Die Lösung für solche Probleme kann eine regelmäßige Überprüfung des Umfangs der Organisation sein. Netzwerkscanner, IoT-Suchmaschinen, Schwachstellenscanner und Sicherheitsanalysedienste eignen sich zur Lösung des Problems. Weiter im Artikel werden wir die Arten und Parameter des Scannens, ihre Vor- und Nachteile, häufig verwendete Werkzeuge und Methoden zur Verarbeitung der Ergebnisse betrachten.
Ping-Scan
Der erste zu berücksichtigende Scan ist ein Ping-Scan. Die Hauptaufgabe besteht darin, "lebende" Knoten im Netzwerk zu erkennen. Ping-Scannen bezieht sich auf das Senden von ICMP-Paketen. Der Scanner sendet Echo REQUEST-Pakete an die angegebenen IP-Adressen und erwartet als Antwort Echo REPLY-Pakete. Wenn eine Antwort empfangen wird, wird davon ausgegangen, dass der Host unter der angegebenen IP-Adresse im Netzwerk vorhanden ist.
ICMP wird von Netzwerkadministratoren häufig zur Diagnose verwendet. Um die Offenlegung von Informationen über Knoten zu vermeiden, ist es daher wichtig, den Perimeterschutz korrekt zu konfigurieren. Für Unternehmensnetzwerke ist diese Art des Scans für das externe Scannen nicht relevant, da die meisten Sicherheitstools standardmäßig ICMP- oder ICMP-Antworten blockieren. Wenn im Unternehmensnetzwerk keine nicht standardmäßigen Aufgaben vorhanden sind, können normalerweise die folgenden Arten von ICMP-Nachrichten beendet werden: Ziel nicht erreichbar, Echo-ANFRAGE, fehlerhafter IP-Header und Echo-ANTWORT, Ziel nicht erreichbar, Quell-Quench, Zeitüberschreitung, fehlerhafter IP-Header. Lokale Netzwerke haben keine so strenge Sicherheitsrichtlinie, und Angreifer können diese Methode verwenden, wenn sie bereits in das Netzwerk eingetreten sind. Dies kann jedoch leicht erkannt werden.
Port-Scan
Kombinieren wir das TCP-Scannen und das UDP-Scannen unter dem allgemeinen Namen "Port-Scannen". Das Scannen mit diesen Methoden ermittelt die verfügbaren Ports auf den Knoten. Basierend auf den erhaltenen Daten wird eine Annahme über den Typ des verwendeten Betriebssystems oder die spezifische Anwendung getroffen, die auf dem Zielknoten ausgeführt wird. Port-Scanning bezieht sich auf Testversuche, um eine Verbindung zu externen Hosts herzustellen. Betrachten wir die wichtigsten Methoden, die in automatisierten Netzwerkscannern implementiert sind:
- TCP SYN,
- TCP CONNECT,
- UDP-Scan.
Die TCP-SYN-Methode ist die beliebteste und wird in 95% der Fälle verwendet. Dies wird als halboffener Scan bezeichnet, da die Verbindung nie vollständig hergestellt wird. Eine SYN-Nachricht wird an den zu untersuchenden Port gesendet. Anschließend wird eine Antwort erwartet, anhand derer der Portstatus ermittelt wird. SYN / ACK-Antworten zeigen an, dass der Port lauscht (offen), während RST-Antworten anzeigen, dass er nicht lauscht.
Wenn nach mehreren Anfragen keine Antwort empfangen wird, wird der Netzwerkverkehr zum Zielport durch Firewalls gefiltert (im Folgenden wird der Begriff "Port wird gefiltert" verwendet). Ein Port wird auch als gefiltert markiert, wenn eine ICMP-Nachricht mit einer Nachricht "Ziel nicht erreichbar" und bestimmten Codes und Flags zurückgegeben wird.
Die TCP CONNECT-Methode ist weniger beliebt als TCP SYN, in der Praxis jedoch immer noch üblich. Bei der Implementierung der TCP CONNECT-Methode wird versucht, mit dem Handshake-Verfahren eine TCP-Verbindung zum gewünschten Port herzustellen. Die Prozedur besteht im Austausch von Nachrichten zum Aushandeln von Verbindungsparametern, dh SYN-, SYN / ACK-, ACK-Dienstnachrichten zwischen Knoten. Die Verbindung wird auf Betriebssystemebene hergestellt, sodass die Möglichkeit besteht, dass sie vom Schutztool blockiert wird und im Ereignisprotokoll landet.
