Ряд компаний-производителей средств информационной безопасности относят сканеры уязвимостей к элементам системы обнаружения и предотвращение атак, однако, на наш взгляд, их следует выделить в отдельный раздел.
В свете огромного количества определений будем называть уязвимостью характеристику информационной системы, использование которой злоумышленником (которым может быть любой субъект сети) преднамеренно или непреднамеренно может привести к реализации угрозы.
Существуют различные классификации уязвимостей. Например, в [Лукацкий] уязвимости классифицируются как уязвимости проектирования, реализации, эксплуатации. Возможно, классифицировать их по сфере применения — сетевые, операционной системы, базы данных, приложения. Для обеспечения единого языка обсуждения уязвимостей среди профессионалов принят стандарт их обозначения Common Vulnerabilities and Exposures(CVE), ознакомиться с существующими идентифицированными уязвимостями и кандидатами в список можно на сайте http://cve.mitre.org/cve/.
Использовать тот или иной сканер означает определить, насколько уязвима информационная система, которая подвергается сканированию. Именно поэтому такие сканеры — это инструменты следующих категорий пользователей:
- специалистов по безопасности, которые хотят регулярно проверять уровень уязвимости (либо наоборот, защищенности) информационных систем своей организации;
- специалистов по сертификации информационных систем с точки зрения информационной безопасности;
- организаций, предоставляющих услуги по анализу защищенности информационных систем;
- злоумышленников, использующих сканеры поиска основы для реализации атаки.
Сами продукты могут быть свободно распространяемыми или коммерческими. Среди коммерческих продуктов можно найти продукты с бесплатным ограниченным сроком использования. Третий вариант — обратиться к компании, которая произведет однократное сканирование информационных систем организации за сумму гораздо меньшую, чем стоимость приобретения и поддержки сканера как собственности организации. Необходимо только учесть, что различные продукты могут работать на всевозможных операционных платформах и анализировать только ограниченный класс информационных систем.
Решение использовать или не использовать сканер зависит от задач и средств организации. Безусловно, применение сканеров полезно и способствует усилению информационной безопасности предприятия. Однако не следует ожидать от сканера гениальных технических решений и выработки сложных схем безопасности. Большинство рекомендаций, выданных в отчете, после анализа информационной системы, скорее всего, сведется к необходимости установки программной заплаты от производителя информационной системы. А, скажем, обнаружение установленного модема, возможно, будет проклассифицировано как серьезная угроза с предложением убрать данный модем, без учета необходимости его использования в организации и без дополнительных рекомендаций по усилению безопасности.
Кроме того, формирование баз уязвимостей, их тестирование и распространение производителем по заказчикам требует определенного времени, а, следовательно, всегда запаздывает по отношению к новым уязвимостям, обнаруженным злоумышленниками. Если, скажем, информация о новой уязвимости на он-лайн службах (таких как http://www.cert.org) появляется в течение нескольких дней, иногда даже часов, то обновление баз уязвимостей сканера может занять недели.
Тем не менее, полученный отчет обычно дает представление о статистике имеющихся уязвимостей по категориям (очень опасные, средние, мало опасные) и соответственно о необходимости мероприятий по усилению эффективности работ по информационной безопасности.
Следует также учесть, что некоторые операционные системы (Windows2000) уже несут в себе некоторую функциональность сканера. Скажем, анализ политики безопасности (Security Configuration and Analysis), выбранный для наиболее строгой политики (hisecdc.inf), выдаст отчет по обнаруженным уязвимостям в настройке операционной системы, весьма схожий с соответствующим отчетом сканера уязвимости.
В любом случае перед приобретением конкретной модели стоит получить у производителя временную или ограниченную копию для экспериментов.