Службы уведомления об уязвимостях

Network World, США

Когда в системе информационной безопасности обнаруживается новая уязвимость, вам хочется узнать, каким числом датировано первое сообщение о ней, какие продукты подвергаются риску, каково потенциальное воздействие на корпоративную сеть и какие упреждающие меры следует принять. Умножьте число таких вопросов на 889 — именно столько сообщений о новых уязвимостях появилось в минувшем году. Теперь понятно, какую огромную массу информации нужно сортировать и анализировать высококвалифицированным сотрудникам ИТ-отдела, отвечающим за информационную безопасность, которых в вашей организации может попросту не быть.

В ходе тестирования служб уведомления об уязвимостях компаний Co-Logic Security, Cybertrust, PivX Solutions, SecurityMob, SecurityGlobal.net, Secunia и Symantec мы оценивали, насколько актуальна, своевременна, точна и полезна их информация, направляемая в ваш почтовый ящик или на административную консоль. В целом эти службы следует признать очень полезными, поскольку они помогают отфильтровывать массу ненужных сведений. Сотрудники отдела информационной безопасности могут сфокусироваться на ликвидации уязвимых мест вместо того, чтобы просматривать бесконечные почтовые рассылки и сайты производителей в поисках недавно обнаруженных угроз.

Победителем испытаний стал продукт DeepSight Alert Service, доставшийся Symantec благодаря прошлогоднему приобретению фирмы SecurityFocus. Его отличают наиболее богатый спектр вариантов транспортировки уведомлений, очень подробные отчеты, средства детальной настройки категорий уведомлений и высокая оперативность их доставки.

Ненамного отстала от него служба Alert Manager фирмы Cybertrust. Она появилась в результате слияния TruSecure и Betrusted, завершившегося в ноябре. Среди сильных сторон этого продукта — великолепная информативность и удобный формат сообщений, хотя выбор вариантов доставки мог бы оказаться побогаче.

Рекомендуем обратить пристальное внимание и на продукты компаний Secunia, PivX и SecurityGlobal. Разработанная первой служба Security Manager относится к самым дешевым предложениям из фигурировавших в нашем тесте, но она оказалась на высоте в плане доставки уведомлений. Сервис ThreatFocus Diligence от PivX имеет интуитивный интерфейс и очень прост в использовании. А служба SecurityTracker фирмы SecurityGlobal эффективно решает задачу — принудительной доставки уведомлений клиентам.

Основные различия между сервисами разных компаний, как правило, связаны с методами сбора и интерпретации сведений об уязвимостях. Такие продукты, как E-Secure-IT компании Co-Logic и SecurityMob одноименной фирмы, представляют собой простые агрегаторы данных. Они аккумулируют сведения из сотен источников (почтовых рассылок, анонсов производителей, Web-сайтов, сообщений экспертов по информационной безопасности), а затем посылают вам актуальные уведомления, используя заданный канал доставки. Продукт E-Secure-IT предлагает также подборку публикаций по вопросам безопасности, собранных из множества источников. Для профессионалов в области ИБ возможность получать всю эту информацию из одного источника поистине неоценима.

Другие службы сконцентрированы на предоставлении сведений о новых уязвимостях и их анализе для оперативного реагирования. Продукты компаний Symantec и Cybertrust охватывают широкий круг таких уязвимостей, выполняя собственный анализ и генерацию записей. Они проводят тестирование в целях обнаружения заявленных уязвимостей, подробно анализируют угрозы и методы уменьшения их последствий, выдают ссылки на соответствующие файлы программных «заплаток». Собственные описания уязвимостей генерируют и продукты Security Manager, SecurityTracker и ThreatFocus Diligence, но они не отличаются такой же глубиной анализа.

Различия между сервисами связаны и со степенью важности, присваиваемой каждому уведомлению. Общая тенденция сводится к установке уровня риска на основе наихудшего варианта развития событий, что может ввести пользователя в заблуждение. Мы советуем тем, кто принимает решение об установке тех или иных «патчей», не полагаться целиком на эти сервисы. Чтобы решить, насколько оперативно следует реагировать на предупреждение, организация должна провести собственный анализ. Скажем, уведомление, относящееся к уязвимости сервера Apache, может оказаться некритичным для компании, использующей его исключительно в качестве платформы Web-сервера интранета. А вот если на Apache базируются все Web-серверы, работающие в Internet, фирма должна немедленно принять надлежащие меры.

