Page 16 - TEHSOVET premium #2-2019
P. 16
2019 февраль
ТЕХСОВЕТ премиум
Автоматизация и IT
Выявляем уязвимости
в защите информационных систем
Одной из актуальных проблем обеспечения защищенности информа-
ционных систем, сетевых узлов или инфраструктуры организации яв-
ляется поиск и закрытие уязвимостей в системе защиты информации.
Это связано с тем, что взлом или хищение с искажением информации,
а также любое вмешательство нелегитимному лицу в информационные
системы, в которых хранится или обрабатывается ценная конфиденци-
альная информация, могут потянуть за собой множество серьезных не-
гативных последствий или финансовых потерь.
Уязвимости представляют собой сла- ASP.NET с использованием коммерче- ганизации, имеющие свои серверы, на
бости системы защиты, связанные с ак- ских CMS. Это в очередной раз говорит которых обрабатываются различные
тивами организации. Эти слабости мо- о том, что в случае с информационной WEB-приложения или внутренняя кон-
гут использоваться злоумышленником безопасностью сайта или WEB-прило- фиденциальная информация, использу-
и стать причиной масштабных послед- жения лучше заплатить немного боль- ют специализированное аппаратное или
ствий. Из этого можно сделать вывод, ше, но быть уверенным в защищенности программное средство, сканирующее
что уязвимость сама по себе не наносит своего продукта. сеть и устройства, входящие в эту сеть,
ущерб, а является условием или набором Продолжая цикл этих статьей, в на предмет обнаружения слабых мест в
условий, которые позволяют злоумыш- дальнейшем мы расскажем, как именно системе безопасности, они же и уязви-
леннику причинить ущерб активам ор- можно защититься разработчику или мости. Данное решение в области защи-
ганизации. заказчику разработки кода, чтобы быть ты информации называется сканером
уверенным в качестве и безопасности уязвимостей.
Отдельно можно сказать о суще-
14 Откуда они берутся, конкретного ПО. В этой статье мы хотим ствующем формальном и общественно
рассказать, как именно противостоять
и как с этим бороться? атакам на эксплуатацию уязвимостей принятом порядке выявления и фикса-
Зачастую уязвимости в системах организациям, не занимающимся разра- ции уязвимостей. В данной статье мы
защиты информации возникают из-за боткой, но, тем не менее, использующим не будем углубляться в тонкости про-
существования таких факторов, как в своих процессах ИТ технологии. цесса, только отметим, что существует
«баги» или «бреши» в программном обе- Для того, чтобы не быть заложником два основных мировых стандарта в этой
спечении или в аппаратной платформе, тех уязвимостей, которые в дальнейшем области – CVE и CVSS. CVE представля-
оставленные разработчиками случайно могут быть использованы для атаки ет собой унифицированную описатель-
(в редких случаях специально). Причи- злоумышленником, необходимо посто- ную модель для каждой уязвимости. Все
ной появления такого рода уязвимостей янно анализировать инфраструктуру уязвимости попадают в специальную
может являться как в целом не верно вы- на их наличие, регулярно проводить базу данных после верификации специ-
строенный процесс разработки и тести- инвентаризацию ресурсов, следить за алистами. Подробнее – cve.mitre.org.
рования кода, так и банальная спешка обновлениями операционных систем и CVSS представляет собой унифициро-
с выпуском релиза. В дальнейшем зло- другого программного обеспечения, мо- ванную описательную модель опасно-
умышленником будут найдены эти уяз- ниторить работоспособность безопас- сти каждой из уязвимостей. Ее исполь-
вимости и написан эксплойт. ности сетевых устройств. Источниками зование помогает автоматизировать
Как пример, можно рассмотреть уяз- таких данных могут быть сайты вендо- процессы оценки рисков при выявлении
вимости интернет-сайтов. Согласно ис- ров – производителей операционных си- уязвимостей. Тем не менее, компании,
следованию Positive Tehnologies, самыми стем и программного обеспечения или работающие в этой области, могут на
уязвимыми сайтами считаются те, кото- специализированные ресурсы, разме- свое усмотрение как определять нали-
рые были написаны на PHP с использо- щающие информацию о выявлении тех чие самой по себе бреши, так и давать ее
ванием собственного движка, а более или иных уязвимостей. По полученным экспертную оценку.
защищенными являются сайты на Java/ данным необходимо проанализировать
инфраструктуру на соответствие и за- На помощь придет сканер!
крыть (пропатчить) уязвимые системы. Сканер уязвимостей сети в основ-
Однако, если организация имеет ном использует два принципиальных
достаточно большой и мультивендор- подхода для выявления уязвимостей.
ный парк ИТ технологий, такой под- Первый – так называемый black box
ход реализации процесса становится scanning. В данном режиме сервисы
колоссально трудоемким. Тогда на по- сканирования осуществляют монотон-
мощь приходят специализированные ный последовательный анализ проб на
утилиты, автоматизирующие данный всех (хотя обычно список портов все
процесс. Практически все крупные ор- же ограничивается настройками) воз-
