Разница в реализации Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и не нахождения - в случае другого.
Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах.
Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах.
Перспективы развития С 1992 года, когда появился первый сканер SATAN, существенно изменились и требования к ним. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей:
1. Автоматическое обновление уязвимостей. До недавнего времени пополнение сканера новыми уязвимостями проводится достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии ПО.
Сейчас ситуация меняется. В некоторых системах существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей.
2. Единый формат базы уязвимостей. В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST разработала проект такой базы данных.
3. Языки описания уязвимостей и проверок. Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq, CERT Advisories, SecurityFcus и т.д. Эта возможность позволяет быстро записать новое правило и использовать его в своей сети.
Анализ изменений уровня защищенности корпоративной сети – создаются отчеты, в которых сравнивается состояния защищенности выделенных участков сети в заданные интервалы времени, что позволяет определить увеличивается или уменьшается уровень защищенности корпоративной сети после реализации соответствующих мер защиты.
Вся собранная информация о защищенности ресурсов корпоративной сети защищается от несанкционированного ознакомления и изменения. Кроме того, применяемые механизмы защиты не позволяют несанкционированно использовать систему для обнаружения уязвимостей на узлах «чужой» сети.
Заключение Использовать такого рода средства надо. Необходимо еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.
Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.