logo
125 Кібербезпека / 4 Курс / 4

Принципи роботи систем аналізу захищеності

Для розуміння принципів роботи систем аналізу захищеності необхідно позначити деякі терміни та визначення. Ключове поняття даного заняття - це "вразливість". Під вразливістю захисту ОС розуміється така її властивість (недолік), яке може бути використане зловмисником для здійснення несанкціонованого доступу (НСД) до інформації. Системи аналізу захищеності здатні виявляти уразливості в мережевій інфраструктурі, аналізувати і видавати рекомендації щодо їх усунення, а також створювати різного роду звіти. До типових вразливостям можна віднести:

• відсутність оновлень системи безпеки ОС;

• неправильні налаштування систем безпеки ОС;

• невідповідні паролі;

• сприйнятливість до проникнення із зовнішніх систем;

• програмні закладки;

• неправильні настройки системного і прикладного ПЗ, встановленого на ОС.

Більшість систем аналізу захищеності (XSpider, Internet Scanner, LanGuard, Nessus) виявляють уразливості не тільки в операційних системах, але і в найбільш поширеному прикладному ПЗ. Існують два основні підходи, за допомогою яких системи аналізу захищеності виявляють уразливості: сканування і зондування. Через першого підходу системи аналізу захищеності ще називають "сканерами безпеки" або просто "сканерами".

При скануванні система аналізу захищеності намагається визначити наявність уразливості за непрямими ознаками, тобто без фактичного підтвердження її наявності - це пасивний аналіз. Даний підхід є найбільш швидким і простим у реалізації. При зондуванні система аналізу захищеності імітує ту атаку, яка використовує перевіряється уразливість, тобто відбувається активний аналіз. Даний підхід повільніше сканування, але дозволяє переконатися, присутній чи ні на аналізованому комп'ютері уразливість.

На практиці ці два підходи реалізуються в сканерах безпеки через такі методи перевірки [[48]]:

1. Перевірка заголовків (Banner check);

2. Активні зондувальні перевірки (Active probing check);

3. Імітація атак (Exploit check).

Перший метод заснований на підході "сканування" і дозволяє робити висновок про вразливості, спираючись на інформацію в заголовку відповіді на запит сканера безпеки. Прикладом такої перевірки може бути аналіз заголовків поштової програми Sendmail, в результаті якого можна дізнатися її версію і зробити висновок про наявність в ній уразливості.

Активні зондувальні перевірки також засновані на підході "сканування". Даний метод порівнює фрагменти сканованого програмного забезпечення з сигнатурою відомої вразливості, що зберігається в базі даних системи аналізу захищеності. Різновидами цього методу є, наприклад, перевірки контрольних сум або дати сканованого програмного забезпечення.

Метод імітації атак заснований на використанні різних дефектів у програмному забезпеченні та реалізує підхід зондування. Існують уразливості, які не можуть бути виявлені без блокування чи порушення функціонування сервісів операційної системи в процесі сканування. При скануванні критичних серверів корпоративної мережі небажано застосування даного методу, оскільки він може вивести їх з ладу - і в такому випадку сканер безпеки успішно реалізує атаку "Denial of service" (відмова в обслуговуванні). Тому в більшості систем аналізу захищеності за замовчуванням такі перевірки, засновані на імітації атак, вимкнені. При їх включенні в процес сканування зазвичай видається попереджувальне повідомлення.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) - вільно поширюване засіб аналізу захищеності операційних систем Windows і ряду програмних продуктів компанії Microsoft (Internet Information Services, SQL Server, Internet Explorer та ін.) Термін "Baseline" в назві MBSA слід розуміти як деякий еталонний рівень, при якому безпека ОС можна вважати задовільною. MBSA дозволяє сканувати комп'ютери під управлінням операційних систем Windows на предмет виявлення основних вразливостей і наявності рекомендованих до установки оновлень системи безпеки. Критично важливо знати, які оновлення встановлені, а які ще слід встановити на вашій ОС. MBSA забезпечує подібну перевірку, звертаючись до постійно поповнюється Microsoft базі даних у форматі XML, яка містить інформацію про оновлення, випущених для кожного з програмних продуктів Microsoft. Працювати з програмою MBSA можна через графічний інтерфейс і командний рядок. На даному занятті буде розглянуто тільки перший варіант роботи.

