Коллектив авторов - Защита от хакеров корпоративных сетей
Клиент, о котором идет речь, выбрал компанию, оказывающую услуги по тестированию сети на проникновение откуда-то из Сан-Франциско, и предоставил им необходимую информацию для тестирования своих систем сети, взаимодействующих с внешним миром. По прошествии нескольких дней консультант клиента прислал курьером итоговый отчет. К отчету был приложен их счет на сумму что-то около 10 000 долл. К сожалению, будучи внешним соисполнителем, у автора не было возможности просмотреть отчет, присланный независимым консультантом. Он смог его увидеть только тогда, когда менеджер по информатизации (CIO) клиента вызвал автора в свой офис и попросил объяснить ему, почему приглашенный извне консультант, выполнивший тест на проникновение в их сеть, нашел свыше 50 различных уязвимостей в их Web-серверах. Конечно, автор был потрясен. Он думал, что хорошо выполнял свои обязанности, сохраняя в безопасности сервер на уровне всех последних найденных уязвимостей и патчей. Автор даже выполнял свой собственный мини-тест на проникновение для контроля самого себя. И ни разу не было обнаружено чего-то такого, что свидетельствовало бы о каких-либо недочетах. Автор попросил познакомить его с отчетом независимого консультанта. И как только менеджер по информатизации вручил его автору, он сразу же заметил на нем логотип одного из производителей коммерческих сканеров уязвимости. В процессе дальнейшего изучения отчета было обнаружено, что высокооплачиваемый независимый консультант просто применил коммерческий продукт (использование которого можно было легко оплатить за указанную им цену) для тестирования нужных систем, распечатал отчет и отослал его вместе со счетом. Для автора было ясно, что этот так называемый независимый консультант, выполнивший тест на проникновение, не удосужился каким-либо образом проверить результаты тестирования. В конечном счете, для того чтобы убедить менеджера по информатизации в недостоверности предоставленного ему отчета, пришлось вызвать независимого консультанта в офис для очной встречи всех заинтересованных сторон. После просмотра всего отчета стало ясно, что консультант не понял содержимое отчета и лишь прочитал его перед отправкой. Из переданных клиенту автора более 400 страниц отчета только десять были действительно полезными.
Автор уверен, что многие из читателей сами смогли бы привести похожие примеры коварных скользких коммивояжеров, приходящих вооруженными несколькими коммерческими, а в некоторых случаях и свободно распространяемыми инструментальными средствами и выставляющих огромные счета за небольшие или вообще никакие дополнительные услуги. Следует понять, что хотя все из рассмотренных в этой главе инструментальных средств могут оказаться полезными для тестирования на проникновение, тем не менее для того, чтобы добиться наибольшего эффекта от их использования, все равно потребуются какие-то знания. Выбирая организацию, предоставляющую услуги по тестированию на проникновение, узнайте, в какой степени в своих исследованиях они полагаются на коммерческие, свободно распространяемые средства и собственные разработки. Если читатель увидит, что при тестировании в основном используются коммерческие инструментальные средства, то вполне возможно, что он захочет поискать другую компанию, занимающуюся тестированием на проникновение. Если читатель сам занимается тестированием на проникновение, то ему следует позаботиться о наличии в его арсенале достаточного числа инструментальных средств, скриптов и знаний общих уязвимостей.
Новое лицо тестирования уязвимости
В июле 2001 года во время информационного совещания The Black Hat Briefings в Лас-Вегасе, штат Невада, Иван Акр (Ivan Acre) и Максимилиано Какерес (Maximiliano Caceres) из компании CORE-SDI представили свою работу, посвященную тестированию на проникновение и автоматизации тестирования на проникновение. Их теория состоит в том, что современные методологии, используемые для выполнения тестов на проникновение, недостаточно эффективны и оптимальны, как они могли бы быть на самом деле. Кроме того, типичное автоматизированное инструментальное сканирующее средство отсканирует хост, идентифицирует уязвимость и не сделает ничего реального для того, чтобы взломать сканируемый хост или предпринять попытку просмотреть любые другие хосты, которые могут быть подключены к нему тем или иным способом.