Der UDP-Scan ist langsamer und komplexer als der TCP-Scan. Aufgrund der Besonderheiten beim Scannen von UDP-Ports werden sie häufig vergessen, da die Gesamtzeit für das Scannen von 65.535 UDP-Ports mit Standardparametern pro Knoten für die meisten automatisierten Scanner bis zu 18 Stunden beträgt. Diese Zeit kann durch Parallelisierung des Scanvorgangs und auf verschiedene andere Arten reduziert werden. Das Auffinden von UDP-Diensten sollte in Betracht gezogen werden, da UDP-Dienste mit einer großen Anzahl von Infrastrukturdiensten kommunizieren, die normalerweise für Angreifer von Interesse sind.
UDP-Dienste DNS (53), NTP (123), SNMP (161), VPN (500, 1194, 4500) und RDG (3391) werden häufig in Netzwerkperimetern gefunden. Weniger verbreitete Dienste wie Echo (7), Discard (9), Chargen (19) sowie DAYTIME (13), TFTP (69), SIP (5060), NFS (2049), RPC (111, 137-139) 761 usw.), DBMS (1434).
Ein leerer UDP-Header wird gesendet, um den Portstatus zu bestimmen. Wenn ein ICMP-Ziel-Erreichbarkeitsfehler mit dem nicht erreichbaren Zielport-Code zurückgegeben wird, bedeutet dies, dass der Port geschlossen ist. Andere ICMP-Erreichbarkeitsfehler (Zielhost nicht erreichbar, Zielprotokoll nicht erreichbar, Netzwerk administrativ verboten, Host administrativ verboten, Kommunikation administrativ verboten) weisen darauf hin, dass der Port gefiltert wird. Wenn der Port mit einem UDP-Paket antwortet, ist er geöffnet. Aufgrund der Besonderheiten von UDP und Paketverlust werden Anforderungen mehrmals wiederholt, normalerweise drei oder mehr. Wenn keine Antwort empfangen wird, wird der Portstatus normalerweise als "offen" oder "gefiltert" bestimmt, da nicht klar ist, was den Verkehr verursacht hat - Blockieren des Verkehrs durch das Schutztool oder Paketverlust.
Um den Status des Ports und des Dienstes, der auf dem UDP-Port ausgeführt wird, genau zu bestimmen, wird eine spezielle Nutzlast verwendet, deren Vorhandensein in der untersuchten Anwendung eine bestimmte Reaktion hervorrufen sollte.
Seltene Scanmethoden
Methoden, die praktisch nicht angewendet werden:
- TCP ACK,
- TCP NULL, FIN, Weihnachten,
- Lazy Scan.
Der direkte Zweck der ACK-Scanmethode besteht darin, Schutzregeln und gefilterte Ports zu identifizieren. Für diese Art von Scan wird im Anforderungspaket nur das ACK-Flag gesetzt. Offene und geschlossene Ports geben ein RST-Paket zurück, da die Ports für ACK-Pakete erreichbar sind, der Status jedoch unbekannt ist. Ports, die nicht antworten oder mit einer ICMP Destination Unreachable-Nachricht mit bestimmten Codes antworten, gelten als gefiltert.
TCP NULL-, FIN- und Xmas-Methoden dienen zum Senden von Paketen mit deaktivierten Flags im TCP-Header. NULL-Scans setzen keine Bits, FIN-Scans setzen das TCP-FIN-Bit und Weihnachtsscans setzen die FIN-, PSH- und URG-Flags. Die Methoden basieren auf einer Funktion von RFC 793, wonach beim Schließen des Ports ein eingehendes Segment, das keine RST enthält, eine RST als Antwort sendet. Wenn der Port geöffnet ist, erfolgt keine Antwort. Ein erreichbarer ICMP-Fehler bedeutet, dass der Port gefiltert wird. Diese Methoden gelten als geheimer als SYN-Scans, sind jedoch weniger genau, da nicht alle Systeme RFC 793 einhalten.
Lazy Scanning ist die verstohlenste Methode, da zum Scannen ein anderer Host verwendet wird, der als Zombie-Host bezeichnet wird. Die Methode wird von Eindringlingen für die Intelligenz verwendet. Der Vorteil dieses Scans besteht darin, dass der Portstatus für den Zombie-Host bestimmt wird. Durch die Verwendung verschiedener Hosts können Vertrauensbeziehungen zwischen den Hosts hergestellt werden. Eine vollständige Beschreibung der Methode finden Sie hier .
