Skanowanie podatności inwazyjne, a nieinwazyjne
Wykonując nieinwazyjne testy, firmy mogą uniknąć przerw w działaniu usług, podczas przeprowadzania oceny podatności. Istnieją dwie metodologie wykorzystywane do oceny podatności na zagrożenia, niezależnie od oceny patchy czy weryfikacji zgodności. Jedno podejście opiera się na penetracji systemu w celu udowodnienia jego słabości, a drugie wykorzystuje dostępne informacje do określenia statusu danej luki. W obu przypadkach można znaleźć wiele materiałów dotyczących zalet obu typów skanowania, a także potencjalnych implikacji ich zastosowania.
W niniejszym artykule przyjrzymy się bliżej obu metodom z punktu widzenia atakującego.
SMASH-AND-GRAB: najprostsza droga
Zwolennicy destrukcyjnego audytu bezpieczeństwa (skanowanie inwazyjne) podają wszechobecną dostępność skryptów pozwalających na atak z wykorzystaniem luk w zabezpieczeniach. Postawili hipotezę, że atakując system w dokładnie taki sam sposób jak potencjalny napastnik, uzyskuje się najdokładniejsze wyniki.
Niekompletna ścieżka audytu
Bez wątpienia istnieją pewne zalety podejścia typu “SMASH-AND-GRAB”. Używając skryptu do zautomatyzowania ataku, scenariusz penetracji, w którym można uzyskać dostęp do komputera, udowadnia, że urządzenie było podatne na atak i ostatecznie mogło zostać skompromitowane. Jednak korzystanie z tego podejścia jest problematyczne, ponieważ ścieżka audytu jest niekompletna i potencjalnie stwarza więcej pytań niż odpowiedzi.
Skrypty atakujące z fałszywymi wynikami
Na przykład wiele skryptów atakujących dostępnych w Internecie jest wadliwych i może skutkować fałszywym poczuciem bezpieczeństwa bazującym na fałszywie negatywnych wynikach. Oznacza to, że nie działają one zgodnie z oczekiwaniami, nawet jeśli system docelowy faktycznie posiada luki w oprogramowaniu. Niepomyślne testy penetracyjne oparte na potencjalnie złych skryptach mogą dać fałszywe poczucie bezpieczeństwa.
Narzędzia do oceny podatności, które wykorzystują inwazyjne skrypty mogą być szkodliwe, ponieważ pozostawiają systemy otwarte na przyszłe ataki, które normalnie nie byłyby możliwe do wykorzystania lub mogą uniemożliwić prawidłowe działanie funkcji krytycznych.
Unieruchomienie usług
Testowanie podatności SMASH-AND-GRAB charakteryzuje się wyłączaniem usług na czas ataku. Oznacza to, że podczas gdy usługa jest atakowana, usługa ta może nie być dostępna do normalnego użytku, cała sieć może zostać unieruchomiona, może powodować błędy np. “blue screen”, a co gorsza, atak może spenetrować sieć i stworzyć nową płaszczyznę ryzyka dla prawdziwych ataków.
Skompromitowane środowisko testowe
Być może najważniejszym argumentem przeciwko testowaniu typu “SMASH-AND-GRAB” jest to, że tworzy ono skompromitowane środowisko testowe. Poprzez bezpośrednie przeprowadzanie ataków na system podlegający audytowi, skrypt atakujący może doprowadzić system do nieznanego stanu – lub całkowicie go wyłączyć – czyniąc zdalny system bezużytecznym do dalszych testów i praktycznie eliminując możliwość uzyskiwania szczegółowych raportów o podatności na ataki na to urządzenie z przyszłych testów.
Skanowanie nieinwazyjne: Trudna droga
Zdyscyplinowani napastnicy często decydują się zebrać jak najwięcej informacji o celu ataku, używając logiki dedukcyjnej, aby wskazać potencjalne słabości w organizacji i zasobach technologii informacyjnych. Zwolennicy tej niewidocznej i łagodnej metodologii bazują na bogactwie informacji pochodzących z systemów sieciowych następnie poprzez tworzenie logicznych powiązań i założeń na podstawie dostępnych danych wyciągają wnioski i pozyskują jeszcze większą ilości informacji. Obejmuje to wszystko, od socjotechniki do znajomości aplikacji i dostawców, na których opiera się firma. Dzięki tym informacjom znane luki i słabości stają się łatwym celem dla atakującego, który wykorzysta odkrytego exploita.