Продукт SecurityTracker вообще не обеспечивает информации о рисках, предоставляя возможность ранжировать угрозы самим клиентам. Правда, производитель сообщает, что этот сервис вскоре пополнится функцией, которая поможет организациям оценивать внутренние риски. Служба DeepSight Alert Service, напротив, анализирует и оценивает риски по десятибалльной шкале в различных категориях. Остальные продукты занимают промежуточное положение между сервисами компаний SecurityGlobal.net и Symantec.

В ходе испытаний мы сконцентрировались на четырех основных характеристиках служб уведомления:

• информативность (степень детализации) сведений, поставляемых в уведомлениях;
• параметры доставки, включая оперативность и методы доставки, формат сообщений;
• управление уведомлениями, прежде всего — наличие графического интерфейса пользователя для настройки сервиса, простота работы с ним и качество документации;
• охват, подразумевающий способы идентификации новых угроз и количество поддерживаемых продуктов.

Что вы хотите мне сообщить?

По критерию «Информативность» мы оценивали классификацию уязвимостей, описания отдельных угроз и предлагаемые меры реагирования. Всех поставщиков можно разделить на две категории: предлагающие универсальный рейтинг (т.е. присваивающие любой угрозе высокий, средний или низкий уровень опасности) или оценку отдельных параметров (таких как серьезность угрозы и потенциальное воздействие). Службы второй категории предоставляют более подробную информацию, которая может оказаться весьма полезной для дальнейшего анализа.

DeepSight Alert Service отличается наивысшей информативностью и по отдельности оценивает риски в отношении серьезности угрозы, воздействия на информационные системы, простоты противодействия уязвимостям и уровня доверия к сообщениям о них. Alert Manager по пятибалльной шкале определяет серьезность угрозы, необходимость срочного реагирования и уровень доверия. Остальные службы предлагают универсальную, не разбитую по категориям оценку. В Security Manager оказалось наибольшее число градаций (пять), в SecurityMob — четыре градации, в ThreatFocus Diligence — три, а E-Secure-IT вообще присваивает угрозам красный либо желтый цвет.

В описаниях угроз мы уделяли большое внимание объяснениям их смысла. В значительном отрыве от конкурентов оказались службы DeepSight Alert Service и Alert Manager, подробные отчеты которых содержали базовое описание уязвимостей, подробное объяснение их взаимосвязи с уровнем безопасности, техническую информацию, сценарии атак и ссылки на средства противодействия (если таковые имеются). В Alert Manager предусмотрен раздел комментариев, в котором аналитики Cybertrust размещают свои замечания по поводу обнаруженных проблем. Выяснилось, что эти комментарии содержат малоизвестные сведения об уязвимостях и весьма содержательное обсуждение мер противодействия злоумышленникам, которые могут воспользоваться такими брешами. Продукты SecurityTracker, Security Manager и ThreatFocus Diligence также генерируют описания, но не очень подробные.

Функция, которая явно не повредила бы всем протестированным службам, — постоянное сопоставление генерируемых уведомлений с записями в базе данных стандартных имен уязвимостей и рисков (CVE). Это помогло бы «привязать» отчеты, создаваемые на основе внутреннего мониторинга уязвимостей и генерируемые системами выявления вторжений, к поступающим от этих служб уведомлениям.

По нашему мнению, наиболее важным элементом уведомлений являются рекомендуемые меры противодействия новым угрозам. DeepSight Alert Service предлагает полный список ссылок на обходные пути и программные «заплатки», выпускаемые производителями. При всей их полезности поиск нужной информации в длинных списках может оказаться непростой задачей. В продукте Alert Manager на первом месте — способы предотвращения угроз, а затем уже — ссылки на данные производителей и «заплатки». Впрочем, в обоих случаях многие из рекомендуемых мер связаны с общими компонентами информационной защиты, которые должны присутствовать в корпоративной среде как базовые элементы инфраструктуры.

Сервис SecurityTracker не обеспечивает специального анализа средств устранения уязвимостей. Пользователям придется полагаться на рекомендации компании, которая впервые обнаружила новую уязвимость, либо на сообщения разработчиков ПО.

Сервис SecurityTracker не обеспечивает специального анализа средств устранения уязвимостей

Подход, реализованный в Security Manager, не отличается последовательностью: в одних случаях предоставляется исчерпывающий список ссылок на программные «заплатки», в других дело ограничивается указанием исходного источника информации. Так, для протестированной нами уязвимости mod_include в системе Apache данная служба вывела ссылку только на Web-сайт Apache, с которого можно загрузить последнюю версию исходного кода, оставив за кадром производителей обновленных пакетов.