Prozess zur Identifizierung von Sicherheitslücken
Mit Verwundbarkeit ist die Schwachstelle des Knotens als Ganzes oder seiner einzelnen Softwarekomponenten gemeint, die zur Implementierung eines Angriffs verwendet werden kann. In einer Standardsituation wird das Vorhandensein von Sicherheitslücken durch Fehler im Programmcode oder in der verwendeten Bibliothek sowie durch Konfigurationsfehler erklärt.
Die Sicherheitsanfälligkeit wird in MITRE CVE abgelegt und Details werden in NVD veröffentlicht . Einer Sicherheitsanfälligkeit wird eine CVE-Kennung und eine Gesamtbewertung der CVSS-Sicherheitsanfälligkeit zugewiesen, die das Risiko widerspiegelt, das die Sicherheitsanfälligkeit für das Endsystem darstellt. Einzelheiten zur Bewertung von Sicherheitslücken finden Sie in unserem Artikel . Die zentralisierte MITRE CVE-Liste ist ein Referenzpunkt für Schwachstellenscanner, da die Aufgabe eines Scans darin besteht, anfällige Software zu erkennen.
Ein Konfigurationsfehler ist ebenfalls eine Sicherheitsanfälligkeit. Solche Sicherheitsanfälligkeiten werden jedoch selten in der MITRE-Datenbank gefunden. Sie landen jedoch immer noch in den Wissensdatenbanken von Scannern mit internen Kennungen. Andere Arten von Schwachstellen, die nicht in MITRE CVE enthalten sind, fallen ebenfalls in die Wissensbasis von Scannern. Daher ist es bei der Auswahl eines Tools zum Scannen wichtig, auf das Fachwissen des Entwicklers zu achten. Der Vulnerability Scanner fragt Knoten ab und vergleicht die gesammelten Informationen mit der Schwachstellendatenbank oder einer Liste bekannter Schwachstellen. Je mehr Informationen der Scanner hat, desto genauer ist das Ergebnis.
Betrachten wir die Scanparameter, Scanarten und Prinzipien zur Erkennung von Schwachstellen mithilfe von Schwachstellenscannern.
Scan Optionen
Innerhalb eines Monats kann sich der Umfang der Organisation wiederholt ändern. Das Durchführen eines Stirnumfangs-Scans kann Zeit verschwenden, in der die Ergebnisse irrelevant werden. Mit einer starken Erhöhung der Scangeschwindigkeit können Dienste "fallen". Wir müssen ein Gleichgewicht finden und die richtigen Scanparameter auswählen. Die aufgewendete Zeit, die Genauigkeit und Relevanz der Ergebnisse hängen von der Wahl ab. Insgesamt können 65.535 TCP-Ports und die gleiche Anzahl von UDP-Ports gescannt werden. Nach unserer Erfahrung beträgt der durchschnittliche statistische Umfang eines Unternehmens, das in den Scan-Pool fällt, zwei vollständige Netzwerke der C-Klasse mit einer Maske von 24.
Grundlegende Parameter:
- Anzahl der Ports,
- Scantiefe,
- Scan-Geschwindigkeit,
- Parameter zur Ermittlung von Schwachstellen.
Durch die Anzahl der Ports kann das Scannen in drei Typen unterteilt werden: Scannen der gesamten Liste der TCP- und UDP-Ports, Scannen der gesamten Liste der TCP-Ports und gängigen UDP-Ports, Scannen gängiger TCP- und UDP-Ports. Wie kann man die Beliebtheit eines Hafens bestimmen? Im Dienstprogramm nmap werden basierend auf den vom Dienstprogrammentwickler gesammelten Statistiken die tausend beliebtesten Ports in der Konfigurationsdatei definiert. Kommerzielle Scanner sind außerdem mit bis zu 3500 Ports vorkonfiguriert.
Wenn das Netzwerk Dienste an nicht standardmäßigen Ports verwendet, sollten diese ebenfalls zur gescannten Liste hinzugefügt werden. Für regelmäßige Scans empfehlen wir die mittlere Option, mit der alle TCP-Ports und gängigen UDP-Ports gescannt werden. Diese Option ist in Bezug auf Zeit und Genauigkeit der Ergebnisse am ausgewogensten. Bei Penetrationstests oder vollständigen Netzwerkperimeterprüfungen wird empfohlen, alle TCP- und UDP-Ports zu scannen.
Ein wichtiger Hinweis: Beim Scannen aus dem lokalen Netzwerk wird das tatsächliche Bild des Perimeters nicht angezeigt, da die Firewall-Regeln für den Datenverkehr aus dem internen Netzwerk für den Scanner gelten. Perimeter-Scans müssen von einem oder mehreren externen Standorten aus durchgeführt werden. Es ist sinnvoll, verschiedene Websites nur dann zu verwenden, wenn sie sich in verschiedenen Ländern befinden.
