logo search
All_lections

4. Решения компании Internet Security Systems (iss)

Они представляют собой комплект ПО SAFEsuite Enterprise, включающий в себя все компоненты модели адаптивного управления защиты сети. В него входят:

- система анализа защищённости на уровне сети Internet Scanner;

- средство анализа защищённости на уровне хоста System Security Scanner;

- система анализа защищённости на уровне баз данных Database Scanner;

- система обнаружения сетевых атак RealSecure;

- система принятия решений SAFEsuite Decisions.

4.1. Internet Scanner

Это система анализа защищённости, которая предназначена для проведения регулярных всесторонних или выборочных тестов сетевых служб, операционных систем, используемого прикладного ПО, маршрутизаторов, межсетевых экранов, Web-серверов и т. п.

Результатом тестирования являются отчёты, содержащие подробное описание каждой обнаруженной уязвимости, её дислокации в корпоративной сети, а также рекомендации по коррекции или устранению «слабого места».

Internet Scanner сертифицирован Гостехкомиссией РФ (сертификат № 195).

Internet Scanner может быть использован для анализа защищённости любых систем, основанных на стеке протоколов TCP/IP, — как компьютеров, подключённых к локальной или глобальной сети (Internet), так и автономных ПК с установленной поддержкой TCP/IP. Продукт состоит из подсистем:

Intranet Scannerдля тестирования рабочих станций, серверов, X-терминалов;

Firewall Scanner для проверки межсетевых экранов и коммуникационного оборудования;

Web Security Scannerдля контроля за Web-, FTP-, SMTP- и другими службами;

Advanced Packet eXchange -подсистемы моделирования атак, позволяющая администратору создавать допустимые и запрещённые IP-пакеты, с помощью которых он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов, системного и прикладного ПО.

Internet Scanner поддерживает технологию SmartScan и является «самообучаемым» ПО. Модуль SmartScan действует как настоящий хакер: изучает сеть, запоминает информацию, собранную в течение различных сеансов сканирования сети, создаёт полную картину уязвимостей и способен автоматически применить накопленные сведения для расширения возможностей сканирования.

Краткий перечень ключевых возможностей Internet Scanner насчитывает почти 20 позиций, среди которых:

- задание своих собственных и множества стандартных проверок (более 600), которые разделены на 26 категорий с возможностью создания собственных шаблонов;

- определение глубины сканирования, централизованное управление процессом сканирования;

- параллельное сканирование до 128 сетевых устройств и систем;

- запуск процесса по расписанию;

- генерация отчётов различных форматов и уровня детализации;

- невысокие системные требования к программно-аппаратному обеспечению;

- определение работающих в сети модемов.

4.2. System Security Scanner (S3)

Одной из главных задач, на которые нацелены системы анализа защищённости, разработанные компанией ISS, является сбор информации о ПК-клиентах. Иногда это удаётся сделать дистанционно с помощью Internet Scanner, но часто разумнее проводить такую операцию, используя локальный компьютер (например, при проверке «слабых» паролей, наличия установленных пакетов модификаций, обновлений ОС или приложений и т. п.).

Система анализа защищённости System Security Scanner (S3), в отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищённости изнутри сканируемого компьютера, в то время как система Internet Scanner снаружи.

Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому System Security Scanner, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности организации.

Система обеспечивает высокий уровень анализа защищённости за счёт проведения всесторонних проверок и следующих ключевых возможностей:

- большое число проводимых проверок;

- задание шаблонов для различных групп сканируемых узлов;

- централизованное управление процессом сканирования;

- параллельное сканирование нескольких узлов корпоративной сети;

- централизованное обновление компонентов системы на удалённых узлах;

- создание сценариев для устранения найденных проблем;

- запуск процесса сканирования по расписанию;

- возможность работы из командной строки;

- мощная система генерации отчётов;

- функционирование под управлением многих операционных систем;

- невысокие системные требования к программному и аппаратному обеспечению.

System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows.

Система System Security Scanner проводит различные категории проверок, к которым можно отнести:

- получение информации о сканируемой системе;

- проверки настроек FTP, электронной почты, NFS;

- проверки возможности осуществления атак типа «Отказ в обслуживании»;

- проверки паролей;

- проверки настроек Web-серверов и браузеров.

- проверки настроек удалённых сервисов;

- проверки файловой системы, учётных записей, настроек сервисов и проверки системного реестра ОС Windows;

- проверки прикладного ПО (в т.ч. Microsoft Office);

- проверки настроек модемов;

- периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищённости корпоративной сети на необходимом уровне.

4.3. Database Scanner

Database Scanner - идентифицирует проблемы, связанные с безопасностью баз данных. В этом ПО реализованы проверки подсистем аутентификации, авторизации и контроля целостности. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, содержит перечень рекомендуемых корректирующих действий для устранения обнаруженных уязвимостей.Database Scanner поддерживает СУБД Microsoft SQL Server, Sybase Adaptive Server и Oracle.

4.4. RealSecure

Система обнаружения атак RealSecure предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based).

Система RealSecure использует распределённую архитектуру и содержит два основных компонента:

- RealSecure Detector,

- RealSecure Manager.

Компонент RealSecure Detector отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путём «прослушивания» трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).

4.5. SAFESuite Decisions

Эта система позволяет собирать, анализировать и обобщать сведения, получаемые от различных установленных в организации средств защиты информации. К средствам, поддерживаемым первой версией, относятся все продукты компании ISS, МЭ CheckPoint Firewall, МЭ российского производства «Пандора» и «Застава-Джет».

Пакет SAFEsuite Decisions состоит из нескольких взаимосвязанных компонентов:

- подсистемы SAFElink, обеспечивающей сбор данных от различных средств защиты и их запись в централизованную базу данных SAFEsuite Enterprise Database;

- базы данных SAFEsuite Enterprise Database для хранения данных, полученных от SAFElink (построена на основе СУБД Microsoft SQL Server);

- подсистемы SAFEsuite Decisions Report, которая даёт возможность обрабатывать, анализировать и обобщать информацию, хранящуюся в базе данных.

Decisions Report позволяет ранжировать риски системы защиты организации, идентифицировать нарушителей политики безопасности, выявлять тенденции, прогнозировать изменение уровня защищённости ресурсов организации и т. д.