9.2.1. Необходимость средств анализа защищенности

В организации, использующей корпоративную информационную систему, приходится регулярно проверять, насколько реализованные или используемые механизмы защиты информации соответствуют положениям принятой в организации политики безопасности. Такая задача периодически возникает при изменении и обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.

Однако администраторы сетей не имеют достаточно времени на проведение подобных проверок для всех узлов корпоративной сети. Поэтому специалисты отделов защиты информации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Этот процесс помогают автоматизировать средства анализа защищенности, называемые сканерами безопасности (security scanners).

Использование средств анализа защищенности позволяет определить уязвимости на узлах корпоративной сети и устранить их до того, как ими воспользуются злоумышленники. По существу, работа системы анализа защищенности аналогична действиям охранника, периодически обходящего все этажи охраняемого здания в поисках незапертых дверей, открытых окон и других «брешей». Только в качестве здания выступает корпоративная сеть, а в качестве незакрытых окон и дверей – уязвимости.

Если снова обратиться к рис. 9.1, поясняющему этапы развития атаки на корпоративную информационную систему, то можно заметить, что средства анализа защищенности работают на первом этапе осуществления атаки. Обнаруживая и своевременно устраняя уязвимости, они, таким образом, предотвращают саму возможность реализации атаки, что позволяет снизить затраты (финансовые, ресурсные, человеческие и т.д.) на эксплуатацию средств защиты. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Средства анализа защищенности могут функционировать на сетевом уровне, уровне операционной системы и уровне приложения. Они могут проводить поиск уязвимостей, постепенно наращивая число проверок и «углубляясь» в информационную систему, исследуя все ее уровни.

Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Обусловлено это, в первую очередь, универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п., позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении.

Вторыми по распространенности являются средства анализа защищенности операционных систем. Обусловлено это также универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (в качестве примера можно привести множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют, в первую очередь, параметры, характерные для всего семейства данной ОС. Лишь для некоторых систем предусмотрен анализ их специфичных параметров.

Средств анализа защищенности приложений на сегодняшний день не так уж много. Такие средства пока существуют только для широко распространенных прикладных систем типа Web-браузеров (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Oracle) и т.п.

Применение средств анализа защищенности позволяет быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в сети сервисы и протоколы, их настройки и возможности несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). По результатам сканирования эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Данный метод контроля нарушений политики безопасности не может заменить специалиста по информационной безопасности. Средства анализа защищенности призваны лишь автоматизировать поиск некоторых известных уязвимостей.