ThreatFocus Diligence также генерирует списки ссылок на программные «заплатки», периодически включая в них рекомендации по «обходу» уязвимостей. Эти рекомендации учитывают специфику уязвимостей и не сводятся к общеизвестным принципам информационной защиты. Наконец, сервисы E-Secure-IT и SecurityMob ограничиваются рассылкой сообщений об уязвимостях, которые изначально появляются в Internet.

Как до меня достучаться?

По критерию «Доставка сообщений» мы оценивали методы рассылки и форматы уведомлений, а также своевременность их получения. Победителем снова оказалась служба DeepSight Alert Service, поддерживающая наибольшее число каналов доставки, включая электронную почту, SMS, факсы и голосовые сообщения. Электронную почту поддерживают все сервисы, а SMS — только половина из них. Помимо продукта Symantec голосовые сообщения генерирует SecurityTracker; для реализации этой возможности фирма SecurityGlobal.net воспользовалась технологией независимого разработчика.

Большинство уведомлений имеют текстовый формат, но некоторые компании реализовали поддержку XML, либо HTML, либо того и другого. Больше других нам понравился формат уведомлений в сервисе Alert Manager — HTML-сообщения генерируются в виде бюллетеня с несколькими колонками. Правда, в этом случае затруднена навигация: если сообщение не уместилось на одной странице, то продолжение первой колонки надо искать на следующей странице, а не в колонке, расположенной правее.

DeepSight Alert Service — пока единственная служба, поддерживающая формат PDF. Генерируемые отчеты отличаются ясностью, и их удобно читать. Security Manager присылает уведомления в виде обычного текста, но дополнительную информацию в более удобном представлении можно получить, заглянув на Web-сайт компании. Уведомления, содержащие записи CVE, доступны только на сайте фирмы Secunia. ThreatFocus Diligence предлагает лишь текстовые сообщения, которые точно так же выглядят на Web-консоли. Хотелось бы, чтобы в этом сервисе появилась функция переформатирования сообщений для их вывода на печать.

Кто быстрее?

Своевременность доставки уведомлений играет ключевую роль. В уведомления из набора, выбранного нами для тестирования, должны были попадать сообщения производителей, сведения из списков рассылки, обновленные версии прошлых уведомлений и ссылки на ПО с открытым кодом. Продукт DeepSight Alert Service оказался самым быстрым: иногда сообщения от него поступали на несколько дней раньше, чем от других служб. Сервис SecurityMob также практически всегда опережал конкурентов. Сведения из информационных бюллетеней производителей (в наших испытаниях это были Cisco и Sun) попадали в уведомления об уязвимостях, как правило, в тот же день.

Наиболее любопытной оказалась ситуация с уязвимостью IFRAME, обнаруженной в браузере Internet Explorer. Продукт DeepSight Alert Service прислал нам соответствующую информацию 25 октября 2004 года, т.е. в тот же день, когда она появилась в списках рассылки Bugtraq и Full-Disclosure. Остальные службы включили ее в свои уведомления лишь в начале ноября, когда прототип вредоносного кода, использующего упомянутую уязвимость, появился в нескольких списках рассылки по безопасности. Последней к финишу пришла служба E-Secure-IT: сообщение о том, что Microsoft выпустила программную «заплатку», она сгенерировала аж 1 декабря. Других упоминаний об IFRAME в уведомлениях E-Secure-IT мы так и не обнаружили.

Сервис SecurityTracker вообще не сгенерировал уведомление по следам информационного бюллетеня Sun, посвященного уязвимости файлового Samba-сервера, словно тот не содержал ничего нового по сравнению с исходным сообщением этой компании, датированным июлем прошлого года. А ведь новая версия бюллетеня была выпущена Sun 26 октября 2004 года! Как и следовало ожидать, остальные службы прислали уведомления в тот же день.

От Security Manager уведомления поступали группами в ночное время. Мы принимали их ночью того же дня, когда появлялось исходное сообщение об уязвимости, либо рано утром на следующий день. Сервис Alert Manager отправлял нам информацию в день ее появления, но на несколько часов отставал от других служб, также генерировавших уведомления в день появления исходных сообщений. Служба E-Secure-IT отличалась высокой оперативностью при сборе сведений из информационных бюллетеней производителей, но оказалась крайне медлительной при работе с почтовыми рассылками и инструментами, основанными на открытом коде.

Как с вами совладать?

Эта группа тестов была нацелена преимущественно на использование графического интерфейса пользователя для конфигурирования профилей и просмотра уведомлений. Кроме того, мы оценивали простоту работы с сервисами и качество документации.