Die Scan-Tiefe bezieht sich auf die Datenmenge, die über das Scan-Ziel gesammelt wird. Dies umfasst das Betriebssystem, Softwareversionen, Informationen zur Kryptografie, die für verschiedene Protokolle verwendet wird, Informationen zu Webanwendungen. Gleichzeitig besteht eine direkte Beziehung: Je mehr wir wissen möchten, desto länger arbeitet der Scanner und sammelt Informationen über die Knoten.
Bei der Auswahl einer Geschwindigkeit müssen Sie sich an der Bandbreite des Kanals orientieren, von dem aus gescannt wird, an der Bandbreite des gescannten Kanals und an den Funktionen des Scanners. Es gibt Schwellenwerte, deren Überschreitung nicht die Genauigkeit der Ergebnisse, die Wahrung der Funktionsfähigkeit der gescannten Knoten und einzelne Dienste garantiert. Vergessen Sie nicht, die Zeit zu berücksichtigen, die zum Abschließen des Scans benötigt wird.
Optionen zur Erkennung von Sicherheitslücken ist der umfangreichste Abschnitt der Scanoptionen, der die Scan-Geschwindigkeit und die Anzahl der erkannten Sicherheitslücken bestimmt. Zum Beispiel dauern Bannerprüfungen nicht lange. Simulationen von Angriffen werden nur für bestimmte Dienste durchgeführt und dauern auch nicht lange. Die längste Ansicht ist das Webcrawlen.
Ein vollständiger Scan von Hunderten von Webanwendungen kann Wochen dauern, abhängig von den verwendeten Vokabeln und der Anzahl der zu überprüfenden Anwendungseinstiegspunkte. Es ist wichtig zu verstehen, dass die instrumentelle Überprüfung von Web-Schwachstellen aufgrund der Besonderheiten der Implementierung von Webmodulen und Webcrawlern keine hundertprozentige Genauigkeit ergibt, jedoch den gesamten Prozess erheblich verlangsamen kann.
Es ist am besten, Web-Scans getrennt von normalen Scans durchzuführen, indem Sie sorgfältig auswählen, welche Anwendungen gescannt werden sollen. Verwenden Sie für eine eingehende Analyse statische und dynamische Anwendungsanalysetools oder Penetrationstestservices. Wir empfehlen, bei regelmäßigen Scans keine gefährlichen Scans zu verwenden, da die Gefahr besteht, dass die Leistung von Diensten beeinträchtigt wird. Einzelheiten zu Überprüfungen finden Sie im folgenden Abschnitt zur Funktionsweise von Scannern.
Werkzeuge
Wenn Sie jemals die Sicherheitsprotokolle Ihrer Websites untersucht haben, haben Sie wahrscheinlich festgestellt, dass das Internet von einer großen Anzahl von Forschern, Onlinediensten und Botnetzen gescannt wird. Es macht keinen Sinn, alle Tools detailliert zu beschreiben. Wir werden einige Scanner und Dienste auflisten, die zum Scannen von Netzwerkperimetern und des Internets verwendet werden. Jedes der Scan-Tools dient einem anderen Zweck. Bei der Auswahl eines Tools sollte daher bekannt sein, warum es verwendet wird. Es ist manchmal richtig, mehrere Scanner zu verwenden, um vollständige und genaue Ergebnisse zu erhalten.
Netzwerkscanner: Masscan , Zmap , nmap... Tatsächlich gibt es viel mehr Dienstprogramme zum Scannen eines Netzwerks, aber es ist unwahrscheinlich, dass Sie andere zum Scannen eines Perimeters benötigen. Diese Dienstprogramme lösen die meisten Aufgaben, die mit dem Scannen von Ports und Diensten verbunden sind.
Suchmaschinen im Internet der Dinge oder Online-Crawler sind wichtige Tools zum Sammeln von Informationen über das Internet im Allgemeinen. Sie bieten eine Zusammenfassung der Site-Mitgliedschaft, Informationen zu Zertifikaten, aktiven Diensten und mehr. Es ist möglich, mit den Entwicklern dieses Scannertyps zu vereinbaren, Ihre Ressourcen von der Scanliste auszuschließen oder Informationen zu Ressourcen nur für Unternehmenszwecke aufzubewahren. Die bekanntesten Suchmaschinen: Shodan , Censys , Fofa .
