Оценки уязвимостей можно разделить на два типа: взгляд снаружи и взгляд изнутри.
Оценивая уязвимости снаружи, вы пытаетесь скомпрометировать ваши системы из внешнего мира. Находясь вне своей компании, вы видите её глазами взломщика. Вы видите то, что видит он: маршрутизируемые во внешней сети IP-адреса, компьютеры в демилитаризованной зоне, внешние интерфейсы брандмауэра и т.д.
Когда вы оцениваете уязвимости изнутри, вы получаете некоторые преимущества, так как вы внутри и пользуетесь большим доверием. Это точка зрения всех сотрудников, зарегистрировавшихся на своих компьютерах. Вы видите серверы печати, файловые серверы, базы данных и другие ресурсы.
Оценки уязвимостей этих типов значительно отличаются друг от друга. Оказавшись внутри компании, вы получаете большие, чем снаружи, привилегии. Во многих организациях защита построена так, что доступ во внутреннюю сеть снаружи закрыт. Для защиты ресурсов внутри самой сети делается очень немного (брандмауэры разных отделов, управление доступом на уровне пользователей, проверка подлинности для внутренних ресурсов и т.д.). Обычно при взгляде изнутри видно гораздо больше ресурсов, так как большинство систем предназначено для внутреннего использования. Оказавшись снаружи компании, вы попадаете в категорию недоверенных пользователей. Системы и ресурсы, доступные вам снаружи, обычно куда более ограниченные.
Обратите внимание на разницу между оценками уязвимостей и тестами на проникновение. Оценка уязвимостей — это первый этап теста на возможность проникновения. Сведения, собранные при оценке, будут использованы во время тестирования. Тогда как оценка выявляет дыры и возможные уязвимости, тестирование на проникновение пытается действительно ими воспользоваться.
Оценка сетевой инфраструктуры — это динамический процесс. Безопасность, и информационная, и физическая — не постоянна. Проводя оценку, вы можете получить ошибочные сообщения о несуществующих уязвимостях и не узнать о реально присутствующих.
Администраторы безопасности хороши настолько, насколько хороши их знания и используемые ими инструменты. Возьмите любой доступный инструмент проведения оценки, нацельте его на вашу систему, и почти наверняка вы получите несколько ложных срабатываний. Кто бы ни был виноват, программа или пользователь, результат не меняется. Этот инструмент может находить уязвимости, не существующие на самом деле; или, что ещё хуже, не находить реальных уязвимостей.
Учитывая разницу между оценкой уязвимостей и тестированием на проникновение, рекомендуется тщательно изучить результаты оценки, прежде чем проводить такое тестирование.
Предупреждение | |
---|---|
Проверка уязвимостей в работающем производственном окружении может отрицательно повлиять на производительность и эффективность ваших систем и сети. |
Ниже перечислены положительные стороны оценки уязвимостей.
Уделение особого внимания информационной безопасности
Обнаружение потенциальных уязвимостей, до того как их найдут взломщики
Приведение системы в современное и обновлённое состояние
Развитие сотрудников и приобретение опыта
Предупреждение финансовых потерь и отрицательной известности
Определив методологию оценки уязвимостей, вы облегчите для себя выбор инструментов для этой оценки. К сожалению, сейчас не существует какой-либо предопределённой или стандартной методологии; однако вы можете разработать свою, руководствуясь здравым смыслом и передовой практикой.
Что является целью? Мы смотрим на один сервер или на всю сеть и всё, что в ней находится? Мы находимся снаружи или внутри компании? Ответы на эти вопросы важны, так как они помогут вам не только выбрать инструменты, но и определить, как они будут использованы.
Чтобы узнать о разработке методологии больше, обратитесь к следующим веб-сайтам:
http://www.isecom.org/projects/osstmm.htm — Руководство по методологии тестирования систем безопасности с открытым кодом (The Open Source Security Testing Methodology Manual — OSSTMM)
http://www.owasp.org/ — Открытый проект безопасности веб-приложений (The Open Web Application Security Project)