Сравнение сканеров уязвимостей: AppDetectivePro 5.4.6 и AuditPro Enterprise 4.0

Джон Грин (john@nereus.cc) — президент Nereus Computer Consulting

. Как будет показано ниже, эти продукты имеют важные различия. Есть еще одно средство обеспечения безопасности SQL Server – это Microsoft Baseline Security Analyzer, однако рассматриваемые в данном обзоре продукты содержат больше тестов оценки ситуации для SQL Server.

AppDetectivePro 5.4.6

Продукт ADP представляет собой инструмент для оценки уязвимости серверов приложений. Он позволяет проводить тестирование, не затрагивая другие системы в сети. ADP проверяет SQL Server 2008, 2005, 2000 и 7.0, включая редакции x64, Microsoft Data Engine и Express. Продукт сканирует и несколько других платформ, в том числе IBM DB2, Lotus Domino, Oracle databases, Sybase ASE и MySQL. Application Security лицензирует ADP на один экземпляр базы данных.

ADP устанавливается на системах Windows Server 2003, Windows XP или Windows 2000 и более новых, включая редакции x64. По умолчанию ADP хранит результаты в базе данных Microsoft Access, которая создается при установке продукта. В случае мониторинга большого числа баз данных лучше специальным образом настроить базу данных SQL Server для повышения эффективности сканирования.

ADP использует систему работ и задач для оценки уязвимостей. Задачи сеанса определяют приложения и IP-порты, которые инструмент будет проверять. Задачи обнаружения находят системы с активными портами в сети. Задачи Policy определяют последовательность выполняемых ADP тестов, которые могут содержать как заранее определенные, так и заданные пользователем тесты. Тесты аудита и проникновения просматривают целевые системы с целью обнаружения уязвимости: тесты аудита проводят оценку в пределах системы, тесты проникновения имитируют внешние атаки хакеров.

В ADP предусмотрен планировщик заданий (job scheduler), который позволяет автоматизировать тесты по проверке и проникновению в процессе постоянной оценки ситуации. Кроме того, имеется диспетчер уязвимостей для сопровождения статуса результатов проверки ADP. Это приложение генерирует сценарии для решения общих проблем настройки.

При установке ADP запускает мастер обнаружения Discovery Wizard, который запрашивает ввод имен хостов и IP-адреса системы баз данных для сканирования. Результатом работы мастера Discovery Wizard является сессия, которая имеет имя и включает каждый серверный экземпляр, обнаруживаемый ADP во время сканирования. Я создал сессию с одной системой Windows 2000, на которой работает SQL Server 2000, и с одной системой Windows 2003, на которой работает SQL Server 2005.

Графический пользовательский интерфейс приложения ADP (см. экран 1) является основным интерфейсом для настройки параметров сессий, работающих тестов проникновения и проверки, а также для управления отчетами. Как видно из экрана, пользователь получает доступ к последовательности меню. Иерархический вид каждой загружаемой сессии размещается слева, а окно с пояснениями – справа. По умолчанию ADP помещает все системы одной сессии в папку с именем Network. Можно создать многоуровневую иерархию папок для упорядочивания IP-адресов одной сессии. При выделении теста в окне сессии (session pane) вкладка Details внизу правого окна показывает, какая политика определяет тест, краткий обзор тестирования и другую информацию. Окно внизу содержит список обнаруженных уязвимостей. Щелкнув по какой-то из них, можно увидеть ее описание и способ устранения на вкладке Vulnerability Description (описание уязвимости) информационного окна. Аналогичные сведения можно найти в отчете Vulnerability Details (информация по уязвимостям), который будет рассмотрен ниже.

Экран 1. Интерфейс AppDetectivePro

После создания и загрузки сессии можно включить тест проверки или проникновения, используя специальную политику или встроенные политики ADP. Я выбрал несколько разных политик каждого теста. Тест на старой системе SQL Server 2000 сообщал о 16 опасных уязвимостях, 10 средних, 37 неопасных и 10 информационных уязвимостей. Тесты на системе SQL Server 2005 выявили только три критических уязвимости (два слабых пароля и пропущенные обновления), одну неопасную уязвимость (невозможность использования режима аутентификации только средствами Windows). Тесты проникновения выполнялись без аутентификации и могут, в зависимости от видов тестов, которые были включены в эту политику, дать сбой в системе безопасности и предоставить доступ к системе. При работе с тестом проникновения ADP предупреждает, что активность тестирования может приводить к регистрации на целевой системе.

ADP содержит обширный список тестов проверки и проникновения. Доступные тесты проникновения при создании пользовательской политики теста проникновения включают атаки Denial of Service (отказ в обслуживании), атаки из-за пользовательских идентификаций и легко угадываемых паролей, проблемы, связанные с системной конфигурацией, а также известные уязвимости. Это приложение содержит проверочные тесты контроля доступа, целостности приложения, контроля идентификации и пароля, а также целостности операционной системы.

