Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Narzędzia do testowania podatności

Data publikacji: 04-03-2021 Autor: Piotr Maziakowski

Powszechne występowanie luk i błędów w zabezpieczeniach systemów i aplikacji powoduje, że kluczowe staje się korzystanie z narzędzi do testowania słabości w zabezpieczeniach. Wraz ze stale zwiększającą się liczbą dostępnych skanerów administratorzy mogą mieć problem z wyborem narzędzia, które będzie dostosowane do ich potrzeb.

 

Wdrożenie zabezpieczeń aplikacji nie może być traktowane zero-jedynkowo. Zabezpieczenia mają różną skuteczność, zależną często od właściwej implementacji. Administratorzy powinni zastosowane zabezpieczenia traktować jako sposób na zarządzanie ryzykiem, gdzie wdrożenie kolejnych zabezpieczeń będzie obniżać poziom ryzyka naruszenia bezpieczeństwa aplikacji poprzez eliminację kolejnych podatności. Stąd też testowanie aplikacji będzie jednym ze sposobów na obniżenie ryzyka włamania do aplikacji, oceną skuteczności wdrożonych zabezpieczeń, a także punktem wyjścia do podjęcia kolejnych kroków w celu wyeliminowania zagrożeń. Warto pamiętać, że nigdy całkowicie nie wyeliminujemy możliwości naruszenia bezpieczeństwa aplikacji i systemów, ale podjęcie działań powinno doprowadzić przynajmniej do osiągnięcia akceptowalnego poziomu ryzyka naruszenia zabezpieczeń.


Co ważne, sprawcy naruszeń również korzystają ze skutecznych narzędzi, a nowe luki w zabezpieczeniach są stale odkrywane. Stąd i administratorzy odpowiedzialni za zabezpieczenia powinni w sposób ciągły doskonalić metody oceny aplikacji oraz starać się dotrzymać kroku hakerom, a wręcz ich uprzedzać. Oceniliśmy wybrane narzędzia do testowania podatności oraz przeanalizowaliśmy funkcje i możliwości każdego z nich. Nasz wybór padł na cztery popularne skanery podatności:

 

  • OpenVAS – w pełni funkcjonalny opensource’owy skaner luk w zabezpieczeniach opracowany i utrzymywany przez Greenbone Networks. Wśród wielu możliwości OpenVAS-a można wskazać testy uwierzytelnione i nieuwierzytelnione czy wysokopoziomowe i niskopoziomowe badanie protokołów internetowych. OpenVAS umożliwia dopasowywanie wydajności na potrzeby skanów na dużą skalę. Użytkownicy mogą korzystać z wewnętrznego języka programowania, dostosowując skaner do potrzeb implementacji każdego rodzaju testu podatności. Możliwości skanowania obejmują ponad 50 tys. testów luk w zabezpieczeniach. Oprogramowanie można zainstalować po samodzielnej kompilacji źródeł lub skorzystać z gotowej maszyny wirtualnej z łatwo dostępną konfiguracją.
  • Nessus – skaner podatności firmy Tenable umożliwia między innymi wykrywanie wrażliwych danych, analizę luk w zabezpieczeniach, przeprowadzenie audytu konfiguracji oraz ocenę dostępnych zasobów. Skanery Nessus są aktualizowane na bieżąco, a zaimplementowany język skryptowy pozwala na przygotowanie niestandardowych wtyczek. Z bezpłatnej licencji mogą korzystać użytkownicy domowi, natomiast do zastosowań komercyjnych wymagana jest opłata roczna za licencję Professional.
  • Netsparker – skaner bezpieczeństwa aplikacji internetowych firmy Netsparker. Automatycznie po zidentyfikowaniu luki w zabezpieczeniach generuje dowody na możliwe wykorzystanie, czym potwierdza, że wykrycie słabości w zabezpieczeniach nie jest fałszywym alarmem. Skaner został wyposażony w narzędzie umożliwiające projektowanie niestandardowych raportów. Funkcjonalność skanera obejmuje dostrojenie strategii skanowania dzięki możliwości oprogramowania narzędzi.
  • Qualys Cloud Platform – zestaw narzędzi zabezpieczających firmy Qualys opartych na infrastrukturze chmurowej. Główne funkcje to skanowanie aplikacji internetowych, inwentaryzacja zasobów, zarządzanie lukami w zabezpieczeniach, ciągłe monitorowanie czy ocena konfiguracji zabezpieczeń. Skaner dostępny jest również w wersji bezpłatnej (Community Edition), która umożliwia skanowanie komputerów i aplikacji zarówno w sieci lokalnej, jak i w internecie.