Um das Problem zu lösen, ist es nicht erforderlich, ein komplexes kommerzielles Tool mit einer großen Anzahl von Überprüfungen zu verwenden: Es ist nicht erforderlich, einige "leichte" Anwendungen und Dienste zu scannen. In solchen Fällen reichen kostenlose Scanner aus. Es gibt viele kostenlose Webcrawler, und es ist schwierig, die effektivsten auszuwählen. Hier ist die Auswahl eher Geschmackssache. die bekanntesten: Skipfish , Nikto , ZAP , Acunetix , SQLmap .
Um minimale Scanaufgaben auszuführen und die "Papier" -Sicherheit zu gewährleisten, sind möglicherweise kommerzielle Budget-Scanner mit einer ständig aktualisierten Wissensbasis über Schwachstellen sowie Support und Fachwissen des Anbieters und FSTEC-Zertifikaten geeignet. Die bekanntesten: XSpider, RedCheck, Scanner-VS.
Für eine sorgfältige manuelle Analyse sind die Tools Burp Suite, Metasploit und OpenVAS hilfreich. Der Tsunami- Scanner von Google wurde kürzlich veröffentlicht .
Eine weitere erwähnenswerte Zeile ist die Online-Sicherheitslücken-Suchmaschine Vulners... Hierbei handelt es sich um eine große Informationsdatenbank für Informationssicherheit, in der Informationen zu Sicherheitslücken aus einer Vielzahl von Quellen gesammelt werden. Dazu gehören neben Standarddatenbanken auch Sicherheitsbulletins von Anbietern, Bug-Bounty-Programme und andere thematische Ressourcen. Die Ressource bietet eine API, über die Sie Ergebnisse abrufen können, sodass Sie Bannerprüfungen auf Ihren Systemen implementieren können, ohne hier und jetzt tatsächlich zu scannen. Oder verwenden Sie den Vulners-Schwachstellenscanner, der Informationen über das Betriebssystem sammelt, Pakete installiert und über die Vulners-API nach Schwachstellen sucht. Einige Funktionen der Ressource werden bezahlt.
Tools zur Sicherheitsanalyse
Alle kommerziellen Sicherheitssysteme unterstützen grundlegende Scanmodi, die im Folgenden beschrieben werden, sowie die Integration in verschiedene externe Systeme wie SIEM-Systeme, Patch-Management-Systeme, CMBD und Ticketsysteme. Kommerzielle Schwachstellenanalysesysteme können Warnungen basierend auf verschiedenen Kriterien senden und verschiedene Formate und Arten von Berichten unterstützen. Alle Systementwickler verwenden gemeinsame Schwachstellendatenbanken sowie ihre eigenen Wissensdatenbanken, die auf der Grundlage von Forschungsergebnissen ständig aktualisiert werden.
Die Hauptunterschiede zwischen kommerziellen Tools zur Sicherheitsanalyse sind unterstützte Standards, Lizenzen von Regierungsbehörden, die Anzahl und Qualität der durchgeführten Überprüfungen sowie der Fokus auf den einen oder anderen Absatzmarkt, beispielsweise die Unterstützung für das Scannen von inländischer Software. Der Artikel soll keinen qualitativen Vergleich von Schwachstellenanalysesystemen liefern. Unserer Meinung nach hat jedes System seine eigenen Vor- und Nachteile. Die aufgeführten Tools eignen sich für die Sicherheitsanalyse. Sie können ihre Kombinationen verwenden: Qualys , MaxPatrol 8 , Rapid 7 InsightVM , Tenable SecurityCenter .
Funktionsweise von Sicherheitsanalysesystemen
Scanmodi werden nach drei ähnlichen Prinzipien implementiert:
- Audit- oder White-Box-Modus.
- Einhaltung oder Überprüfung der Einhaltung technischer Standards.
- Pentest- oder Black-Box-Modus.
Das Hauptinteresse beim Perimeter-Scannen ist der Black-Box-Modus, da er die Aktionen eines externen Angreifers simuliert, der nichts über die gescannten Knoten weiß. Unten finden Sie eine Kurzreferenz für alle Modi.
Audit ist ein White-Box-Modus, mit dem Sie eine vollständige Bestandsaufnahme des Netzwerks durchführen, die gesamte Software erkennen, ihre Versionen und Parameter ermitteln und auf dieser Grundlage detaillierte Schlussfolgerungen über die Sicherheitsanfälligkeit von Systemen ziehen sowie Systeme auf die Verwendung schwacher Kennwörter überprüfen können. Der Scanvorgang erfordert einen gewissen Grad an Integration in das Unternehmensnetzwerk. Insbesondere sind Konten erforderlich, um die Knoten zu autorisieren.