Zapobieganie przerwą w dostępie do usługi
W przeciwieństwie do inwazyjnych technik skanowania, administratorzy technologii informatycznych mogą wykorzystywać nieinwazyjne testy w celu zlokalizowania systemów potencjalnie mogących być ofiarą ataku, zanim staną się problematyczne. Przeprowadzając nieinwazyjne testy, firmy mogą uniknąć przerw w świadczeniu usług podczas przeprowadzania kompleksowej oceny podatności. Atakujący wykorzystują porównywalne techniki, aby “po cichu” wykrywać luki w zabezpieczeniach, nie powodując systematycznych przestojów i potencjalnie nie uruchamiając powiadomienia IPS, IDS i firewalla. Organizacje mogą wykorzystywać tę samą nieinwazyjną technologię do gromadzenia dużych ilości informacji i stosować się do najlepszych praktyk w zakresie analizy danych podatności w celu określenia ryzyka dla środowiska. Proces ten jest często powtarzany w cyklach w celu dalszego udoskonalenia i wzmocnienia na bazie wyników.
Podobnie, ten sam proces służy do sprawdzenia, czy działania naprawcze zakończyły się powodzeniem, a luka w zabezpieczeniach nie stanowi już zagrożenia. Uzyskując jasny obraz całej architektury, firma może lepiej zidentyfikować słabe punkty w sieci i w zasadach polityk korporacyjnych, a także aktywnie zapobiegać ingerencjom i przerwom w działaniu procesów biznesowych.
Unikanie wersji Freeware
Wybierając nieinwazyjne rozwiązanie do oceny podatności, administratorzy muszą zachować ostrożność w korzystaniu z bezpłatnego oprogramowania i narzędzi, które nie są rygorystycznie testowane i nie posiadają profesjonalnego wsparcia. Używanie tych produktów może być niebezpieczne i skutkować przypadkowymi testami typu “SMASH-AND-GRAB”, które mogą niechcący wyłączyć sieć. Na przykład audyt, który uważano za bezpieczny, był rzeczywiście inwazyjny.
Raportowanie, analityka, naprawa
Jedyną potencjalną wadą związaną ze skanowaniem nieinwazyjnym jest sposób, w jaki informacje są analizowane i prezentowane po wykonaniu skanowania. Systemy inwazyjne zapewniają natychmiastowe wyniki po ukierunkowanym ataku; udany lub nieudany. Nieinwazyjne rozwiązania wymagają korelacji wyników i interpolacji stanu na podstawie pobranych danych. Aby przekształcić wyniki skanu w funkcjonalne korzyści biznesowe, potrzebny jest solidny proces raportowania, analizy i napraw.
Narzędzia do skanowania, które udostępniają tylko prostą nieuporządkowaną listę luk w zabezpieczeniach bez odpowiednich szczegółów i działań naprawczych, komplikują proces analizy. Skaner bezpieczeństwa sieci Retina Network (RNSS) firmy BeyondTrust zapewnia pełne raportowanie, eksport danych oraz możliwość korzystania z centralnej konsoli zarządzania w celu agregowania wyników dla środowisk każdej wielkości. Ponadto wszystkie dane są przechowywane w bazie danych w celu dalszego przetwarzania i ewentualnie eksportowania w czasie zbliżonym do rzeczywistego do innych systemów.
Jednoznaczny wybór
Niewątpliwie nieinwazyjne skanowanie oferuje wymierne korzyści i znacznie mniejsze ryzyko niż nieprzewidywalna metodologia skanowania inwazyjnego typu “SMASH-AND-GRAB”. Większość organizacji jest źle wyposażona, aby odpowiednio zarządzać inwazyjnym scenariuszem testu penetracyjnego; zwłaszcza te bez zreplikowanych sieci testowych. Jeśli audytorzy nie są ostrożni, potencjalne uszkodzenia wywołane skanowaniem inwazyjnym mogą przeważyć korzyści płynące z faktycznego wykrycia luk.
Co więcej, kompleksowy audyt i ścieżka naprawy bazująca na podstawie nieinwazyjnego skanowania pozwoli stworzyć niezawodną i wzmocnioną pod względem bezpieczeństwa infrastrukturę w znacznie szybszym czasie. Wymierne i powtarzalne wyniki skanów pozwalają opracować ostateczny plan działania w celu skorygowania luk w zabezpieczeniach i ułatwienia oceny implementowanych poprawek i wymań zgodności.
Istotne jest to, że testowanie nieinwazyjne jest dość proste: poza rzadkimi i skrajnymi przypadkami, zlokalizowanie luki i jej naprawienie jest o wiele ważniejsze niż udowodnienie możliwości jej wykorzystania.
W rezultacie administratorzy i inżynierowie mogą bronić swoich krytycznych zasobów bez umieszczania ich na linii ognia podczas potencjalnie destrukcyjnych testów. Zapewniając pracownikom działów wsparcia sieciowego dokładne informacje o istniejących lukach, można znacząco skrócić czas naprawy, podczas gdy dokładny raport ze stanu bezpieczeństwa został utworzony bez tworzenia zbędnego dodatkowego ryzyka lub przerw w pracy. Podobnie jak w przypadku wszystkich procesów bezpieczeństwa i ram regulacyjnych, proces skanowania bezinwazyjnego należy często powtarzać, aby administratorzy byli informowani o aktualnym statusie podatności sieci i poziomie zagrożenia.