Служба DeepSight Alert Service предлагает трехстадийный метод настройки конфигурации. Пользователь должен определить метод доставки, задать списки продуктов и выбрать так называемые мониторы, т.е. механизмы, формирующие профили уведомлений из метода доставки и списка продуктов. Для выбора продуктов, на которые распространяются генерируемые уведомления, компания реализовала на редкость удобный интерфейс: после указания продукта или производителя система сама ограничивает дальнейшие возможности выбора, например номером версии. На каждом шаге можно задать фильтры, включающие или исключающие определенные варианты.

В сервисе Alert Manager реализована аналогичная схема выбора продуктов, но предназначенный для этого интерфейс менее удачен. Для настройки конфигурации уведомлений пользователь должен создать список продуктов, а затем добавлять в него необходимые позиции. Служба E-Secure-IT присылает больше рекомендаций и ссылок на статьи по проблемам безопасности, чем какой-либо иной сервис, но интерфейс настройки ее конфигурации не отличается элегантностью. На экране царит полная неразбериха, а на каждом из этапов настройки приходится иметь дело с динамическими списками. При большом числе продуктов размеры этих списков становятся ужасающими.

Основной «конек» SecurityTracker — простота. Управляющий интерфейс легок в обращении, но формирование «корзины» продуктов осуществляется путем выбора подходящих позиций из неимоверно длинного списка. Самостоятельно обнаружить в нем то, что вы ищете, невозможно, поэтому нам всякий раз приходилось прибегать к поиску в окне браузера. Наличие встроенных средств поиска и выбора конкретных версий явно пошло бы на пользу этому сервису.

Разработчики Security Manager избрали совершенно иной подход: они предлагают настраивать конфигурацию по отдельным серверам, а не по продуктам. Администратору предстоит задать операционную систему и приложения, работающие под ее управлением, а также выбрать метод доставки. Для IP-адресов, которые видны извне сети, можно запустить функцию сканирования, основанную на технологии Nessus и позволяющую оценить степень уязвимости.

Службу SecurityMob отличает высокоинтуитивный интерфейс. Специальный механизм быстрого построения профилей предлагает список заранее сформированных профилей уведомлений, например относящихся к среде Windows или к компьютерным вирусам. От расширения набора таких профилей, особенно для ОС UNIX, этот сервис заметно выиграл бы на фоне конкурентов. Чтобы добавить в профиль какие-то продукты вручную, нужно воспользоваться списком с древовидной структурой, элементы которого сгруппированы по функциональному признаку. Средства поиска продуктов в списке отсутствуют.

Сервису ThreatFocus Diligence средства поиска также не помешали бы. Пока администратору остается лишь прокручивать перечень производителей, а затем выбирать одну из заранее предусмотренных категорий продуктов. Выбрать конкретную версию продукта нельзя, зато компания PivX Solutions реализовала функцию сканирования для оценки степени уязвимости.

В целом наибольшей интуитивностью отличаются SecurityMob, SecurityTracker и ThreatFocus Diligence. Использование DeepSight Alert Service также не вызовет серьезных затруднений, но функциональная насыщенность этого сервиса может заставить на первых порах обращаться к документации. Сказанное справедливо и в отношении Alert Manager: документация поможет быстрее разобраться с конфигурированием профилей и уведомлений. E-Secure-IT предоставляет такое количество информации, что поначалу работа с интерфейсом этой службы просто обескураживает. Да и вообще приходится признать, что данный сервис нуждается в радикальном улучшении Web-интерфейса.

При работе с сервисами уведомлений об уязвимостях документация не так важна, как при использовании других средств информационной безопасности, но на возникающие вопросы все же хочется найти ответ. В этом отношении наивысших похвал заслуживают DeepSight Alert Service и Alert Manager, разработчики которых предлагают как печатные руководства пользователя, так и экранные справочные системы. Бумажная документация поставляется и для E-Secure-IT. Сервис ThreatFocus Diligence имеет прекрасную экранную систему помощи. А вот разработчики Security Manager, SecurityTracker и SecurityMob ограничились лишь минимальными онлайновыми справочными системами, доступными с управляющей консоли.

Какие продукты вам известны?

От службы уведомления мало проку, если она не предоставляет необходимые сведения об интересующих вас продуктах. Чтобы оценить ширину их охвата каждой службой, мы сгенерировали список продуктов, подлежащих мониторингу на предмет уязвимости, и попытались соответствующим образом настроить профили уведомлений.

