Vulnerability Management

© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners 1/36
Сканеры
безопасности:
вчера, сегодня,
завтра
Алексей Лукацкий
Бизнес-консультант по безопасности

Cisco Confidential 2/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
О чем пойдет речь?
 Термины и определения
 Зрелость технологий
 Проблемы и сложности с классическими сканерами
 Поколения сканеров
Сетевые сканеры
Системы управления уязвимостями
Системы оценки состояния ИБ
 Что выбрать и на что обратить внимание?

Термины и
определения

Что такое уязвимость
 Слабость в процессе, управлении, технологии,
организационной структуре или ПО, которые могут
быть использованы для нанесения ущерба
 Свойство или характеристика информационной
системы, использование которой может привести к
нанесению ущерба

От анализа к управлению
Анализ
Что есть?
Оценка
Как влияет?
Аудит
А если
сравнить?
Мониторинг
Постоянный
аудит
Управление
Наладить
процесс
 Поиск уязвимостей – это всего лишь первая стадия
 Penetration test – это тоже всего лишь анализ
Сканеры безопасности
обычно этот Рубикон не
переходят!

Как говорить правильно
… но все зависит от интерпретации и принятой
практики
Момент во времени Процесс
Анализ
рисков
Оценка
рисков
Аудит рисков Мониторинг
рисков
рисками
Анализ
соответствия
Оценка
Аудит
соответствием
Анализ
уязвимостей
Оценка
Аудит
уязвимостями
Анализ
безопасности
Оценка
Аудит
безопасностью
Анализ
политики
Оценка
политики
Аудит
политики
политик
политиками

Зрелость
технологий

Модель зрелости
Система
оценки
состояния ИБ
Система
управления
Сетевой
сканер
• Тесная интеграция с
системой управления ИБ
• Интеграция с ИТ-
процессами
• Анализ рисков
• Управление
конфигурацией
• Compliance
• Централизованное
управление
• Поиск дыр
• Сканирование сети и ОС
• Standalone

Технологии управления уязвимостями
Появление интереса
к технологии, запуск
продукта
Неоправданные
ожидания
Интерес к технологии
пропадает
Глубокие исследования. Постепенное
понимание технологии, ее
преимуществ и рисков
Стабильная
технология
зрелость
Плато будет достигнуто:
Меньше чем за 2
года
От 2 до 5
лет
От 5 до 10 лет Больше чем 10 лет
Устареет еще
до плато
SIEM (information)
Threat
IntelligenceМетодология
SDLC Security
Анализ
поведения сети
Сканеры баз
данных
патчами
конфигурацией SEM
Managed Services
Агентские сканерыSIEM (Event)
VA
Managed Service
Интеграция с NAC
Пассивный
анализ сети
Сканеры
Web-приложений
Сканеры
исходных кодов
SIM Managed Service
IT/Security Policy
Management
Рейтинг риска
Автоматизированные
средства для pentest

Типы сканирования
• Высочайшая
эффективность (+)
• Сложность
внедрения (-)
• Отсутствие
влияния (+)
• Не все видно (-)
• Высокая
эффективность (+)
• Сложность
внедрения (-)
• Простота (+)
• Невысокая
эффективность (-)
Активное
(без
credential)
Активное
(с
credential)
АгентскоеПассивное

Рост сканирующих возможностей
Сканирующее ядро
Сеть
Узел (ПК,
сервер)
Мобильное
устройство
Сетевое
(router,
switch, Wi-
Fi…)
Средства
защиты
(FW, IPS,
IdM…)
ИТ-
(IP Phone,
SAN…)
Приложение
Простое
(Web,…)
Сложное
(ERP,…)
Бизнес-
логика
Вертикали-
зированное
(SCADA,…)
Средства
защиты
База
данных

Что сканируем дальше?..
 Пассивный контент
HTML…
 Активный контент
Java, ActiveX, ASP, PHP…
 Исходные коды
Интеграция в SDLC
 Процессы
 Что же дальше?..
Аппаратная составляющая, люди…

Какой тип сканера выбрать?
Сеть
Полный анализ
сетевого уровня
Инвентаризация
Ложные
срабатывания
Полоса
пропускания
Приложения
Прикладной
уровень
Связи с БД (для
Web)
Невидимость
других уровней
СУБД
Контроль
конфигурации
Этого не делают
другие
Только
популярные БД
Не тестируют
связку с
приложениями

Сложности и
проблемы с
«обычными»
сканерами

Тюнинг
 Снижение числа ложных срабатываний
Резервирующие методы проверки, разные механизмы
сканирования, «НИОКР»
 Защита от сбоя ОС, приложений и сети
Quality Assurance, Awareness
 Создание политик сканирования под свою
компанию
Гибкость настроек

Обновление
 Частота обновления
Gap между публикаций бюллетеняexploit и появлением
проверки
 Объем обновления
 Защита канала обновлений
 Способ обновлений
Как обновить сканер без доступа в Интернет?

