Системы для анализа защищенности информационных систем

Анализ защищенности — это процесс проверки инфраструктуры организации на наличие возможных уязвимостей сетевого периметра, виртуальной инфраструктуры, вызванных в том числе ошибками конфигурации, а также программного обеспечения и исходного кода приложений. Другими словами, при анализе защищенности проверяется безопасность различных информационных систем, как внутренних, так и внешних.

Анализ защищенности проводится с целью определения незакрытых уязвимостей в инфраструктуре и поиска слабых мест, которые могут быть использованы злоумышленниками для получения доступа во внутреннюю сеть организации из интернета. Одной из причин такой проверки могут служить требования регуляторов (например, ФСТЭК России) по проведению анализа защищенности государственных информационных систем и систем персональных данных. Такой анализ должен быть проведен на момент формирования требований к защищенности инфраструктуры и выполняться периодически уже после проведения мероприятий по защите и использования сертифицированных средств защиты. 

Для анализа защищенности чаще всего используются сканеры защищенности, а также проводятся тесты на проникновение с привлечением сторонних специалистов.

Результатом работы сканеров защищенности являются подробные отчеты с описаниями найденных уязвимостей и возможных путей их устранения, что позволяет повысить уровень защищенности инфраструктуры организации. В то же время использование сканера защищенности предоставляет следующие преимущества:

• Определение возможных действий злоумышленников при их намерении осуществления несанкционированного доступа во внутреннюю сеть компании.
• Получение экспертной оценки эффективности применяемых мер по защищенности инфраструктуры.
• Контроль качества работ, проведенных в процессе внедрения программно-аппаратных средств, а также средств защиты информации.
• Получение экспертной оценки рисков в созданной инфраструктуре организации.
• Проверка разрабатываемых приложений на наличие уязвимостей.
• Повышение общего уровня защищенности собственной инфраструктуры.
• Проведение инвентаризации в процессе сканирования и получение полного списка доступных сервисов, протоколов и возможностей для осуществления несанкционированного доступа.

При этом при проверке сканеры защищенности способны выявлять уязвимости следующих объектов:

• Сетевого периметра и внутренних сетевые корпоративных ресурсов.
• Беспроводной инфраструктуры.
• Программного обеспечения.
• Интернет-приложений и веб-сайтов.
• Технологических сетей предприятия и АСУ ТП.

Сканеры защищенности могут работать в двух режимах:

Режим статического сканирования. Позволяет проводить пассивный анализ инфраструктуры. В данном случае проверка на наличие уязвимостей происходит по косвенным признакам — проверяются заголовки портов, обнаруженные на сетевых устройствах, после чего сравниваются с базой данных уязвимостей. В случае совпадения сканер защищенности сигнализирует о найденной уязвимости.

Режим динамического сканирования. Позволяет проводить активный анализ инфраструктуры. При таком режиме работы сканер уязвимостей действует как злоумышленник и имитирует атаки, проверяя реакцию системы. Исходя из возможностей этого режима, он является более медленным, однако считается более точным при выявлении уязвимостей.

Принцип работы сканеров уязвимостей заключается в последовательном прохождении следующих шагов:

1. Сбор данных об инфраструктуре.

2. Поиск потенциальных уязвимостей методом сканирования.

3. Подтверждение найденных уязвимостей динамическими методами.

4. Создание отчетов на основе результатов анализа.

5. Автоматические исправление найденных уязвимостей (при наличии данной функциональности у выбранного сканера защищенности).