Für einen autorisierten Benutzer, der ein Scanner ist, ist es viel einfacher, detaillierte Informationen über einen Knoten, seine Software und Konfigurationsparameter zu erhalten. Während des Scannens werden verschiedene Mechanismen und Transporte von Betriebssystemen verwendet, um Daten zu erfassen, abhängig von den Besonderheiten des Systems, von dem die Daten erfasst werden. Die Liste der Transporte umfasst unter anderem WMI, NetBios, LDAP, SSH, Telnet, Oracle, MS SQL, SAP DIAG, SAP RFC und Remote Engine unter Verwendung der entsprechenden Protokolle und Ports.
Compliance ist eine Methode zur Überprüfung der Einhaltung von Sicherheitsstandards, -anforderungen oder -richtlinien. Der Modus verwendet ähnliche Mechanismen und Transporte wie das Audit. Eine Funktion dieses Modus ist die Möglichkeit, Unternehmenssysteme auf Übereinstimmung mit den in Sicherheitsscannern eingebetteten Standards zu überprüfen. Beispiele für Standards sind PCI DSS für Zahlungssysteme und -verarbeitung, STO BR IBBS für russische Banken und GDPR für die Einhaltung der EU-Anforderungen. Ein weiteres Beispiel sind interne Sicherheitsrichtlinien, für die möglicherweise höhere Anforderungen gelten als in den Standards angegeben. Darüber hinaus gibt es Aktualisierungsinstallationsprüfungen und andere benutzerdefinierte Prüfungen.
Pentest ist ein Black-Box-Modus, in dem der Scanner keine anderen Daten als die Zieladresse oder den Domänennamen hat. Betrachten wir die Arten von Prüfungen, die im Modus verwendet werden:
- Bannerprüfungen,
- Nachahmung von Angriffen,
- Web-Checks,
- Konfigurationen überprüfen,
- gefährliche Kontrollen.
Bannerprüfungen basieren auf der Tatsache, dass der Scanner die Versionen der verwendeten Software und des verwendeten Betriebssystems ermittelt und diese Versionen dann anhand der internen Schwachstellendatenbank überprüft. Für die Suche nach Bannern und Versionen werden verschiedene Quellen verwendet, deren Zuverlässigkeit sich ebenfalls unterscheidet und von der internen Logik des Scanners berücksichtigt wird. Quellen können Service-Banner, Protokolle, Anwendungsantworten sowie deren Parameter und Format sein. Bei der Analyse von Webservern und Anwendungen werden Informationen von Seiten mit Fehlern und Zugriffsverweigerungen überprüft, die Antworten dieser Server und Anwendungen sowie andere mögliche Informationsquellen analysiert. Scanner markieren durch Banner-Scan erkannte Schwachstellen als vermutete Schwachstellen oder als unbestätigte Schwachstellen.
Ein Scheinangriff ist ein sicherer Versuch, eine Sicherheitsanfälligkeit auf einem Host auszunutzen. Simulierte Angriffe haben eine geringe Wahrscheinlichkeit von Fehlalarmen und werden gründlich getestet. Wenn der Scanner eine Schwachstellensignatur auf dem Scan-Ziel erkennt, wird die Schwachstelle ausgenutzt. Die Überprüfungen verwenden die Methoden, die zum Erkennen der Sicherheitsanfälligkeit erforderlich sind. Beispielsweise wird eine atypische Anforderung an eine Anwendung gesendet, die keinen Denial-of-Service verursacht, und das Vorhandensein einer Sicherheitsanfälligkeit wird durch die für die anfällige Anwendung typische Antwort bestimmt.
Eine andere Methode: Nach erfolgreicher Ausnutzung einer Sicherheitsanfälligkeit, mit der der Code ausgeführt werden kann, kann der Scanner eine ausgehende PING- oder DNS-Anforderung vom anfälligen Host an sich selbst senden. Es ist wichtig zu verstehen, dass es nicht immer möglich ist, Schwachstellen sicher zu überprüfen. Daher werden Überprüfungen im Pentest-Modus häufig später als in anderen Scanmodi angezeigt.
Webprüfungen sind die umfangreichste und langwierigste Art von Prüfungen, denen erkannte Webanwendungen unterzogen werden können. In der ersten Phase werden die Webanwendungsverzeichnisse gescannt, Parameter und Felder erkannt, in denen potenzielle Sicherheitslücken bestehen könnten. Die Geschwindigkeit dieses Scans hängt vom Wörterbuch ab, das zum Durchlaufen der Verzeichnisse verwendet wird, und von der Größe der Webanwendung.
