СОИБ. Обзор результатов анализа защищенности

В одной из предыдущих статей я говорил о популярности сканеров защищенности и о типовых ролях, используемых при эксплуатации сканеров защищенности. В этот раз хочу поговорить о пользе от сканеров защищенности, точнее, от комплексных систем (кроме поиска уязвимостей умеют выполнять ещё и анализ соответствия хотя бы каким-то требованиям) анализа защищенности общего назначения (не ограниченных каким-то одним сервисом - web, db, sap и т.п.).

Каждый производитель имеет собственную табличку по детальному сравнению функциональных возможностей своих продуктов с аналогами. Как правило, сравнения эти делаются для внутреннего использования и публикации не подлежат. Не хочется повторяться и делать свое сравнение функций с нуля только для блога. Тем более что вокруг выбора функций и каждой оценки можно вести бесконечные споры. Но какой-то обзор систем нужен?!  Давайте посмотрим на отчеты систем анализа защищенности – ведь они и являются основным результатом работы этих систем. В рамках данной статьи будут рассматриваться только отчеты по конкретному узлу. Сводные, дифференциальные, динамические и т.п. пока оставляю за бортом.

В данной статье будут рассматриваться следующие системы:
·        MaxPatrol производства Positive Technologies 


·        OUTSCAN и HIAB производства Outpost24



·        QualysGuard производства Qualys




В дальнейшем планирую дополнить отчетами SecurityCenter производства Tenable Network Security.

Для начала посмотрим на сводную информацию, которую дают сканеры об узле


Далее можем изучить перечень уязвимых сервисов и уязвимостей в них. MaxPatrol группирует уязвимости по сервисам – и это удобно. Outpost24 и Qualys дают списком



Далее посмотрим что нам говорят сканеры в случае отсутствия обновлений безопасности.  Все считают показатель CVSS. Но Qualys в этот раз не смог. По рекомендациям вроде всё корректно. Идем на сайт производителя и загружаем обновления.

Посмотрим что нам дают сканеры при обнаружении некорректных настроек например в SSL. У MaxPatrol как то не хватает информации, в чем конкретно проблема и как исправить чтобы было хорошо? У остальных чуть больше информации



Теперь посмотрим ,что нам показывают при обнаружении XSS. MP – всё понятно написано. O24 – приводит четкие примеры - доказательства, так что тоже понятно где исправлять.


Далее SQL injection. Тут MP остался в одиночестве и выдает подробное и понятное описание уязвимости.




На сегодня это всё. Надеюсь вам будет полезна эта информация  и вы тоже полюбите сканеры защищенности. Всем спасибо за внимание.



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...