Возможности средств анализа защищенности

Выше уже г оворилось о том, что перед администраторами безопасности возникает задача проверки соответствия используемых механизмов защиты (а также эффективности их работы) принятой в организации политики безопасности. И гакая задача будет периодически возникать при изменении, обновлении компонентов информационной системы, изменениях в конфигурации ПО и т.п. Однако администраторы часто нс имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ эффективности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканерами безопасности. Использование этих средств поможет определить уязвимость узлов корпоративной сети и устранить их до того, как ими воспользуются злоумышленники.

К основным возможностям средств анализа защищенности следует отнести:

  • • выявление уязвимостей различными методами;
  • • наличие базы данных уязвимостей с возможностью обновления;
  • • наличие механизма создания (или подключения) собственных проверок;
  • • формирование отчетов с детальным описанием проблемы и вариантами устранения;
  • • идентификация устройств сети.

Классификация средств анализа защищенности

Рассмотрим классификацию по причинам возникновения уязвимостей и средства поиска уязвимостей проектирования.

Уязвимости проектирования - это наиболее серьезный тип уязвимостей. Такие уязвимости обнаруживаются и устраняются с большим трудом. При поиске уязвимостей данного типа используются два подхода:

  • • анализ алгоритма программно-аппаратного обеспечения;
  • • анализ проекта системы.

Примером первого подхода может служить система Prototype Verification System (PVS), разработанная в Computers Science Laboratory института SRI.

Второй подход реализован, например, в системе CRAMM (ССТА Risk Analysis and Management Technology).

Средства поиска уязвимостей реализации

Уязвимости реализации - это, например, ошибки, допущенные на этапе написания кода. Здесь тоже можно выделить два подхода:

  • • анализ на основе исходного текста;
  • • анализ на основе исполняемого файла.

Первый подход подразумевает синтаксический, семантический анализ исходного текста, анализ конструкций, попытки построения алгоритма по исходному тексту. Примером может служить система SLINT (www.lopht.com), выполняющая анализ исходных текстов на языках С и C++.

Второй подход основан на анализе характеристик исполняемого файла (размера, даты модификации), на дизассемблировании, имитации атак и т.п. Поскольку ПО в большинстве случаев поставляется без исходных текстов, данный подход более распространен. Далее рассматриваются различные варианты анализа исполняемого файла.

Анализ атрибутов файла. Данный метод основан на простом сравнении размера, даты или каких-либо других признаков файла с имеющимися в базе данных уязвимостей. На основании результатов сравнения делается вывод о наличии или отсутствии уязвимости. Например, проверки такого рода выполняет System Scanner.

Анализ процесса выполнении файла. Данный подход основан на встраивании в определенные участки анализируемой программы специального кода, который проверяет:

  • • корректность выполнения операций с памятью;
  • • корректность работы с указателями;
  • • вызов функций.

В качестве примера можно привести системы BoundsCheckcrPro и HeapAgent.

Анализ при помощи внешних воздействий (тестов). Метод предполагает изучение поведения программы при помощи подачи на вход различных значений переменных. Чаще всего это граничные или маловероятные значения, которые могут создать условия, приводящие к переполнению буфера, выходу за границы массива и т.д.

Дисассемблирование и анализ полученною кода. Этот метод предполагает использование методов, основанных на анализе исходного текста.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >