Пересканирование отдельных сервисов
После того как сканирование завершилось, вы можете при необходимости провести повторное сканирование отдельных сервисов. Это может быть полезно в некоторых особых ситуациях, например, для подтверждения наличия DoS-уязвимости. Иногда, при плохом качестве связи с проверяемым хостом возможно ложное определение DoS-уязвимости (когда связь с хостом прервалась случайно, а XSpider сделал вывод, что прошла DoS-атака). В этом случае можно провести повторное сканирование соответствующего сервиса и при повторном обнаружении уязвимости более уверенно сделать вывод о ее наличии.
Сохранение результатов
Если сразу после завершения сканирования вы попытаетесь закрыть окно XSpider, то он выдаст диалог с предложением сохранить результаты. Результаты сохраняются в специальный файл задачи, который вы потом можете загружать, смотреть предыдущие результаты, создавать по ним отчеты и запускать новые сканирования для того же списка хостов.
Анализ результатов сканирования
Анализ результатов — это самый ответственный шаг в процессе аудита безопасности. Провести грамотный анализ — это уже задача специалиста, который использует сканер безопасности. Однако Xspider разработан так, чтобы максимально облегчить вам решение этой задачи.
Вы можете анализировать результаты сканирования двумя способами:
- изучая приготовленный отчет
- непосредственно в окне текущей задачи
Анализ результатов в окне XSpider
Вся информация о результатах сканирования доступна уже с основной закладки главного окна — Сканирование. Все хосты, порты и уязвимости показываются в списке слева (так называемое, "дерево сканирования"), а в правой части отображается информация по выбранному вами пункту.
Уже беглый взгляд на дерево сканирования позволяет оценить степень уязвимости проверенных хостов благодаря различным иконкам, которыми отображаются просканированные хосты, порты и обнаруженные уязвимости.
Общее правило простое — если много "красного" - это плохо, много желтого — уже не так плохо, много зеленого - практически нормально. Но лучше всего, если цветных значков вообще нет — это означает полное отсутствие всяких возможностей собрать информацию о хосте, который выглядит со стороны, как "черный ящик".
Вот полный перечень значков, используемых XSpider (в начале каждого отчета также приводится подобная расшифровка):
Значки достаточно понятны и аналогичны используемым в других программах подобного рода. Дерево сканирования имеет три уровня (хост-сервис-уязвимость), и каждый узел наследует "окраску" от наиболее уязвимого из своих дочерних узлов: если сервис имеет серьезную уязвимость, то его иконка отмечается значком красного цвета, и по цепочке то же самое происходит со значком соответствующего хоста. Другими словами, если для хоста (порта) обнаружена серьезная уязвимость, то он обязательно будет помечен красным значком — независимо от того, сколько для него есть уязвимостей других типов.
Политика безопасности
Здесь уместно по ходу дела сказать несколько слов о "философии" анализа результатов сканирования. Очевидно, что первостепенное внимание следует уделять "красным" (серьезным) уязвимостям. Именно они открывают непосредственный путь для вторжения в сеть. В принципе, если серьезных уязвимостей нет, то уже можно вздохнуть несколько спокойней. Однако полной гарантии безопасности вы при этом не получите. Хотя "желтые" уязвимости сами по себе далеко не всегда могут использоваться для активного вторжения в сеть извне, они могут сильно помочь злоумышленнику в планировании и организации атаки. Зачастую, ему может пригодиться и сравнительно безобидная информация о системе, которая обозначается зеленым цветом. Поэтому общее правило простое: чем меньше можно узнать о вашей системе снаружи, тем лучше. Тут надо оценить усилия, необходимые для устранения второстепенных уязвимостей — если затраты невелики, то лучше по возможности ликвидировать максимум имеющихся отклонений от идеально защищенной системы.