Создание всесторонних и удобных отчетов основано на Crystal Reports и доступе через меню тестов, вызываемое нажатием правой кнопки. После запуска приложением ADP теста проверки или проникновения результаты тестирования можно просмотреть на экране. Можно выполнить экспорт отчетов в 16 форматах, в том числе PDF, HTML, XML, Excel и файлов значений, разделяемых запятой. После запуска теста проверки или проникновения ADP представляет четыре параметра отчета. Обзор уязвимостей (vulnerability summary) содержит краткое описание теста и число найденных уязвимостей. Подробный отчет об уязвимостях дает намного больше информации. Например, в подробном отчете об уязвимостях для тестов разрешений по расширенной процедуре перечислены две процедуры обобщенного хранения с разрешениями Execute (выполнить) для роли Public, описание уязвимости и шаблонный синтаксис для оператора REVOKE T-SQL, чтобы удалить разрешения Execute из этих процедур. Отчет о проверке статуса (check-status) включает две строчки отчета по каждому тесту в этой политике с результатами. Пользовательский информационный отчет перечисляет все учетные записи и пароли обнаруженных тестов проверки или проникновения. Окно просмотра отчета включает обычную таблицу панели содержания справа, в которой по умолчанию показаны только разделы самых верхних уровней, сопровождаемых знаками (+).

Все ранее описанные отчеты относятся к единственному запуску теста проверки или проникновения, однако кнопка Reports (отчеты) в верхней части интерфейса выдает последовательность из девяти отчетов, которые основаны на данных от нескольких тестов. Один полезный отчет, Vulnerability Differences (различия уязвимостей), сравнивает два теста проверки или проникновения, проведенных в разное время, и сообщает об уязвимостях, которые были устранены, не были устранены, а также группах новых обнаруженных уязвимостей. Другой отчет предоставляет подробную информацию об одной заданной политике. Итоговый отчет показывает уязвимости, обнаруженные во время тестирования в течение одного сеанса.

В приложении ADP предусмотрены дополнительные функции, которые помогают поддерживать охраняемые системы. Функция Vulnerability Manager (диспетчер уязвимостей) позволяет сузить исследуемую область с помощью фильтрации результатов проверки по темам – IP-адрес, уязвимость или степень воздействия. Функция Fix Scripts генерирует сценарии, которые можно настроить и вручную использовать для обычных задач настройки. Также можно создать специальные тесты, которые состоят из запроса SQL и последовательности критериев для применения к результирующей последовательности. Другая функция помогает загружать и устанавливать обновления программ.

В целом мне понравился сканер уязвимостей ADP. Его легко установить, им легко пользоваться. Документация в PDF и файлы Help в интерфейсе оказались полезными. ADP может оценить систему, используя аутентификацию изнутри, а также воздействие на систему через неаутентифицированный доступ извне. ADP содержит полезный комплект отчетов и предусматривает гибкий экспорт отчетов в нужном формате. Думаю, многим пользователям понравится то, что ADP не только дает полное описание уязвимостей, но и предлагает рецепты реагирования на них, в том числе предоставляя синтаксис операторов SQL там, где нужно. Этот продукт я вполне могу рекомендовать к использованию. Если вам нужен сканер уязвимостей базы данных, то именно AppDetectivePro будет первым инструментом, который вы оцените по достоинству.

AuditPro Enterprise 4.0

Компания Network Intelligence (Индия) позиционирует AuditPro Enterprise (APE) как средство проверки безопасности, а не как инструмент для оценки уязвимостей, потому что APE использует административные учетные данные для аутентификации на тестируемой системе. Тестирование таким способом позволяет всесторонне оценить конфигурацию системы, в том числе уровни обновлений, содержание журналов и разрешения NTFS и базы данных. Однако APE не имитирует атаки на систему извне.

APE оценивает системы Windows 2003, XP, Windows 2000, Red Hat Linux и Solaris; SQL Server 2005 и 2000, базы данных Oracle, DB2, а также маршрутизаторы Cisco Systems. Это приложение содержит базу данных по уязвимостям, которая использует проверку известных условий. Параметры интерфейса позволяют проверять обновления на стадии загрузки или по требованию.

Поименованные политики определяют тесты, которые будут запускаться для особого типа систем, оцениваемых APE. Выбор одного из таких параметров показывает последовательности «проб» — индивидуальные тесты — подходящие для этой системы. Можно завершить политику, выбрав нужные пробы для запуска. APE содержит 74 пробы для систем SQL Server и отдельный комплект проб для Windows. Комплекты проб для операционной системы также предусматривают тестирование открытых портов, имеющих отношение к сети. APE соответствует протоколу ISO/IEC 27001 и включает пробы в каждой из главных прикладных областей для поддержки этого соответствия.

Именованные профили определяют системы, которые требуется тестировать, вместе с необходимыми учетными данными аутентификации, и политики выбора проб для запуска на данной системе. APE позволяет добавлять отдельные системы по имени хоста NetBIOS или IP-адресу и выбирать для отображения имена хоста из одного домена Active Directory (AD). Я с удивлением обнаружил, что APE не разрешает вводить имя хоста в стиле DNS. Если система выполняет больше одного поддерживаемого приложения, которое необходимо тестировать в рамках одного профиля (например, Windows и SQL Server или SQL Server и Oracle), то APE разрешает обеспечить учетные данные и выбрать одну политику тестирования для каждого приложения на этой системе. Полный профиль представляет собой список систем, каждая с одним или более приложениями вместе с обязательными учетными данными аутентификации и политикой тестирования.

