В най-общи линии сканиране за уязвимост в една мрежа представлява програма, която открива и описва всички системи сързани в една мрежа (компютри, лаптопи, сървъри, NAS, комутатори, виртуални машини, файъруоли, печатащи устройства и др.). Всяко устройство, което е открито при това сканиране, програмата се опитва да влезе и определи неговата ОС, инсталирания софтуер на нея, създадени акаунти в нея и други детайли като отворени портове, например. Повечето програми, които правят това сканиране за уязвимости ще се опитат да се логант в тези устройства ползвайки пароли и потребителски имена зададени по подразбиране, за да добият по-пълна картина от системата.
След като е набрана тази информация за всяка една система програмата ще провери в бази данни, в които има информация за известни вече уязвимости за конкретната система. В резултат, на което сканирането ще даде списък със системите от сканираната мержа, за които има информация, че са уязвими.
СКАНИРАНЕ ЗА УЯЗВИМОСТ (VULNERABILITY SCANNING) С/У ТЕСТ ЗА ПРОНИКВАНЕ (PENETRATION TEST)
Често двете процедури по киберсигурност се бъркат. Или се слага знак за равенство м/у тях. Но всъщност те се различават по цел и по същност. В най-общи думи сканирането за уязвимости цели да се покажат известните вече уязвимости на една система. Докато тестът за проникване цели да открие слабостите на една система или съвкупност от системи след симулирана кибератака. Тестът за проникване може да включва:
- Техники от социално инженерство (фишинг атаки, зловреден софтуер и др.)
- Прихващане на изпратени пароли в пространството и др.
КАК РАБОТИ СКАНИРАНЕТО ЗА УЯЗВИМОСТ?
Сканирането открива системи и софтуер с познати и описани уязвимости. Тази информация обаче е полезна за специалистите на първия етап от процес включващ 4 етапа.
- Идентифициране на уязвимостите
- Оценка на риска при тези уязвимости
- Третиране на тези уязвимости
- Докладване и начин на разрешаването им
ИДЕНТИФИЦИРАНЕ НА УЯЗВИМОСТИТЕ
Основния начин за идентификация на тези уязвимости е чрез сканиране. Ефективноста зависи от 2 неща.
- Възможноста на програмата за сканиране да локализира и идентифицира устройства, софтуер и отворени портове. Както и да събере допълнителна информация за системата.
- Възможноста на програмата да свърже събраната информация с вече известни уязвимости описани в една или повече база данни.
Програмата за сканиране може да бъде конфигурирана по различен начин. Това е важно, защото работата на една такава програма може да окаже влияние на работата на отделната система (компютър), както и да натовари капацитета на LAN, в която се намират сканираните системи. Решение за тези проблеми е да се настрои сканирането в извънработните часове. Това сканиране обаче може да не засегне абсолютно всички проверявани устройства (лаптопи например, които са изключени от мрежата през нощта). Възможно решение е да се инсталират ендпойнт агенти на всички устройства, които да събират тази информация. Адаптивното сканиране за уязвимости също може да реши проблема с натоварване. Сканирането се включва само при промяна на LAN кнфигурацията или при включване на нова система към нея. Когато нов компютър се закачи за първи път програмата веднага го сканира, вместо да чака следващото насрочено сканиране.
ОЦЕНКА НА РИСКА
Един от проблемите, които могат да възникнат в този етап е програмата да даде дълъг списък с уязвимости, който да обърка IT екипа. Тук е важно да се опредлят следните рискове:
- Колко критична е уязвимоста и какво влияние ще окаже, ако се експлоатира от неоторизирани лица?
- Колко лесно може да се експлоатира тази уязвимост от един хакер?
- Дали има съществуващи мерки за ИТ сигурност, които намаляват влиянието и възможностите на такава уязвимост?
- Дали тази уязвимост не е „фалшива тревога“?
В този етап ИТ отдела трябва да приоритизира уязвимостите по важност. Тези, които имат нужда от спешно внимание трябва да са първи.
ТРЕТИРАНЕ
В един идеален свят всяка открита уязвимост би трябвало да бъде фиксирана и решена след ъпдейт. За нещастие това решение не става бързо. ИТ отделът може да намали риска като спре да ползва тази система, в която е открит проблем докато той не се реши от производителя й или да качи допълнителни средтсва за ИТ сигурност, които да направят уязвимоста трудна за ползване от недоброжелатели. Ако рискът, който представлява тази уязвимост е малък, то тя може да бъде оставена.
ВИДОВЕ СКАНИРАНЕ ЗА УЯЗВИМОСТИ
Има 2 основни вида сканиране: външно и вътрешно.
ВЪНШНО СКАНИРАНЕ
Както се досещате по името външното сканиране се прави отвън и целта му е да намери уязвимост в защитата на мрежата. Като отворени портове на файъруола или отворени портове на специлизрани уеб приложения. Външното сканиране спомага на организациите да открият и фиксират проблеми, чрез които неоторизирано лице или машина да достъпи вътрешната мрежа или система.
ВЪТРЕШНО СКАНИРАНЕ
Това сканиране се прави отвътре и целата е да намери пробойни, чрез които хакери, които са пробили вече външната защита или с/у „вътрешни заплахи“ (като необрожелателни партньори или служители), които имат частичен достъп до вътрешната мрежа.
ОТОРИЗИРАНО И НЕОТОРИЗИРАНО СКАНИРАНЕ
В зависимост от гледната точка едно външно сканиране понякога може да бъде неоторизирано. А вътрешно да бъде оторизирано, в което, например, да са му дадени допълнителни привилегии или достъп до пароли. Това оторизирано сканиране проверява за сложност за пароли, начин на конфигуриране на системи и приложения и др.
Освен тест за проникване (penetration test), който се различава по цел и начин на изпълнение от сканирането за уязвимост, ИТ отделът може да предприеме още няколко мерки, с които да провери своята степен на ИТ защита.
- Симулация на пробив или атака (breach and attack simulation BAS). Програми, които симулират атаки проверяват ефективната ИТ защита, превенция, бързина на отквиане на проблема и намаляване на риска от такава атака. Софтуер, който симулира фалшива фишинг атака може да провери настройка и филтри на мейл сървъра, симулирана кибер атака на уеб приложения, опит за кражба на информация, зловредна атака с/у определена станция могат да проверят как е организирано известяването и реакцията на ИТ отдела при нужда.
- Търсене на заплахи (Threat Hunting). Един хакер прекарва средно около 191 дни в чужда мрежа преди да бъде открито присъствието му, според изследване на IBM. През това време хакерът има достатъно време да се опита да пробие голям брой машини и да източи важна фирмена информация. Активното търсене на заплахи цели да открие зловереден софтуер или неоторизиран достъп до мрежата. За да се случва ефективно всяка една организация трябва да има система за ИТ сигурност и събития (security and event management system SIEM) и добре обучен ИТ персонал.
- Тестване на приложенията (application security testing). Това най-общо казано е тестване на приложенията за уязвимости.
Известни програми за сканиране на уязвимости са: SolarWinds, Comodo, Tripwire, Qualys и др, Както платени, така има и приложения с отворен код, които могат да бъдат полезни като: OpenVAS, Nikto, Retina, Wireshark, Nexpose Community и др.
За повече въпроси се обърнете към вашата компютърна поддръжка или към нас.
От екип на „ЛИП Трейд“ ООД