также проверяются и уникальные уязвимости, характерные для данного продукта. Кроме того, у пользования есть возможность самостоятельно разработать правила проверки с помощью специального сценарного языка, что позволяет проверять с помощью того же сканера различные модули и дополнительные продукты.

Что дает аудит

По сравнению с активными сканерами Nipper Studio не производит большой нагрузки на сеть — для его работы достаточно регулярно получать конфигурационные файлы устройств. Нагрузка при этом минимальна, поэтому такие проверки можно проводить значительно чаще, например, раз в час. В результате, пассивный анализ конфигураций работает более оперативно, чем традиционный активный сканер, который в лучшем случае можно запускать раз в сутки в ночное время, когда нагрузка на сеть минимальна.

Кроме того, активные сканеры не могут исправить найденную ошибку, но только выдают рекомендации по исправлению. В то же время Nipper Studio позволяет не просто найти проблему, но и предлагает варианты её исправления. Администратору остаётся только принять рекомендации и установить соответствующую конфигурацию на устройство. Он может работать и как генератор конфигурационных файлов для различных устройств, конфигурация которых должна соответствовать определённой политике безопасности.

Nipper Studio может пригодиться тем компаниям, в которых есть требование регулярного проведения аудита системы защиты. Это относится к банкам и пользователям платёжных систем, которые должны соответствовать требованиями PCI DSS и стандарта банка России. Впрочем более широкое применение пассивные сканеры уязвимостей могут получить в рамках закона «О персональных данных», одним из требований которого является установка у оператора системы мониторинга и аудита средств защиты. Под действие этих требований подпадает значительно больше компаний — потенциально Nipper Studio может пригодиться практически в любой российской компании. Скачать бесплатную пробную 30-дневную версию продукта можно на сайте официального дистрибьютора в России — компании TopSecurity.

Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.