CORE-SDI проделало впечатляющий объем работ, развивая новые инструментальные средства, которые, по их мнению, призваны помочь автоматизировать внутренний процесс тестирования на проникновение, начиная с фазы сбора информации и заканчивая фактическим использованием хоста. Некоторые из ключевых преимуществ этого подхода могут быть реализованы в инструментальном средстве, которое полностью охватывает процесс тестирования на проникновение, описывая его общей структурой, для того чтобы определить и реализовать стандартизованную методологию, улучшить безопасность тестирования на проникновение и, наконец, ускорить безошибочное решение монотонных и отнимающих много времени задач.
Лично автор чувствует, что CORE-SDI обладает потенциалом для революционных преобразований в области тестирования на проникновение и поднятия планки сканирования уязвимости на новую высоту. Прошло некоторое время с момента озвучивания новых идей. По слухам, CORE-SDI близка к выпуску бета-версии своего инструментального средства. Как и любой другой, кто каждый год выполняет большое число тестов на проникновение, автор выжидает, наблюдая, что предложит CORE-SDI, поскольку заявленное ими инструментальное средство не только улучшит качество работы современных тестировщиков на проникновение, но и повысит ценность тестирования на проникновение для организаций.
Резюме
Совместно используя коммерческие и свободно распространяемые приложения сканирования уязвимости, можно добиться поразительных результатов при выполнении тестов на проникновение. Инструментальные средства имеют собственные ограничения и поэтому не превращают оператора в эксперта. Поэтому читатель должен осторожно относиться к так называемым специалистам по тестированию на проникновение, которые в своих действиях целиком полагаются на автоматизированный инструментарий.
К некоторым ключевым моментам успешного использования автоматизированных инструментальных средств для тестирования на проникновение относятся следующие: осмысление функциональных возможностей и ограничений автоматизированного инструментария, то есть то, что он делает или не делает, глубокие познания в области уязвимости и знание условий, при наступлении которых ими можно воспользоваться в злонамеренных целях, способность распознать ошибочные результаты работы пользователей и выяснить, является ли система уязвимой.
Во время типичного теста на проникновение клиент генерирует ряд запросов. Некоторые из них будут способствовать скрытному проведению тестирования настолько, насколько это возможно, вплоть до уклонения от обнаружения тестирования системами обнаружения вторжения. Сканеры уязвимости нельзя использовать из-за того, что, как правило, они создают слишком большой шумовой трафик в сети и оставляют многочисленные следы в журналах регистрации.
Тестирование на уязвимости вне зависимости от того, является ли тест автоматизированным или нет, не относится к классу точных наук. Для проверки существования одной и той же уязвимости обычно есть несколько способов. К этому надо добавить и то, что некоторые производители искажают предоставляемые сведения о некоторых уязвимостях, для того чтобы увеличить число «выполняемых их программами проверок на уязвимости». В результате покупка сканера уязвимости превращается в запутанное мероприятие. Поскольку подобные программы недешевы, то к вопросу выбора сканера уязвимости следует подходить очень тщательно. Из сказанного вытекает следующее: будущее автоматизированных сканеров уязвимости и автоматизированного инструментария тестирования на проникновение выглядит обнадеживающим, потому что в этой области есть место для дальнейшего их усовершенствования и новаторства.
Конспект
Краткие сведения об автоматизированных средствах оценки безопасности
· Ни одно из автоматизированных средств сканирования не предлагает законченного решения.
· Опираясь на рекламную информацию, предоставляемую производителями о своих сканерах, примите собственное решение при покупке их программ, учитывая их производительность и практичность.
· Сканер Nessus – мощный свободно распространяемый инструментарий, который предоставляет возможности покупаемых за деньги коммерческих инструментальных средств.
Применение автоматизированных инструментальных средств для тестирования на проникновение
· Современные автоматизированные инструментальные средства во время сканирования на самом деле не проникают в изучаемый хост. Они лишь проверяют хост на присутствие в нем возможных уязвимостей.