Средства анализа защищенности - Форум по вопросам информационной безопасности

Заинтересовала тема.

Вопросы:

1) У какого из перечисленных продуктов большая эффективность анализа защищенности: Nessus, XSpider, Max Patrol, Ревизор Сети?

2) На сайте Positive Technologies я не увидел цены на Max Patrol, узнавать сейчас у разработчика лень. Кто в курсе цены на данное ПО, какая она?

Max Patrol на порядок дороже остальных перечисленных продуктов. Минимальный проект перешагивает планку в 200 000$.

200 000 $

Мда... я то думал тыщ так 20... рублей, а оказывается так всё серъёзно )))

А про эффективность разных средств контроля защищенности кто, что может написать?

Смотря по каким показателям сравнивать :)

Информзащита пару лет назад сравнивала сканеры по совокупности показателей. Первы м шел XSpider, за ним - Nessus, остальные - сильно позади.

Сравнивались результаты сканирования системы с 300 разными уязвимостями, оценивались false positive и false negative.

Если, не вдаваться в подробности, то сравнение САЗ по:

1) количеству заложенных в базу САЗ штампов уязвимостей;

2) по количеству обнаруженных уязвимостей.

Вы, malotavr, я так понял привели нечто среднее.

Про упоминание Информзащиты спасибо! Попробую поискать иформацию, что за САЗ участвовали в сравенение на равне со спайдером и нессусом.

Да пожалуйста - http://www.securitylab.ru/analytics/365241.php

Там использовался MaxPatrol в режиме PenTest - на этом же движке сейчас работает XSpider 7.8 (который сертифицируется)

Сравнивать сканеры по количеству идентифицируемых уязвимостей не совсем корректно. Например, кто-то считат все уязвимости класса "внедрение операторов SQL" за одну уязвимость (находятся одним и тем же способом), а кто-то считает каждую такую уязвимость в каждой серийной CMS за отдельную уязвимость в базе знаний.

Поэтому вместо сравнения количеств запи ей в базе данных сравнивают false negatives - сколько уязвимостей сканер пропускает при сканировании. СПоднимают стенд с определенным набором уязвимостей в наиболее востребованном потенциальными заказчиками софте. сканируют его разными сканерами и сравнивают, кто меньше пропустит. Резулььтат на рисунке 10 обзора оченьь показателен :)

Развернутый отчёт от Информзащиты (файл 2008-pentest.pdf) я уже скачал, но тем не менее malotavr спасибо за упоминание ссылки!

Отчёт сейчас буду изучать, в нём много, при беглом чтении, интересных фактов и приведенных данных.

malotavr, Вы как специалист, и я так полагаю практик в области pentest'а, что используете в работе по анализу уязвимостей? Продукты XSpider и Max Patrol, я уверен, не все применяемые Вами продукты. Наверняка, применяются Metasploit Framework и что-то ещё. Вот что ещё?

Смотря для чего.

В качестве сканера - MaxPatrol. Если сталкиваемся с системой, которую он не умеет сканировать или сканирует хуже, чем специализированные сканеры - делаем ТЗ на доработку, через какое-то время

Для эксплуатации уязвимостей используются Metasploit, Canvas, SAINTexploit и некоторые специфические сплойт-паки.

Г-н malotavr, если не секрет, при проведении анализа защищённости указанными средствами на какие нормативные и методические документы Вы опираетесь?
Ни с целью критики, а чисто из интереса. Было у меня в жизни парочка Заказчиков, которые просили расписать по поводу анализа защищённости что именно и в каком объёме сюда входит, а главное чем регламентируется такая процедура?

Не секрет :)

В России нормативной безы для полноценого анализа защищености нет, и даже применение названного мной "нападающего" софта - почти готовый состав преступления. Так что приходится очень аккуратно относиться и с формулировками договоров, Правда сейчас ведется разработка нормативной базы, и мы в ней даже некоторым образом участвуем.

С метлдической базой проще:
- PCI DSS (Payment Card Industry Data Security Standard) и приложения к нему;
- Center of Internet Security (CIS) Benchmarks;
- OSSTMM;
- Web Application Security Consortium Thread Classification;
- OWASP Testing Guide.

Но мы не следуем этим документам тупо, а на их основе разработали собственные метолики проведения работ и интерпретации результатов.