Інтерфейс MBSA виконаний на основі браузера Internet Explorer. Головне вікно програми розбито на дві області. Так як сеанс роботи з MBSA налаштовується за допомогою майстра, то в лівій області представлені кроки майстра, а в правій - основне вікно з описом дій кожного кроку.

Головне вікно програми Microsoft Baseline Security Analyzer 2.0

На першому кроці "Welcome" необхідно вибрати одну з дій:

• Сканувати даний комп'ютер (Scan a computer);

• Сканувати декілька комп'ютерів (Scan more than one computer);

• Переглянути існуючі звіти, зроблені MBSA раніше (View existing security reports).

При першому запуску MBSA необхідно вибрати перший або другий варіант. На наступному кроці майстра в основному вікні потрібно задати параметри сканування комп'ютера(ів) під управлінням ОС Windows (рис. 6.3). Можна ввести ім'я або IP-адресу сканованого комп'ютера (за умовчанням вибирається комп'ютер, на якому був запущений MBSA).

Користувач, що запустив MBSA, повинен мати права адміністратора даного комп'ютера або входити до групи адміністраторів системи. У разі сканування декількох комп'ютерів користувач повинен мати права адміністратора на кожному з комп'ютерів, а краще - правами адміністратора домену.

Вибір комп'ютера і параметрів сканування в програмі MBSA 2.0

Вибравши комп'ютер (и) для сканування, необхідно задати параметри сканування:

• перевірка ОС Windows;

• перевірка паролів;

• перевірка служб IIS;

• перевірка сервера SQL;

• перевірка встановлених оновлень безпеки.

Більш детальну інформацію про перевірки MBSA можна отримати на офіційному сайті Microsoft. Наприклад, коли задана опція "перевірка паролів", MBSA перевіряє на комп'ютері облікові записи локальних користувачів, які використовують порожні або прості паролі (ця перевірка не виконується на серверах, які виступають в ролі контролерів домену) з наступних комбінацій:

• пароль порожній;

• пароль збігається з ім'ям облікового запису користувача;

• пароль збігається з ім'ям комп'ютера;

• паролем служить слово "password";

• паролем слугують слова "admin" або "administrator".

Дана перевірка також виводить повідомлення про заблокованих облікових записах.

Після того як всі опції будуть задані, необхідно натиснути на посилання внизу "Start scan". При першому скануванні MBSA необхідне підключення до Інтернету, щоб завантажити з сайту Microsoft Download Center (http://www.microsoft.com/downloads) XML-файл, що містить поточну довідкову базу вразливостей. MBSA спочатку викачує цей файл у архівувати cab-файлі, потім, перевіривши його підпис, розархівуйте його на комп'ютер, з якого буде запускатися.

Можлива також робота MBSA без підключення до Інтернету в автономному режимі. Для цього потрібно завантажити вище описаний файл і розмістити у відповідному каталозі.

Після того як cab-файл буде розархівувати, MBSA почне сканувати заданий комп'ютер (и) на предмет визначення операційної системи, наборів оновлень і використовуваних програм. Потім MBSA аналізує XML-файл і визначає оновлення системи безпеки, які доступні для встановленого ПЗ. Для того щоб MBSA визначив, яке оновлення встановлено на сканованого комп'ютері, йому необхідно знати три пункти: ключ реєстру, версію файлу і контрольну суму для кожного файлу, встановленого з оновленням.

У разі якщо будь-які дані на сканованого комп'ютері не співпадуть з відповідними пунктами в XML-файлі, MBSA визначить відповідне оновлення як відсутнє, що буде відображено в підсумковому звіті.

Після сканування єдиного комп'ютера MBSA автоматично запустить вікно "View security report" і відобразить результати сканування. Якщо було виконано сканування декількох комп'ютерів, то слід вибрати режим "Pick a security report to view", щоб побачити результати сканування. Створюваний MBSA звіт розбивається на п'ять секцій:

• Security Update Scan Results,

• Windows Scan Results,

• Internet Information Services (IIS) Scan Results,

• SQL Server Scan Results,

• Desktop Application Scan Results.

Деякі секції розбиваються ще на розділи, присвячені певним проблемам безпеки комп'ютера, і надають системну інформацію по кожній з перевірок, зазначених в таблиці 6.1. Опис кожної перевірки операційної системи відображається у звіті разом з інструкцією по усуненню виявлених вразливостей.