Порівняльний аналіз сканерів безпеки. Частина 1: тест на проникнення (коротке резюме), Криптографія, Security & Hack, статті

Лепіхін Володимир Борисович
Завідувач лабораторією мережевої безпеки Навчального центру “Інформзахист”


Всі матеріали звіту є об’єктами інтелектуальної власності навчального центру “Інформзахист”. Тиражування, публікація або репродукція матеріалів звіту в будь-якій формі заборонене без попереднього письмової згоди Навчального центру “Інформзахист”.


Повний текст дослідження:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm


1. Введення


Мережеві сканери безпеки підходять для порівняння як не можна краще. Вони всі дуже різні. І в силу специфіки завдань, для вирішення яких вони призначені, і в силу їх “подвійної” призначення (мережеві сканери безпеки можуть бути використані як для захисту, так і “для нападу”, а злом, як відомо, завдання творча), нарешті, ще й тому, що за кожним таким інструментом варто політ “хакерської” (в первісному значенні цього слова) думки його творця.


При виборі умов порівняння за основу був узятий підхід “від завдань”, таким чином, за результатами можна судити, наскільки той чи інший інструмент придатний для вирішення поставленого перед ним завдання. Наприклад, мережеві сканери безпеки можуть бути використані:



У цьому документі представлені результати порівняння мережевих сканерів безпеки в ході проведення тестів на проникнення в відношенні вузлів мережного периметра. При цьому оцінювалися:



Перераховані критерії в сукупності характеризують “придатність” сканера для вирішення поставленого перед ним завдання, в даному випадку – це автоматизація рутинних дій в процесі контролю захищеності мережевого периметра.


2. Коротка характеристика учасників порівняння


Перед початком порівняння зусиллями порталу Securitylab.ru було проведено опитування, метою якого був збір даних про використовувані сканерах і завдання, для яких вони використовуються.


В опитуванні взяло участь близько 500 респондентів (відвідувачів порталу Securitylab.ru).


На питання про використовувані сканерах безпеки в своїх організаціях, переважна більшість респондентів відповіло, що вони використовують хоча б один сканер безпеки (70%). При цьому в організаціях, які практикують регулярне застосування сканерів безпеки для аналізу захищеності своїх інформаційних систем, воліють використовувати більше одного продукту даного класу. 49% респондентів відповіло, що в їхніх організаціях використовується два і більше сканера безпеки (Мал. 1).


1. Розподіл організацій опитаних респондентів по числу використовуваних сканерів безпеки


Причини, за якими використовується більше одного сканера безпеки, полягають в тому, що організації ставляться з недовірою до рішень одного “вендора” (61%), а також у тих випадках, коли потрібне виконання спеціалізованих перевірок (39%), які не можуть бути виконані комплексним сканером безпеки (Мал. 2).

2. Причини використання більше одного сканера безпеки в організаціях опитаних респондентів


Відповідаючи на питання, для яких цілей використовуються спеціалізовані сканери безпеки, більшість респондентів відповіло, що вони використовуються в якості додаткових інструментів аналізу захищеності Web-додатків (68%). На другому місці, виявилися спеціалізовані сканери безпеки СУБД (30%), а на третьому (2%) утиліти власної розробки для вирішення специфічного кола завдань з аналізу захищеності інформаційних систем (Мал. 3).


3. Цілі застосування спеціалізованих сканерів безпеки в організаціях опитаних респондентів


Результат опитування респондентів (рис. 4) про кінцевих продуктах, які мають відношення до сканерів безпеки, показав, що більшість організацій вважають за краще використовувати продукт Positive Technologies XSpider (31%) і Nessus Security Scanner (17%).


Рис. 4. Використовувані сканери безпеки в організаціях опитаних респондентів


Для участі в тестових випробуваннях були відібрані сканери, представлені в таблиці 1.


Таблиця 1. Мережеві сканери безпеки, використані в ході порівняння

































Назва


Версія


Посилання


Nessus


3.2.1


http://www.nessus.org/download


MaxPatrol


8.0 (Збірка 1178)


http://www.ptsecurity.ru/maxpatrol.asp


Internet Scanner


7.2.58


http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208


RetinaNetwork Security Scanner


5.10.2.1389


http://www.eeye.com/html/products/retina/index.html


Shadow Security Scanner (SSS)


7.141 (Build 262)


http://www.safety-lab.com/en/products/securityscanner.htm


NetClarity Auditor


6.1


http://netclarity.com/branch-nacwall.html


Отже, перший тест сфокусований на завданні оцінки захищеності систем на стійкість до злому.


3. Підведення підсумків


Аналогічним чином були пораховані результати по інших вузлів. Після підрахунку підсумків вийшла наступна таблиця (табл. 2).