Бизнес-ориентация
 «Понимание» рисков и ценности узлов
 Инвентаризация и классификация активов
 Поддержание базы активов (CMDB)
 «Понимание» топологии

Устранение уязвимостей
 Наиболее сложная задача
Без этого сканер не нужен!
 Приоритезация рекомендаций (в зависимости от
риска и ценности уязвимого актива)
В отличие от ориентации на саму уязвимость
 Поддержка Vulnerability Lifecycle
В зависимости от наличия патча, мы можем
порекомендовать его поставить, закрыть порт, изменить
настройки ОС/приложений…

Интеграция
 С внешними источниками
CVE (единое именование), CVSS (рейтинг)…
 С отдельными технологиями
IPS, Anomaly Detection, NAC, управление патчами и
конфигурацией и т.п.
 В комплексную систему управления ИБ
SIEM
 Service Desk
ИТ & ИБ, контроль & operations
 Vulnerability Management Lifecycle

Другие сложности и проблемы
 Спектр охвата устройств, приложений, ОС и БД
Особенно нестандартных или редких
IP Phone, POS-терминал, SAN…
 Корреляция
Один узел с разных сторон (изнутри и снаружи) выглядит
как один узел или как разные?
 Сетевые уязвимости – это еще не все
Compliance, контроль конфигурации…

Система
управления

5 основных технологий
Vulnerability
Management
Поиск
конфигурацией
Compliance
Оценка рисков
SIEM

Классификация требований
Лучшие практики по
настройке СЗИ (CIS,
NSA...)
Лучшие практики по
управлению ИБ (SAFE…)
Стандарты по управлению
ИБ (ISO 2700x, СТО ИББР,
PCI DSS…)
Стандарты по управлению
ИТ (ITIL, COBIT…)
Законы, указы,
постановления (ПД, КТ,
SOX, Базель II…)

Множество требований

Не увлекайтесь стандартами!
Впервые стали
говорить об атаках
Много
шума
Не так страшен черт,
как его малюют
Наработаны контрмеры Плато
продуктивности
технологии
зрелость
Сентябрь 2006
Плато будет достигнуто:
Меньше чем за 2
года
От 2 до 5
лет
От 5 до 10 лет Больше чем 10 лет
Устареет еще
до плато
RFID угрозы
Угрозы виртуализации
Атаки на SOA
Аутсорсинговые
угрозы Бот-сети
Zero-Day атаки
Бумажная безопасность
Фишинг
Атаки на мобильные устройства
Шпионское ПО
Атаки на P2P
Уязвимости Embedded ОС
Спам
DNS
атаки
Гибридные
черви
Кража identity
SOHO
уязвимости
VoIP угрозы
DoS-атаки
Социальный инжиниринг
Вирусы
WLAN
атаки
Web-атаки
Лучше
автоматизировать!

Compliance & цели применения
сканера
Законы («О персональных
данных и т.п.)
ИТ-стандарты (ITIL, COBIT)
ИБ-стандарты (ISO 27001,
ISO 13335, СТО ИББР)
Меры защиты (CIS, NSA,
SAFE)
 Управление уязвимостями
 Контроль «безопасной» конфигурации
 Контроль пользователей с привилегированным доступом
 Контроль «контролей» (controls)

Система оценки
состояния ИТ-

ИТ и ИБ: борьба или единство!?
ИТ
• Контроль конфигурации
• Контроль патчей
• Контроль приложений
• Контроль активов
ИБ
• Compliance
• Контроль конфигурации
• Поиск дыр
• Контроль активов

Vulnerability Management Lifecycle
• «Безопасная» конфигурация
• Требования регуляторов
• Эталон
• Сканирование «как
есть»
• Установка/внедрение ПО
• Установка патчей
• Блокирование порта/сервиса
• Изменение конфигурации
• NAC
• Процессный подход
• Внедрение в
ежедневный процесс
поддержки ИТ и ИБ
• Интеграция с SIEM
• Сервисы уведомлений
• Отклонения от эталона

Связь с оценкой рисков
 Понимание природы уязвимости
Удаленная/локальная, требуемый уровень доступа…
 Публичность уязвимостиэксплойта
 Возможность борьбы с уязвимостьюэксплойтом
 Ценность уязвимого актива для бизнеса
 Критичность уязвимости не должна зависеть только
от точки зрения производителя сканера
Пользователь должен иметь возможность изменить

В качестве
заключения

Сканер безопасности сегодня
 Трансляция политики ИБ компании в политику
управления уязвимости
 Проверка соответствия требованиям
 Инвентаризация и приоритезация активов
 Поддержка Vulnerability Management Lifecycle
 Высокое качество и аккуратность сканирования
 Широкий спектр поддерживаемых платформ
 Обеспечение взаимодействия ИТ, ИБ и ВнА/ВнК
 Генерация различных отчетов
 Гибкость!!!

Критерии выбора
 Зрелость технологии
 Не только дыры в сети и приложениях
 Наличие собственной исследовательской группы
 Централизованное управление
 Не только как продукт, но и как сервис
 От множества сканеров к одному
 Наличие сертификатов соответствия

Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410

Vulnerability Management

More Related Content

What's hot

Viewers also liked

Similar to Vulnerability Management

More from Aleksey Lukatskiy

Vulnerability Management