Некоторые функции APE для Sybase кажутся противоречивыми. Например, это приложение показывает Sybase как параметр в Profile Manager, а не в Policy Manager. Графический пользовательский интерфейс AuditPro Enterprise (см. экран 2) мог бы быть более удобным для пользователя. Например, пользовательский интерфейс, Policy Manager и Profile Manager реализованы в окнах, размеры которых нельзя изменить, отдельные колонки слишком узкие, и вся информация в них не видна.

Экран 2. Графический пользовательский интерфейс AuditPro Enterprise

Документация APE отличается несогласованностью. Имеющаяся информация на сайте Network Intelligence (Индия) описывает продукт, но не дает информации по применению. При запросе более подробной документации поставщик прислал файл PDF на восьми страницах с описанием установки и применения для APE в общих чертах. Справка Help, установленная с APE, дает информацию о пробах для Windows, Linux и DB2, но не для баз данных SQL Server или Oracle или использования Probe Manager для применения обычных проб.

Я установил APE на системе Windows Server 2003, работающей с SQL Server 2005. Понадобилось запустить два установочных модуля: один для AuditPro, второй — тот, который поставщик позиционирует как модуль Crystal Reports для генерации более сложных отчетов. Я использовал функцию развертывания AD, чтобы создать один профиль, который бы включал восемь систем Windows с минимальным набором проб для каждой из них, один профиль с одной системой Windows 2000 Server с SQL Server 2000, и третий профиль с системой Windows 2003 и SQL Server 2005. Последние два я настроил с полным набором проб для их версий Windows и SQL Server. После запуска проверки для каждого профиля APE я создал один комплект отчетов HTML. Этот восьмиуровневый отчет сообщил о числе уязвимостей, обнаруженных в пяти категориях, дал ссылку на подробный отчет для каждой системы и каждого приложения — в данном случае один отчет для проб Windows и отдельные отчеты для проб SQL Server. В каждом случае тесты для одной целевой системы выполнялись за несколько минут, причем APE сообщал о нескольких уязвимостях так же, как в отчете ADP. Отчет представлял таблицы в обоих интерфейсах, а итоговый отчет включал ссылки на подробную информацию, правда, они содержали пустые отчеты.

Этот подробный отчет перечислял результаты каждой пробы и присваивал уровень критичности каждой протестированной уязвимости, значение OK или уровень опасности – низкий, средний, высокий. APE вычисляет взвешенную оценку уязвимости, присваивая значения 1, 2 и 3, соответственно уязвимостям незначительным, средним и опасным, и составляя полный отчет. Для Windows в отчете дан список обновлений по безопасности, открытых IP-портов, активных служб и процессов, локальные настройки политики безопасности, администраторов и анализ настроек журнала регистрации событий. Для SQL Server отчет имеет информацию по аутентификации и авторизации для членов ролей sysadmin, разрешений execute, присвоенных различным хранимым процедурам, состоянию проверки записей реестра и настройки историй SQL Server.

Наконец я обнаружил в меню Settings возможность для изменения пароля консоли и создания базы данных, где APE хранит результаты проверки, за одну процедуру, в обновленной документации, которую все-таки получил от APE. Я создал базу данных, в которой есть четыре пользовательские таблицы. После запуска нескольких проверок функция Advanced Reporting предоставила результаты проверки как доступные для сравнения и создания отчета, однако ни один из четырех типов отчетов (generic report, trending analysis, audit results report, software inventory – соответственно, общий отчет, анализ тренда, отчет результатов проверки и реестр программ) не содержал данных. Поскольку документации по установке, настройке и применению компонентов процедуры составления отчетов у меня не было, пришлось отказаться от продолжения исследования.

В целом APE совершенно не готов к использованию с первого раза. Возможно, если бы документация была достаточно полной и четко описывала, как настроить и использовать продукт, у меня сложилось бы другое мнение. Однако и в таком виде подробные отчеты на основе языка HTML, сгенерированные прямо при запуске процесса проверки, выдали много полезной информации, причем их можно использовать, как контрольный перечень для ограничения функциональности системы в целях обеспечения безопасности.

Очевидный победитель

Приложение APE не способно делать тесты по проникновению, но в целом работает хорошо как сканер. Это приложение поможет обнаружить широкий спектр уязвимостей и помогает устанавливать соответствие протоколу ISO/IEC 27001. Однако интерфейс APE неудобен, документация неполная, некоторые функции составления отчетов, по-видимому, не работают. Приложение ADP превосходит APE по возможностям проверочного сканирования, которые, как минимум такие же, как у APE; есть обширные тесты по проникновению, намного лучше пользовательский интерфейс, имеется превосходная документация. Если APE сообщает общую информацию о том, что делать для решения проблемы, то ADP предоставляет подробные объяснения и, как правило, пошаговые процедуры. Я бы отдал предпочтение приложению ADP. Во всех отношениях это более завершенный продукт.