МНЕНИЯ

В конце сентября в российской прессе прошла информация о том, что в Гостехкомиссии России сертифицирована свободно распространяемая система анализа защищенности Nessus. С одной стороны, неплохо, что у российских пользователей появился бесплатный инструмент для поиска уязвимых мест в локальных сетях. Однако публикация откликов на это событие заставляет вернуться к достоинствам и недостаткам продукта.

Восстановим вкратце историю событий. 18 сентября на сервере компании Jet Infosystems (www.jet.msk.su) появилось сообщение, утверждающее, что “на сегодняшний день этот сканер (Nessus. - А. К.) является единственным сертифицированным продуктом в своем классе”. Однако это не совсем верно: продукт Internet Scanner компании Internet Security Systems получил сертификат Гостехкомиссии № 195 еще 2 сентября 1998 г. (т. е. двумя годами раньше).

19 сентября на сервере “РосБизнесКонсалтинга” (www.rbc.ru) был опубликован пресс-релиз о Nessus, в котором написано буквально следующее: “+этот сканер является первым сертифицированным свободно распространяемым продуктом и пока единственным в своем классе, получившим сертификат Гостехкомиссии при Президенте РФ на соответствие актуальной версии продукта заявленным техническим характеристикам”. Казалось бы, ничего некорректного в этой фразе нет. Если бы не одно обстоятельство.

В сертификате № 361 от 18 сентября 2000 г. ни слова не сказано о версии сертифицированного продукта, что само по себе является уникальным случаем. Номер версии Nessus (0.99.9) указан в технических условиях (ТУ) на данный сканер.

Но на момент выдачи сертификата текущей версией Nessus’а была 1.0.5, т. е. ни о какой актуальности речи и быть не может, так как версия 0.99.9 была выпущена еще 27 марта. За истекшие полгода сканер пополнился более чем сотней новых тестов на наличие уязвимых мест.

Можно говорить о том, что сертифицировались не тесты, написанные на языке NASL (Nessus Attack Scripting Language), а интерпретатор этих тестов. Тем не менее в этом случае также возникает ряд вопросов. Во-первых, основным компонентом любой системы анализа защищенности является база осуществляемых проверок (тестов). Чем полнее база и чем чаще она обновляется - тем эффективнее анализ защищенности узлов корпоративной сети.

Если этот момент не учтен - особого смысла в сертификации Nessus нет. Если же все-таки сертифицировались и все входящие в нее тесты, то нельзя говорить об актуальности продукта, указанного в сертификате, поскольку любой новый тест требует новой сертификации сканера.

Помимо этого хотелось бы остановиться на особенностях “бесплатных” продуктов, выполняющих функции защиты.

Приобретение программного обеспечения - это только первый шаг, за которым следуют и другие:

- установка и настройка ПО;

- регулярное осуществление проверок;

- обновление ПО и его компонентов (базы данных сигнатур уязвимых мест и атак и т. п.);

- техническое сопровождение ПО.

Не говоря уже о том, что у вас должны быть гарантии качества имеющегося ПО. А к системам защиты это требование относится вдвойне. Можно ли доверять безопасность своих ресурсов стоимостью в миллионы долларов программе, полученной даром?

Вернемся к термину “бесплатная”. Когда вы приобретаете коммерческую систему анализа защищенности, то в ее стоимость уже входит техническая поддержка со стороны производителя.

Для свободно распространяемых продуктов это не так. Необходимо найти компанию, которая согласится поддерживать вашу систему. Например, фирма Nessus Consulting берет за свои услуги по поддержке и обновлению сканера Nessus 6500 евро в год. Однако, в отличие от поставщиков коммерческих систем, в случае поддержки “бесплатной” программы вам не будет гарантировано ее качество.

База данных сигнатур атак и уязвимых мест - сердце любой системы анализа защищенности или обнаружения атак (как коммерческой, так и бесплатной).

Обновление этой базы и есть основной фактор, на который стоит обращать внимание при выборе системы защиты. Ни одна бесплатная система не обеспечивает гарантий, что вы будете получать обновления базы сигнатур. И хотя большинство свободно распространяемых продуктов достаточно своевременно обновляется, нет никакой уверенности, что так будет всегда.

Более того, никто не гарантирует, что система написана корректно и не содержит ошибок. Ведь любой производитель имеет группу контроля качества (Quality Assurance), которая проводит множество тестов, прежде чем выпустить продукт в продажу. У бесплатных систем такого контроля нет. Пользователи на свой страх и риск должны проводить такое тестирование собственными силами или обходиться вообще без него.

Если обратиться непосредственно к системам анализа защищенности и обнаружения атак, то все они предоставляют возможность самостоятельного написания сигнатур уязвимых мест и атак. На первый взгляд, это уникальная возможность. Тем не менее, как показывает статистика, огромный потенциал, заложенный в большинство “бесплатных” систем анализа защищенности и обнаружения атак, не используется. Опрос, проведенный на сервере WhiteHats (www.whitehats.com), показал:

- 52,31% пользователей систем анализа защищенности и обнаружения атак не знают, как создавать свои собственные сигнатуры;

- 34,23% пользователей вообще не имеют понятия, что в Интернете существуют серверы, содержащие свободно доступные базы данных сигнатур.

Следовательно, половина пользователей никогда не применяют имеющиеся у них возможности. И для них основным критерием оценки качества продукта становится своевременность обновления базы данных сигнатур со стороны производителя (поставщика). А на этом поле бесплатные системы пока проигрывают коммерческим. Nessus на момент написания статьи имел в своей базе чуть более 500 проверок, а Internet Scanner - 789. При этом вы можете использовать многие проверки для Nessus’а в системе Internet Scanner, но не наоборот.

У бесплатных систем защиты есть своя ниша. Во-первых, это вузы, у которых нет средств на приобретение дорогостоящих средств защиты. Во-вторых, это Интернет-провайдеры, имеющие в своем штате достаточно квалифицированных администраторов, располагающих свободным временем для написания соответствующих сигнатур. Но в первую очередь они идеально подойдут компаниям, не желающим тратиться на приобретение коммерческих систем защиты.

С автором статьи можно связаться по адресу: akiviristi@mail.ru.