Оценки уязвимостей можно разделить на два типа: взгляд снаружи и взгляд изнутри.
Оценивая уязвимости снаружи, вы пытаетесь скомпрометировать ваши системы из внешнего мира. Находясь вне своей компании, вы видите её глазами взломщика. Вы видите то, что видит он: маршрутизируемые во внешней сети IP-адреса, компьютеры в DMZ, внешние интерфейсы брандмауэра и т.п. DMZ расшифровывается как «DeMilitarized Zone» (демилитаризованная зона), это может быть компьютер или небольшая подсеть, расположенная между доверенной внутренней подсетью, например, корпоративной закрытой сетью, и внешней недоверенной, например, открытым Интернетом. Обычно DMZ содержит устройства, открытые для Интернет-трафика, такие как HTTP-серверы (веб), FTP-серверы, SMTP-серверы (почтовые) и DNS-серверы.
Когда вы оцениваете уязвимости изнутри, вы получаете некоторые преимущества, так как вы внутри и пользуетесь большим доверием. Это точка зрения всех сотрудников, зарегистрировавшихся на своих компьютерах. Вы видите серверы печати, файловые серверы, базы данных и другие ресурсы.
Оценки уязвимостей этих типов значительно отличаются друг от друга. Оказавшись внутри компании, вы получаете большие, чем снаружи, привилегии. Во многих организациях защита построена так, что доступ во внутреннюю сеть снаружи закрыт. Для защиты ресурсов внутри самой сети делается очень немного (брандмауэры разных отделов, управление доступом на уровне пользователей, проверка подлинности для внутренних ресурсов и т.д.). Обычно при взгляде изнутри видно гораздо больше ресурсов, так как большинство систем предназначено для внутреннего использования. Оказавшись снаружи компании, вы попадаете в категорию недоверенных пользователей. Системы и ресурсы, доступные вам снаружи, обычно куда более ограниченные.
Обратите внимание на разницу между оценками уязвимостей и тестами на проникновение. Оценка уязвимостей — это первый этап теста на возможность проникновения. Свдения, тщательно собранные при оценке, используются для тестирования. Тогда как оценка выявляет дыры и возможные уязвимости, тестирование на проникновение пытается действительно ими воспользоваться.
Оценка сетевой инфраструктуры — это динамический процесс. Безопасность, и информационная, и физическая — не постоянна. Проводя оценку, вы можете получить ошибочные сообщения о несуществующих уязвимостях и не узнать о реально присутствующих.
Администраторы безопасности хороши настолько, насколько хороши их знания и используемые ими инструменты. Возьмите любой доступный инструмент проведения оценки, нацельте его на вашу систему, и почти наверняка вы получите несколько ложных срабатываний. Кто бы ни был виноват, программа или пользователь, результат не меняется. Этот инструмент может находить уязвимости, не существующие на самом деле; или, что ещё хуже, не находить реальных уязвимостей.
Теперь, когда разница между оценкой уязвимосетй и тестом на проникновение ясна, возьмите результаты оценки и тщательно их проанализируйте, прежде чем проводить в рамках вашего нового рекомендованного подхода тест на проникновение.
Предупреждение | |
---|---|
Проверка уязвимостей в работающем производственном окружении может отрицательно повлиять на производительность и эффективность ваших систем и сети. |
Ниже перечислены положительные стороны оценки уязвимостей.
Уделение особого внимания информационной безопасности
Обнаружение потенциальных уязвимостей, до того как их найдут взломщики
Приведение системы в современное и обновлённое состояние
Обучение сотрудников и приобретение опыта
Сокращение финансовых потерь и негативной огласки
Определив методологию оценки уязвимостей, вы облегчите для себя выбор инструментов для этой оценки. К сожалению, сейчас не существует какой-либо предопределённой или стандартной методологии; однако вы можете разработать свою, руководствуясь здравым смыслом и передовой практикой.
Что является целью? Мы смотрим на один сервер или на всю сеть и всё, что в ней находится? Мы находимся снаружи или внутри компании? Ответы на эти вопросы важны, так как они помогают вам не только выбрать инструменты, но и определить, как их использовать.
Чтобы узнать о разработке методологии больше, обратитесь к следующим сайтам:
http://www.isecom.org/projects/osstmm.htm — Руководство по методологии тестирования систем безопасности с открытым кодом (The Open Source Security Testing Methodology Manual, OSSTMM)
http://www.owasp.org/ — Открытый проект безопасности веб-приложений (The Open Web Application Security Project)