Gleichzeitig werden Banner von CMS und Anwendungs-Plug-Ins gesammelt, die zur Bannerprüfung auf bekannte Schwachstellen verwendet werden. Die nächste Stufe sind grundlegende Webprüfungen: Suche nach SQL-Injection verschiedener Typen, Suche nach Fehlern im Authentifizierungs- und Sitzungsspeichersystem, Suche nach vertraulichen Daten und ungeschützten Konfigurationen, Überprüfung auf XXE-Injection, Cross-Site-Scripting, unsichere Deserialisierung, Laden beliebiger Dateien, Remotecodeausführung und Pfadüberquerung ... Die Liste kann abhängig von den Scanparametern und den Scannerfunktionen breiter sein. Normalerweise werden die Überprüfungen bei maximalen Parametern gemäß der OWASP Top Ten- Liste durchgeführt .
Konfigurationsprüfungen zielen darauf ab, Softwarekonfigurationsfehler zu erkennen. Sie identifizieren Standardkennwörter oder versuchen Kennwörter mithilfe eines kurzen Satzes von Kennwörtern mit unterschiedlichen Konten. Zeigt administrative Authentifizierungsfenster und Steuerungsschnittstellen, verfügbare Drucker, schwache Verschlüsselungsalgorithmen, Fehler bei den Zugriffsrechten und die Offenlegung vertraulicher Informationen über Standardpfade, herunterladbare Sicherungen und andere ähnliche Fehler, die von Administratoren von IT-Systemen und Informationssicherheitssystemen gemacht wurden.
Zu den gefährlichen Überprüfungen zählen solche, deren Verwendung möglicherweise zu einer Verletzung der Integrität oder Verfügbarkeit von Daten führt. Dies umfasst Überprüfungen auf Denial-of-Service, SQL Injection-Optionen mit Parametern zum Löschen von Daten oder zum Vornehmen von Änderungen. Brute-Force-Angriffe ohne Begrenzung für Brute-Force-Versuche, die zur Blockierung von Konten führen. Gefährliche Überprüfungen werden aufgrund der möglichen Konsequenzen selten verwendet, sie werden jedoch von Sicherheitsscannern unterstützt, um die Aktionen eines Angreifers zu emulieren, der sich nicht um die Datensicherheit kümmert.
Scans und Ergebnisse
Wir haben die grundlegenden Scanmethoden und -werkzeuge überprüft. Kommen wir nun zur Frage, wie dieses Wissen in der Praxis eingesetzt werden kann. Zunächst müssen Sie die Frage beantworten, was und wie gescannt werden soll. Um diese Frage zu beantworten, müssen Sie Informationen zu externen IP-Adressen und Domänennamen sammeln, die zur Organisation gehören. Nach unserer Erfahrung ist es besser, Scan-Ziele in Inventar und Schwachstellenidentifikation zu unterteilen.
Ein Inventarscan kann viel häufiger durchgeführt werden als ein Schwachstellenscan. Im Inventar empfiehlt es sich, die Ergebnisse mit Informationen über den Dienstadministrator, die interne IP-Adresse des Dienstes bei Verwendung von NAT sowie die Bedeutung des Dienstes und seinen Zweck zu bereichern. In Zukunft werden Informationen dazu beitragen, Vorfälle im Zusammenhang mit der Erkennung unerwünschter oder anfälliger Dienste schnell zu beseitigen. Im Idealfall verfügt ein Unternehmen über einen Prozess und eine Richtlinie zum Platzieren von Diensten im Netzwerkbereich, wobei IT- und Informationssicherheitsdienste beteiligt sind.
Selbst bei diesem Ansatz besteht die Möglichkeit von Fehlern aufgrund menschlicher Faktoren und verschiedener technischer Fehler, die zum Auftreten unerwünschter Dienste am Umfang führen. Ein einfaches Beispiel: Eine Regel wird auf eine Check Point-Netzwerk-Appliance geschrieben, die Port 443 vom internen Netzwerk an den Perimeter sendet. Der Service, der dort war, ist veraltet und außer Betrieb. Der IT-Service wurde darüber nicht informiert, daher blieb die Regel bestehen. In diesem Fall führt der Perimeter möglicherweise zu einer Authentifizierung beim Administrationsbereich der Check Point-Appliance oder bei einem anderen internen Dienst, der dort nicht gehostet werden sollte. Gleichzeitig hat sich das Bild des Perimeters formal nicht geändert und der Port ist verfügbar.