Таблиця 2. Підсумкові результати по всіх об’єктах сканування












































































Показник

MaxPatrol

Internet Scanner

Retina

Nessus

Shadow Security Scanner

NetClarity
Auditor


Ідентифікація сервісів і додатків, бали

108

66

80

98

79

54


Знайдено вразливостей, всього

163

51

38

81

69

57


З них помилкових спрацьовувань
(false positives)

8

3

4

7

36

14


Знайдено правильно
(З 225 можливих)

155

48

34

74

33

43


Пропуски
(false negatives)

70

177

191

151

192

182


З них через відсутність в базі

63

170

165

59

150

179


З них викликані необхідністю аутентифікації

0

6

16

36

0

0


З інших причин

7

1

10

56

42

3


3.1 Ідентифікація сервісів і додатків


За результатами визначення сервісів і додатків бали були просто підсумував, при цьому за помилкове визначення сервісу або програми вираховувався один бал (рис. 5).


Рис. 5. Результати ідентифікації сервісів і додатків


Найбільша кількість балів (108) набрав сканер MaxPatrol, трохи менше (98) – сканер Nessus. Дійсно, в цих двох сканерах процедура ідентифікації сервісів і додатків реалізована дуже якісно. Даний результат можна назвати цілком очікуваним.


Далі йдуть Retina (80 балів) і Shadow Security Scanner (79 балів), вони “не впоралися” з деякими важкими випадками ідентифікації сервісів і додатків.


Наступний результат – у сканерів Internet Scanner і NetClarity. Тут можна згадати, що, наприклад, Internet Scanner орієнтується на використання стандартних портів для додатків, цим багато в чому і пояснюється його невисокий результат. Нарешті, найгірші показники у сканера NetClarity. Хоча він непогано справляється з ідентифікацією сервісів (все-таки він заснований на ядрі Nessus 2.x), його загальний низький результат можна пояснити тим, що він ідентифікував не всі відкриті порти.


3.2 Ідентифікація вразливостей


На рис. 6 представлено загальне число знайдених всіма сканерами вразливостей і число помилкових спрацьовувань. Найбільше число вразливостей було знайдено сканером MaxPatrol. Другим (правда, вже зі значним відривом) знову виявився Nessus.
Лідером за кількістю помилкових спрацьовувань виявився сканер Shadow Security Scanner. В принципі, це зрозуміло, вище були наведені приклади помилок, пов’язані саме з його перевірками.


Рис. 6. Знайдені уразливості і помилкові спрацьовування


Всього на всіх 16 вузлах всіма сканерами було знайдено (і згодом подверждено ручної перевіркою) 225 вразливостей. Результати розподілилися так, як на рис. 7. Найбільше число вразливостей – 155 з 225 можливих – було виявлено сканером MaxPatrol. Другим виявився сканер Nessus (його результат практично в два рази гірше). Наступним йде сканер Internet Scanner, потім NetClarity.
У ході порівняння були проаналізовані причини пропусків вразливостей і були відокремлені ті, які були зроблені через відсутність перевірок в базі. На наступній діаграмі (рис. 8) представлені причини пропусків вразливостей сканерами.


Рис. 7. Знайдені уразливості і пропуски


Рис. 8. Причини пропусків вразливостей


Тепер кілька показників, одержані в результаті підрахунків.


На рис. 39 представлено відношення числа помилкових спрацьовувань до загальної кількості знайдених вразливостей, цей показник в певному сенсі можна назвати точністю роботи сканера. Адже користувач, перш все, має справу з переліком знайдених сканером вразливостей, з якого необхідно виділити знайдені правильно.


Рис. 9. Точність роботи сканерів


З цієї діаграми видно, що найвища точність (95%) досягнуто сканером MaxPatrol. Хоча число помилкових спрацьовувань у нього не найнижче, такий показник точності досягнуто за рахунок великої кількості знайдених вразливостей. Наступним по точності визначення йде Internet Scanner. Він показав найнижче число помилкових спрацьовувань. Найнижчий результат у сканера SSS, що не дивно при такому великому кількості помилкових спрацьовувань, яке було відмічено в ході порівняння.


Ще один розрахунковий показник – це повнота бази (рис. 10). Він розрахований як відношення числа вразливостей, знайдених правильно, до загальної кількості вразливостей (в даному випадку – 225) і характеризує масштаби “Пропусків”.


Рис. 10. Повнота бази


З цієї діаграми видно, що база сканера MaxPatrol найбільш адекватна поставленій задачі.


4. Висновок


4.1 Коментарі до результатів лідерів: MaxPatrol і Nessus


Перше місце за всіма критеріями даного порівняння дістається сканеру MaxPatrol, на другому місці – сканер Nessus, результати решти сканерів істотно нижче.


Тут доречно згадати один з документів, підготовлений національним інститутом стандартів і технологій США (NIST), а саме – “Guideline on Network Security Testing”. У ньому говориться, що в ході контролю захищеності комп’ютерних систем рекомендується використовувати як мінімум два сканера безпеки.


