XSpider
XSpider предназначен для проверки уровня защищенности сети компании. Решение сканирует сеть на наличие уязвимостей и выдает рекомендации по их устранению.
Это действительно так. Это подтверждается большой статистикой, которая, как известно, вещь довольно упрямая.
Каждый год разработчики XSpider "игнорируют" около 40% вновь опубликованных уязвимостей, поскольку, как оказалось, интеллектуальные алгоритмы продукта определяли их с самого начала.
Это позволяет компании Positive Technologies с уверенностью утверждать, что более трети уязвимостей, которые будут обнаружены в ближайший год, уже сегодня могут быть определены XSpider.
Универсальность
Хотя сам XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco (не исключая, конечно, *nix, Solaris, Novell, AS400 и т.д.)
Что немаловажно, XSpider работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений (например, Интернет-магазинов). Некоторые производители разрабатывают для этого отдельные продукты, XSpider является универсальной системой, причем это ни в коей мере не идет в ущерб качеству каждой из отдельных возможностей.
Особенности сканирующего ядра
Здесь приводится только краткий перечень основных возможностей, являющихся базовыми для обеспечения самого высокого качества и надежности в поиске уязвимостей, что является ключевым достоинством XSpider. Подробнее это обсуждается в разделе Качество сканирования.
- Полная идентификация сервисов на случайных портах Дает возможность проверки на уязвимость серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты
- Эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы Служит для определения настоящего имени сервера и корректной работы проверок в тех случаях, если конфигурация WWW-сервера скрывает его настоящее имя или заменяет его на другое
- Обработка RPC-сервисов (Windows и *nix) с их полной идентификацией Обеспечивает возможности определения RPC-сервисов и поиска уязвимостей в них, а также определения детальной конфигурации компьютера в целом
- Проверка слабости парольной защиты Производится оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогая выявить слабые пароли
- Глубокий анализ контента WEB-сайтов Анализ всех скриптов HTTP-серверов (в первую очередь, пользовательских) и поиск в них разнообразных уязвимостей: SQL инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP Response Splitting.
- Анализатор структуры HTTP-серверов Позволяет осуществлять поиск и анализ директорий доступных для просмотра и записи, давая возможность находить слабые места в конфигурации
- Проведение проверок на нестандартные DoS-атаки Существует возможность включения проверок "на отказ в обслуживании", основанных на опыте предыдущих атак и хакерских методах
- Специальные механизмы, уменьшающие вероятность ложных срабатываний В различных видах проверок используются специально под них разработанные методы, уменьшающие вероятность ошибочного определения уязвимостей
- Ежедневное добавление новых уязвимостей и проверок Оригинальная технология обновления программы не только позволяет пользователям каждый день иметь актуальную базу уязвимостей при минимальном трафике и временных затратах не прекращая при этом работы программы, но и обеспечивает регулярный update программных модулей по мере их совершенствования.
Функциональные особенности
Большинство функциональных возможностей XSpider являются типичными для продуктов подобного класса. При проектировании преследовался принцип: избыточные функции не должны загромождать продукт, но все важные возможности должны быть реализованы максимально эффективно и удобно.
- Наглядный и удобный многооконный графический интерфейс
- Использование концепций "задач" и "профилей" для эффективного управления процессом мониторинга безопасности
- Гибкий планировщик заданий для автоматизации работы
- Одновременное сканирование большого числа компьютеров (ограничивается, как правило, скоростью сетевого канала)
- Ведение полной истории проверок
- Генерация отчетов с различными уровнями их детализации
- Встроенная документация, включающая контекстную справку и учебник
- Работает под управлением Windows XP/Server 2003/Vista/2008/2008 R2/7
- Низкие аппаратные требования
Надежность
Мы не собираемся говорить о надежности и устойчивости программного продукта как такового. Она подразумевается по определению. Для сканера безопасности очень важно, насколько надежными являются его диагностики, то есть насколько они справедливы в РАЗЛИЧНЫХ условиях и при РАЗНООБРАЗНЫХ обстоятельствах.
При разработке XSpider этому обстоятельству уделялось особое внимание. Благодаря этому удалось обеспечить высокую надежность работы продукта с разных точек зрения.
- Надежность работы при нестандартных конфигурациях ПО (сервисы, установленные на необычных портах, "обманные" баннеры, возвращаемые сервисами и т.п.). Иногда нам возражают, что это не требуется для аудита СВОЕЙ сети, где конфигурация заранее известна. Но что хорошего, если сканер будет постоянно давать ошибочную диагностику (пусть даже очевидную для вас), которая будет постоянно засорять отчеты и вызывать лишние вопросы.
- Надежность работы при низком качестве TCP-связи В особо тяжелых случаях, XSpider всегда предупреждает о возможности недостоверной диагностики.
- Возможность определять еще не опубликованные уязвимости при помощи интеллектуальных эвристических алгоритмов. Не секрет, что хакеры зачатстую владеют большей информацией, чем открытые источники, поэтому мы постарались сделать XSpider максимально "умным", чтобы противостоять скрытым угрозам.
- Крайне низкая вероятность пропуска существующей уязвимости
Примеры реального использования
- Пример №1
Демонстрируются: а) качество работы XSpider в нестандартных ситуациях; б) способность XSpider обнаруживать критически опасные уязвимости, в отсутствии которых была высокая уверенность.
Компания Y сменила инженера по информационной безопасности. Новый специалист был достаточно квалифицированный и постоянно проводил аудит сети при помощи одного из коммерческих сканеров. Казалось, все под контролем. Когда компания приобрела XSpider, первое же сканирование показало наличие на одном из серверов ВТОРОЙ работающей копии MS SQL на порту 1435. Эта копия была установлена давно, работала, но не использовалась и в ней были не устранены критически опасные уязвимости. Сеть компании длительное время находилась под серьезной угрозой.
- Пример №2
Демонстрируются: а) надежность диагностик XSpider; б) способность XSpider помогать в расследовании инцидентов в сфере информационной безопасности.
Компания X приобрела XSpider. На следующий же день сетевой администратор компании позвонил с жалобой на то, что сканер ошибочно обнаруживает HTTP-подобный сервис на TCP-порту 10, где по его заверениям ничего не установлено. После изучения ситуации экспертами из команды XSpider оказалось, что на этом порту работает посторонняя программа типа "backdoor", а вся корпоративная сеть значительное время находится под чужим контролем.
- Пример №3
Демонстрируется: а) возможность XSpider обнаруживать неопубликованные уязвимости.
Компания Z заказала аудит безопасности почтового сервера с целью убедиться в том, что он неуязвим. На первый взгляд так и казалось: сервер был закрыт файрволом, открыты были только штатные порты 25 (SMTP) и 110 (POP). Однако проверка при помощи XSpider показала наличие уязвимости к неопубликованной DoS-атаке на порт 110. Компании Z было рекомендовано (временно) заменить ПО и сообщить об обнаруженной уязвимости разработчику почтовой системы (к счастью, не очень распространенной).
- Пример №4
Демонстрируется: а) возможность XSpider находить уязвимости, связанные с плохой конфигурацией.
В ходе аудита безопасности крупной компании N XSpider (при стандартных настройках сканирования!) смог получить доступ к SQL-серверу. Причина - слишком простой административный пароль, состоящий из четырех одинаковых символов.