Um solche Änderungen zu erkennen, muss regelmäßig gescannt und ein differenzieller Vergleich der Ergebnisse durchgeführt werden. Anschließend wird das Service-Banner spürbar geändert, was die Aufmerksamkeit auf sich zieht und zur Analyse des Vorfalls führt.
Beseitigung von Schwachstellen
Der erste Schritt zur korrekten technischen Implementierung des Prozesses zur Beseitigung von Sicherheitslücken besteht darin, die Scanergebnisse, mit denen Sie arbeiten müssen, korrekt darzustellen. Wenn mehrere unterschiedliche Scanner verwendet werden, ist es korrekter, Informationen zu Knoten an einem Ort zu analysieren und zu kombinieren. Zu diesem Zweck wird empfohlen, Analysesysteme zu verwenden, in denen auch alle Informationen zum Inventar gespeichert werden.
Die grundlegende Möglichkeit, die Sicherheitsanfälligkeit zu beheben, besteht darin, Updates zu installieren. Sie können auch eine andere Methode verwenden: Nehmen Sie den Dienst aus dem Umkreis (Sie müssen noch Sicherheitsupdates installieren).
Sie können kompensatorische Optimierungsmaßnahmen anwenden, dh die Verwendung einer anfälligen Komponente oder Anwendung ausschließen. Eine weitere Option ist die Verwendung spezieller Sicherheitstools wie IPS oder Anwendungsfirewall. Natürlich ist es korrekter, das Auftreten unerwünschter Dienste im Netzwerkbereich zu verhindern, aber dieser Ansatz ist aufgrund verschiedener Umstände, insbesondere geschäftlicher Anforderungen, nicht immer möglich.
Priorität zur Beseitigung von Sicherheitslücken
Die Priorität der Behebung von Schwachstellen hängt von den internen Prozessen der Organisation ab. Wenn Sie daran arbeiten, Schwachstellen für den Netzwerkperimeter zu beseitigen, ist es wichtig zu wissen, warum sich der Dienst auf dem Perimeter befindet, wer ihn verwaltet und wem er gehört. Zunächst können Sie Schwachstellen auf Knoten beseitigen, die für wichtige Geschäftsfunktionen des Unternehmens verantwortlich sind. Natürlich können solche Dienste nicht aus dem Umkreis entfernt werden, aber es können Ausgleichsmaßnahmen oder zusätzliche Sicherheitsmaßnahmen angewendet werden. Mit weniger wichtigen Diensten ist es einfacher: Sie können vorübergehend aus dem Umkreis entfernt, langsam aktualisiert und wieder in Betrieb genommen werden.
Ein anderer Weg ist die Priorität der Beseitigung entsprechend der Gefahr oder der Anzahl der Schwachstellen auf dem Knoten. Wenn ein Knoten 10-40 Verdacht auf eine Sicherheitsanfälligkeit durch Banner-Scan erkennt, macht es keinen Sinn zu überprüfen, ob alle dort vorhanden sind. Dies ist zunächst ein Signal dafür, dass es Zeit ist, die Software auf diesem Knoten zu aktualisieren. Wenn keine Möglichkeit zur Erneuerung besteht, müssen Ausgleichsmaßnahmen erarbeitet werden. Wenn eine Organisation über eine große Anzahl von Knoten verfügt, auf denen anfällige Softwarekomponenten gefunden werden, für die es keine Updates gibt, ist es an der Zeit, über den Wechsel zu Software nachzudenken, die sich noch im Update- (Support-) Zyklus befindet. Möglicherweise müssen Sie zum Aktualisieren der Software zunächst das Betriebssystem aktualisieren.
Ergebnis
Alle Informationen zu Diensten und Diensten in Ihrem Netzwerk können nicht nur von Ihnen, sondern auch von jedem aus dem Internet abgerufen werden. Mit einer gewissen Genauigkeit ist es möglich, Systemschwachstellen auch ohne Scannen zu identifizieren. Um das Risiko von Vorfällen im Bereich der Informationssicherheit zu verringern, müssen Sie Ihren Netzwerkumfang überwachen, unerwünschte Dienste rechtzeitig ausblenden oder schützen und Updates installieren.
Es spielt keine Rolle, ob der Prozess intern oder unter Einbeziehung von Experten von Drittanbietern organisiert wird, die Dienste für die Perimeterkontrolle oder Sicherheitsanalyse bereitstellen. Das Wichtigste ist, regelmäßig die Perimeterkontrolle und die Behebung von Sicherheitslücken sicherzustellen.
Gepostet von Maxim Fedotov, Senior Specialist, Abteilung Online-Dienste, PT Expert Security Center, Positive Technologies