В отриманому результаті, по суті, немає нічого несподіваного і дивного. Не секрет, що сканери XSpider (MaxPatrol) і Nessus користуються популярністю як серед фахівців з безпеки, так і серед “Зломщиків”. Це підтверджують і наведені вище результати опитування. Спробуємо проаналізувати причини явного лідерства MaxPatrol (частково це стосується і сканера Nessus), а також причини “програшу” інших сканерів. Перш за все – це якісна ідентифікація сервісів і додатків. Перевірки, засновані на висновках (а їх у даному випадку використовувалося досить багато), сильно залежать від точності збору інформації. А ідентифікація сервісів і додатків в сканері MaxPatrol практично доведена до досконалості. Ось один показовий приклад.
Друга причина успіху MaxPatrol – повнота бази та її адекватність поставленої задачі і взагалі “сьогоднішнього дня”. За результатами помітно, що база перевірок в MaxPatrol значно розширена і деталізована, в ній “наведений порядок”, при цьому явний “крен” у бік web-додатків компенсується і розширенням перевірок в інших областях, наприклад, справили враження результати сканування представленого в порівнянні маршрутизатора Cisco.


Третя причина – якісний аналіз версій додатків з урахуванням операційних систем, дистрибутивів і різних “відгалужень”. Можна також додати і використання різних джерел (бази вразливостей, повідомлення і бюлетені “вендорів”).


Нарешті, можна ще додати, що MaxPatrol має дуже зручний і логічний інтерфейс, що відображає основні етапи роботи мережевих сканерів безпеки. А це важливо. Зв’язка “вузол, сервіс, вразливість” дуже зручна для сприйняття (Прим. ред. це суб’єктивна думка автора порівняння). І особливо для даного завдання.


Тепер про недоліки і “слабких” місцях. Оскільки MaxPatrol виявився лідером порівняння, то і критика на його адресу буде “максимальної”.


По-перше, так званий “програш у дрібницях”. Маючи дуже якісний движок, важливо запропонувати і відповідний додатковий сервіс, наприклад, зручний інструментарій, що дозволяє щось зробити вручну, засоби пошуку вразливостей, можливість “тонкої” настройки системи. MaxPatrol продовжує традицію XSpider і максимально орієнтований на ідеологію “натиснув і запрацювало”. З одного боку це непогано, з іншого боку – обмежує “прискіпливого” аналітика.


По-друге, залишилися “неохопленими” деякі сервіси (можна судити про це за результатами даного порівняння), наприклад, IKE (порт 500).


По-третє, в деяких випадках не вистачає елементарного зіставлення результатів двох перевірок один з одним, наприклад, як в описаному вище випадку з SSH. Т. е. немає висновків, заснованих на результатах кількох перевірок. Наприклад, операційна система вузла host4 була визначена як Windows, а “вендор” сервісу PPTP класифікований як Linux. Можна зробити висновки? Наприклад, у звіті в області визначення операційної системи вказати, що це “гібридний” вузол.


По-четверте, опис перевірок залишає бажати кращого. Але тут слід розуміти, що MaxPatrol знаходиться в нерівних умовах з іншими сканерами: якісний переклад на російську мову всіх описів – дуже трудомістке завдання.


Сканер Nessus показав, в цілому, непогані результати, а в ряді моментів він був точніше сканера MaxPatrol. Головна причина відставання Nessus – це пропуски вразливостей, але не через отстуствія перевірок в базі, як у більшості інших сканерів, а в силу особливостей реалізації. По-перше (і цим обумовлена ​​значна частина перепусток), в сканері Nessus намітилася тенденція розвитку в сторону “локальних” або системних перевірок, які передбачають підключення з обліковим записом. По-друге, в сканері Nessus враховано менше (порівняно з MaxPatrol) джерел інформації про уразливість. Це чимось схоже на сканер SSS, заснований здебільшого на базі SecurityFocus.


5. Обмеження даного порівняння


У ході порівняння були вивчені можливості сканерів в контексті тільки одного завдання – тестування вузлів мережного периметра на стійкість до злому. Наприклад, якщо проводити аналогію автомобільну, ми побачили, як різні автомобілі поводяться, скажімо, на слизькій дорозі. Однак є й інші завдання, вирішення яких цими ж сканерами може виглядати зовсім інакше. Найближчим часом планується зробити порівняння сканерів в ході вирішення таких завдань, як:



Крім того, планується зробити порівняння сканерів і за формальними критеріями.


В ході даного порівняння був протестований тільки сам “движок” або, висловлюючись сучасною мовою, “мозок” сканера. Можливості в плані додаткового сервісу (звіти, запис інформації про хід сканування і т. п.) ніяк не оцінювалися і не порівнювалися.


Також не оцінювалися ступінь небезпеки і можливості по експлуатації знайдених вразливостей. Деякі сканери обмежилися “незначними” уразливими низького ступеня ризику, інші ж виявили дійсно критичні уразливості, що дозволяють отримати доступ до системи.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*