Documentație11.2.1. Evaluarea vulnerabilității
A vulnerabilitate este considerată o slăbiciune care ar putea fi folosită într-un fel pentru a compromite confidențialitatea, integritatea sau disponibilitatea unui sistem informațional. Într-o evaluare a vulnerabilităților, obiectivul dvs. este să creați un inventar simplu al vulnerabilităților descoperite în cadrul mediul țintă. Acest concept de mediu țintă este extrem de important. Trebuie să vă asigurați că rămâneți în domeniul de aplicare al rețelei țintă a clientului dvs. și al obiectivelor solicitate. Trecerea în afara sferei de aplicare a unei evaluări poate cauza o întrerupere a serviciului, o încălcare a încrederii față de clientul dvs. sau acțiuni legale împotriva dvs. și a angajatorului dvs.
Datorită simplității sale relative, un test de vulnerabilitate este adesea finalizat în medii mai mature în mod regulat, ca parte a demonstrarii diligenței lor. În cele mai multe cazuri, un instrument automat, cum ar fi cele din Analiza vulnerabilităților7 și aplicații web8 categoriile site-ului Kali Tools și meniul Kali desktop Applications, este folosit pentru a descoperi sisteme live într-un mediu țintă, pentru a identifica serviciile de ascultare și a le enumera pentru a descoperi cât mai multe informații posibil, cum ar fi software-ul serverului, versiunea, platforma și așa mai departe .
Aceste informații sunt apoi verificate pentru semnături cunoscute ale potențialelor probleme sau vulnerabilități. Aceste semnături sunt alcătuite din combinații de puncte de date care sunt menite să reprezinte probleme cunoscute. Sunt utilizate mai multe puncte de date, deoarece cu cât utilizați mai multe puncte de date, cu atât identificarea este mai precisă. Există un număr foarte mare de puncte de date potențiale, inclusiv, dar fără a se limita la:
• Versiunea sistemului de operare: nu este neobișnuit ca software-ul să fie vulnerabil pe o versiune de sistem de operare, dar nu și pe alta. Din acest motiv, scanerul va încerca să determine, cât mai precis posibil, ce versiune de sistem de operare găzduiește aplicația vizată.
• Patch Level: De multe ori, patch-uri pentru un sistem de operare vor fi lansate care nu măresc informațiile despre versiune, dar schimbă totuși modul în care o vulnerabilitate va răspunde sau chiar elimină vulnerabilitatea în întregime.
• Arhitectura procesorului: Multe aplicații software sunt disponibile pentru arhitecturi de procesoare multiple, cum ar fi Intel x86, Intel x64, versiuni multiple de ARM, UltraSPARC și așa mai departe.
5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications
În unele cazuri, o vulnerabilitate va exista doar pe o anumită arhitectură, așa că cunoașterea acestui bit de informații poate fi critică pentru o semnătură precisă.
• Versiunea software: Versiunea software-ului vizat este unul dintre elementele de bază care trebuie capturate pentru a identifica o vulnerabilitate.
Acestea și multe alte puncte de date vor fi folosite pentru a alcătui o semnătură ca parte a unei scanări a vulnerabilităților. După cum era de așteptat, cu cât se potrivesc mai multe puncte de date, cu atât semnătura va fi mai precisă. Când aveți de-a face cu potrivirile semnăturilor, puteți avea câteva rezultate potențiale diferite:
• Adevărat pozitiv: semnătura este potrivită și surprinde o adevărată vulnerabilitate. Aceste rezultate sunt cele pe care va trebui să le urmăriți și să le corectați, deoarece acestea sunt elementele de care persoanele rău intenționate le pot profita pentru a dăuna organizației dvs. (sau clientului dvs.).
• Fals Pozitiv: Semnătura este potrivită; totuși problema detectată nu este o adevărată vulnerabilitate. Într-o evaluare, acestea sunt adesea considerate zgomote și pot fi destul de frustrante. Nu doriți niciodată să respingeți un pozitiv adevărat ca un pozitiv fals fără o validare mai extinsă.
• Adevărat negativ: semnătura nu se potrivește și nu există nicio vulnerabilitate. Acesta este scenariul ideal, verificând dacă o vulnerabilitate nu există pe o țintă.
• Fals Negativ: semnătura nu este potrivită, dar există o vulnerabilitate existentă. Oricât de rău este un fals pozitiv, un fals negativ este mult mai rău. În acest caz, există o problemă, dar scanerul nu a detectat-o, așa că nu aveți nicio indicație despre existența acesteia.
După cum vă puteți imagina, acuratețea semnăturilor este extrem de importantă pentru rezultate precise. Cu cât sunt furnizate mai multe date, cu atât sunt mai mari șansele de a obține rezultate exacte de la o scanare automată bazată pe semnături, motiv pentru care scanările autentificate sunt adesea atât de populare.