Każdego roku ujawniane są dziesiątki tysięcy luk w zabezpieczeniach systemów i aplikacji wykorzystywanych w biznesie. Według raportu „Tenable’s 2020 Threat Landscape Retrospective” jednymi z najczęściej identyfikowanych luk w zabezpieczeniach wykorzystanych w 2020 r. były te w implementacjach VPN. Poprawki dla nich zostały wydane w 2019 r., a mimo to nadal są aktywnie wykorzystywane przez atakujących. Zwłaszcza że pandemia i wynikające z niej przejście na pracę zdalną spowodowało zwiększone wykorzystanie połączeń VPN do sieci firmowych z użyciem routerów SOHO, których nikt nie aktualizuje, a funkcje bezpieczeństwa albo pominięto, albo znacznie odbiegają od standardów firmowych. Ponadto upowszechnienie telepracy spowodowało wzrost ilości przesyłanych informacji z wykorzystaniem poczty e-mail, komunikatorów, a także przełożyło się na większe wykorzystanie sesji pulpitu zdalnego. Według wyszukiwarki Shodan do internetu podłączonych jest ponad 4,5 mln systemów z otwartym dostępem do TCP Remote Desktop na porcie 3389. Protokół RDP jest obecnie jednym z najbardziej popularnych wektorów ataku. Kolejny znaczący wzrost zagrożeń odnotowywany jest od kilku lat w obszarze usług cloudowych. Z raportu Tenable dowiadujemy się również o wykorzystaniu na dużą skalę podatności w systemach sektora publicznego. Twórcy raportu wskazują, że ponad 46% naruszeń w sektorze służby zdrowia było spowodowanych atakami ransomware, inne główne przyczyny naruszeń w opiece zdrowotnej obejmowały naruszenie zabezpieczeń poczty elektronicznej (24,6%), zagrożenia wewnętrzne (7,3%) i błędne konfiguracje aplikacji (5,6%). Te statystyki wskazują, że nie wszystkie organizacje wykazują odpowiednie podejście do testowania podatności w swoich systemach, przez co mogą być narażone na cyberataki, a tym samym na straty zarówno finansowe, jak i wizerunkowe.


Zapewnienie odpowiedniego poziomu bezpieczeństwa dla aplikacji niewątpliwie wymaga wykorzystania takich narzędzi, które zagwarantują wykrywanie znanych luk w zabezpieczeniach, podatności pozwalających na ataki SQL injection, poprawności danych wejściowych, możliwości przepełnienia bufora, wykonywania skryptów pomiędzy witrynami, niepoprawnego zarządzania hasłami, list ACL czy weryfikację uprawnień. Wdrożenie narzędzi wyszukujących podatności aplikacji i systemów bardzo często nie wymaga ogromnych inwestycji czasu i zasobów. Tym, na co powinniśmy zwrócić najwięcej uwagi, jest przede wszystkim takie dostrojenie narzędzi, aby zminimalizować fałszywe alarmy. Należy też zapewnić organizacji odpowiednich specjalistów, którzy będą w stanie zarządzać wynikami oraz podejmować słuszne decyzje na podstawie otrzymywanych raportów. Przyjrzyjmy się zatem bliżej specyfice oraz zaletom i wadom wybranych rozwiązań.

 

[...]

 

Autor jest od 2004 roku związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"