Как оказалось, только SecurityMob и ThreatFocus Diligence поддерживают не все продукты из нашего списка. Обе службы «оставили за кадром» ПО WebLogic компании BEA Systems и изделия F5 Networks. Кроме того, сервис SecurityMob не поддерживает мониторинг уязвимостей для коммутатора сетей хранения производства Brocade, брандмауэров фирмы NetScreen и устройств VPN Concentrator 3000 от Cisco. Служба ThreatFocus Diligence не выполняет мониторинг для SnapServer, устройства хранения от Network Appliance и антивирусного приложения компании Sophos.

Как показало тестирование, службы уведомления об уязвимостях способствуют повышению эффективности работы сотрудников, отвечающих за ИТ-безопасность. Они делегируют поиск информации компаниям, специализирующимся на таких задачах. Самым удивительным результатом испытаний стало выявление огромных различий между сервисами в сроках генерации уведомлений, содержащих одну и ту же информацию: порой разница доходила до нескольких недель.

Хотя первые места заняли службы DeepSight Alert Service и Alert Manager, нужно иметь в виду, что за дополнительные функции придется платить. Для организаций с ограниченным бюджетом неплохими решениями станут SecurityTracker, ThreatFocus Diligence и Security Manager. А сервисы E-Secure-IT и SecurityMob, по сути, представляют собой простые агрегаторы, которые пересылают вам исходные материалы без их анализа. Независимо от цены конкретного сервиса при выборе нужно удостовериться, что продукт полностью совместим с вашей корпоративной средой, т.е. способен доставлять уведомления требуемым способом, соответствует вашим запросам к содержанию уведомлений и, главное, поддерживает все используемые продукты.

Зачем нужны службы уведомления

Временной интервал между обнародованием фирмой-производителем сведений об уязвимости и написанием хакерами кода, использующего эту брешь, постоянно сокращается. Главная выгода от использования служб уведомления об уязвимостях состоит в том, что они позволяют быстрее латать обнаруженные бреши, особенно в крупных корпоративных сетях.

Службы уведомления освобождают высокооплачиваемых сотрудников ИТ-отделов от выполнения детального анализа, без которого надежная защита сети невозможна. Эти службы отбирают наиболее ценные сведения об уязвимостях, аккумулируют данные из последних сообщений производителей и помогают выбрать меры противодействия. Сотрудники компаний, отвечающие за информационную безопасность, своевременно получают уведомления и могут оперативно принимать контрмеры. Использование комплексных служб предупреждения в сочетании с системой регистрации нештатных ситуаций позволяет заметно сократить временные затраты при организации защиты корпоративной сети от только что обнаруженных уязвимостей.

Процедура тестирования

Мы зарегистрировались в качестве клиента во всех семи службах. Для настройки профиля доставки уведомлений по электронной почте использовались средства на базе Web, если таковые имелись. Когда это было возможно, мы выбирали также получение уведомлений в виде SMS.

Поначалу мы ограничились сообщениями для ОС Windows, но затем распространили доставку уведомлений на все продукты, функционировавшие в тестовой сети. Полный список этих продуктов таков: Windows (2000 Server и Workstation, 2003 Enterprise Server, XP Professional), Red Hat (Fedora, Red Hat 9, Enterprise Server 3.0), FreeBSD, Apache 1.3 и 2, IIS 5 и 6, SnapServer, proftpd, sendmail, postfix, Samba, MS Office (XP и 2003), сервер приложений WebLogic, антивирусное ПО компании Sophos, брандмауэр производства NetScreen Technologies, средство выравнивания нагрузки фирмы F5 Networks, маршрутизаторы и устройство VPN Concentrator 3000 производства Cisco, устройство хранения от Network Appliance, коммутатор Brocade с интерфейсами Fibre Channel, Snort, SQL Server 2000, Oracle 9i и OpenSSH.

Чтобы точнее оценить качество уведомлений, мы выбрали пять исходных сообщений (от хорошо известных до «неприметных»), впервые опубликованных в один из 45 дней тестирования. Ими стали сообщения об уязвимостях IFRAME в браузере Internet Explorer (CAN-2004-1050) и mod_include в сервере Apache (CAN-2004-0940), о сбое инициализации таблиц IPTables ядра Linux (CAN-2004-0986), об уязвимости оборудования Cisco в отношении атак типа «отказ в обслуживании» при работе по протоколу DHCP (CVE-2004-1111) и о переполнении буфера Samba-сервера в среде ОС Solaris (CAN-2004-0686). Для каждого из этих сообщений мы оценивали категорию уведомления, детальность содержащейся в нем информации, своевременность доставки и общий формат.