Cu o scanare autentificată, software-ul de scanare va folosi acreditările furnizate pentru a se autentifica la țintă. Acest lucru oferă un nivel mai profund de vizibilitate asupra unei ținte decât ar fi posibil altfel. De exemplu, la o scanare normală, puteți detecta doar informații despre sistem care pot fi derivate din serviciile de ascultare și funcționalitatea pe care acestea le oferă. Aceasta poate fi destul de puțină informație uneori, dar nu poate concura cu nivelul și profunzimea datelor care vor fi obținute dacă vă autentificați la sistem și examinați în mod cuprinzător tot software-ul instalat, corecțiile aplicate, procesele care rulează și așa mai departe. . Această gamă largă de date este utilă pentru detectarea vulnerabilităților care altfel nu ar fi fost descoperite.
O evaluare a vulnerabilității bine realizată prezintă o imagine a potențialelor probleme dintr-o organizație și oferă indicatori pentru măsurarea schimbărilor în timp. Aceasta este o evaluare destul de ușoară, dar chiar și totuși, multe organizații vor efectua în mod regulat scanări automate ale vulnerabilităților în afara orelor de lucru pentru a evita potențialele probleme în timpul zilei, când disponibilitatea serviciului și lățimea de bandă sunt cele mai critice.
După cum sa menționat anterior, o scanare a vulnerabilităților va trebui să verifice multe puncte de date diferite pentru a obține un rezultat precis. Toate aceste verificări diferite pot crea încărcare pe sistemul țintă și pot consuma lățime de bandă. Din păcate, este dificil de știut exact câte resurse vor fi consumate pe țintă, deoarece depinde de numărul de servicii deschise și de tipurile de
controale care ar fi asociate cu acele servicii. Acesta este costul efectuării unei scanări; va ocupa resursele sistemului. Este important să aveți o idee generală despre resursele care vor fi consumate și cât de multă sarcină poate suporta sistemul țintă atunci când rulați aceste instrumente.
Fire de scanare Cele mai multe scanere de vulnerabilitate includ o opțiune de setat fire per scanare, care echivalează cu numărul de verificări simultane care au loc la un moment dat. Creșterea acestui număr va avea un impact direct asupra încărcării platformei de evaluare, precum și asupra rețelelor și țintelor cu care interacționați. Acest lucru este important de reținut când utilizați aceste scanere. Este tentant să măriți firele de execuție pentru a finaliza scanările mai rapid, dar amintiți-vă de creșterea substanțială a încărcăturii asociată cu acest lucru.
Fire de scanare Cele mai multe scanere de vulnerabilitate includ o opțiune de setat fire per scanare, care echivalează cu numărul de verificări simultane care au loc la un moment dat. Creșterea acestui număr va avea un impact direct asupra încărcării platformei de evaluare, precum și asupra rețelelor și țintelor cu care interacționați. Acest lucru este important de reținut când utilizați aceste scanere. Este tentant să măriți firele de execuție pentru a finaliza scanările mai rapid, dar amintiți-vă de creșterea substanțială a încărcăturii asociată cu acest lucru.
Când se termină o scanare a vulnerabilităților, problemele descoperite sunt de obicei legate de identificatori standard din industrie, cum ar fi numărul CVE9, EDB-ID10, și avizele furnizorilor. Aceste informații, împreună cu vulnerabilitățile punctaj CVSS11, este utilizat pentru a determina un rating de risc. Alături de fals negative (și fals pozitive), aceste evaluări de risc arbitrare sunt probleme comune care trebuie luate în considerare atunci când se analizează rezultatele scanării.
Deoarece instrumentele automate folosesc o bază de date de semnături pentru a detecta vulnerabilități, orice abatere ușoară de la o semnătură cunoscută poate modifica rezultatul și, de asemenea, valabilitatea vulnerabilității percepute. Un fals pozitiv semnalează incorect o vulnerabilitate care nu există, în timp ce un fals negativ este efectiv orb la o vulnerabilitate și nu o raportează. Din acest motiv, se spune adesea că un scaner este la fel de bun ca baza de reguli de semnătură. Din acest motiv, mulți vânzători furnizează seturi de semnături multiple: unul care ar putea fi gratuit pentru utilizatorii casnici și altul destul de scump, care este mai cuprinzător, care este vândut în general clienților corporativi.
Cealaltă problemă care este adesea întâlnită la scanările de vulnerabilități este validitatea evaluărilor de risc sugerate. Aceste evaluări de risc sunt definite pe o bază generică, luând în considerare mulți factori diferiți, cum ar fi nivelul de privilegii, tipul de software și pre-sau post-autentificare. În funcție de mediul dvs., aceste evaluări pot fi sau nu aplicabile, așa că nu ar trebui acceptate orbește. Doar cei care cunosc sistemele și vulnerabilitățile pot valida în mod corespunzător evaluările de risc.
Deși nu există un acord definit universal cu privire la evaluările de risc, publicația specială NIST 800-3012 este recomandat ca punct de referință pentru evaluarea evaluărilor de risc și acuratețea acestora în mediul dumneavoastră. NIST SP 800-30 definește adevăratul risc al unei vulnerabilități descoperite ca o combinație între probabilitatea de apariție și impactul potențial.
9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11https://www.first.org/cvss
12http://csrc.nist.gov/publications/PubsSPs.html#800-30