Обзор рынка средств обнаружения атак

Я не ставил перед собой цели соотносить между собой предлагаемые в Рос­сии решения. Так как сравнивать различные средства — задача неблагодар­ная; особенно в России. Поскольку между конечным пользователем и про­изводителем всегда встает третье звено (или несколько) — поставщик, который может свести "на нет" все достоинства предлагаемого решения за смет низкого качества послепродажной и послегарантийной поддержки. Вторая причина отказа от сопоставления в том, что данные решения — это далеко не все, что должно сравниваться. Как продемонстрировано в этой главе, для каждого продукта должна существовать своя инфраструктура (которая также должна приниматься во внимание при выборе), включающая: в себя качество документации и технической поддержки, наличие авторизо­ванного обучения и квалифицированных консультаций и т.д. Ну и наконец, сравнить и выбрать продукты может только конечный пользователь и только в своей собственной сети, чтобы проверить поведение и удобство использо­вания того или иного решения в той технологии обработки информации, которая принята в организации. Именно для этого были подробно рассмот­рены различные критерии оценки систем обнаружения атак [Лукацкий 7-00]. Ниже приводится обзор рынка средств обнаружения атак. Детально описа­ны характерные особенности средств, предлагаемых в России. Однако глав­ный упор будет делаться на их достоинствах (хотя и об основных проблемах с этими средствами я тоже не забуду), т. к. описывать недостатки, на мой взгляд, не совсем правильно. Во-первых, потому что недостатки в рассмат­риваемых в книге системах могут быть устранены в новых версиях и даже еще до выхода книги из издательства. Чего нельзя сказать о достоинствах.

Кому еще мешали достоинства? Во-вторых, недостатки — это категория субъективная, и оценивать юс может только потребитель в своем собствен­ном сетевом окружении.

Internet Security Systems

Компания Internet Security Systems (http://www.iss.net)известна в России с 1997 года, и, на мой взгляд, является одним из известнейших поставщиков решений в этой области не только в России. Мировое лидерство ISS подтверждается и независимыми компаниями, например, 1DC [Kolodgy l-01]. Компания Internet Security Systems, Inc. разработала семейство SAFEsuite, которое на сегодняшний день является первым и пока единственным комплексом систем, который включает в себя все компоненты модели адаптивного управления безопасностью сети [ Кивиристи 1-00]. В этот комплекс вхо­дят системы:

q анализа защищенности на уровне сети Internet Scanner;

q анализа защищенности на уровне операционной системы и прикладной ПО System Scanner, Online Scanner и Desktop Scanner;

q анализа защищенности на уровне СУБД Database Scanner;

q обнаружения атак RealSecure (Network Sensor, Appliance, OS Sensor, Server Sensor);

q поддержки принятия решений и прогнозирования в области безопасно^ сти SAFEsuite Decisions.

28 апреля 2001 года (уже в процессе верстки книги) компания ISS приобрела не раз упоминаемую компанию Network ICE, являющуюся разработчиком семейства средства обнаружения атак BlacklCE.

Компания 1SS, единственная из производителей средств обнаружения атак имеет в России авторизованный учебный центр (http://www.infosec.ru).

Internet Scanner

Система анализа защищенности Internet Scanner предназначена для проведения регулярных, всесторонних или выборочных тестов любых систем, основанных на стеке протоколов TCP/IP (сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, мар­шрутизаторов, межсетевых экранов, Web-серверов и т. п). На основе прове­денных тестов Internet Scanner вырабатывает отчеты, содержащие подробное, описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендаций ПО их коррекции или устранению. 2 сентября 1998 года система была сертифицирована в Гостехкомиссии России (сертификат № 195).

Механизм генерации отчетов, имеющийся в Internet Scanner, уникален. Во-первых, система поставляется с 30-ю готовыми шаблонами для генерации различных форм. Во-вторых, этот механизм позволяет быстро переходить от обобщенных данных, содержащих информацию об уровне защищенности организации (рис. 8.24), к подробным отчетам с детальной технической ин­формацией о том, где и какая уязвимость обнаружена. Кроме того, данные, отчеты содержат подробные инструкций по устранению найденных про­блем. К таким инструкциям можно отнести пошаговые рекомендации по изменению системного реестра Windows, или же строки, которые надо вне­сти в конфигурационные файлы Unix. В случае наличия у производителя обновления или патча, устраняющего соответствующую уязвимость, в отчете содержится гиперссылка на заданный FTP- или Web-сервер, на который можно перейти из системы Internet Scanner, не запуская браузера (рис. 8.25). Если все же имеющихся 30-и шаблонов недостаточно, то администратор может создать и подключить к Internet Scanner свои собственные формы, учитывающие специфику его организации (например, требования к оформ­лению документов).

В процессе сертификации системы Internet Scanner в Гостехкомисеии России специалистами НИП "Информзащита" была проведена русификация этой системы, что позволило ей стать единственной системой анализа защищенности, создающей отчеты на русском языке.

System Scanner

Internet Scanner является превосходным инструментом для анализа сетевых уязвимостей ОС Windows и Unix. Но дополнительный взгляд на анализируемые системы, осуществляемый системой System Scanner, делает уровень проведения анализа защищенности с помощью продуктов ISS гораздо более высоким, чем, возможно, могут предоставить другие аналогичные продукты. Производители, как правило, реализуют только анализ защищенности на уровне сети, пренебрегая локальным сканированием на уровне операционной системы, и совсем забывая о существовании приложений. Система System Scanner обнаруживает большое количество уязвимостей (рис. 8.26), которые не видны при дистанционном сканировании через сеть, но представ­ляют большую опасность для Unix и Windows-систем. На сегодняшний день общее число осуществляемых проверок в системе System Scanner превышает 1300 для платформы Windows (NT и 2000) и 600 для платформы Unix (более 20-и различных Unix). К моменту написания книги было объяв­лено о выходе версии System Scanner для ОС NetWare.

Database Scanner

Система Database Scanner (рис. 8.27), входящая в семейство SAFEsuite, об­наруживает различные проблемы (их число превышает 400), связанные с безопасностью баз данных по трем основным направлениям: аутентифика­ции, авторизации и целостности БД. Дополнительно проверяется операци­онная система, под управлением которой функционирует СУБД. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, рекомендует корректирующие действия, которые по­зволяют устранить обнаруженные уязвимости (рис. 8.28). Система Database Scanner может быть использована для СУБД Microsoft SQL Server, Oracle и Sybase Adaptive Server.