Cepat atau lambat, di perusahaan mana pun yang memikirkan keamanan informasi, muncul pertanyaan: "Bagaimana cara mendeteksi kerentanan dalam sistem yang dilindungi secara tepat waktu, sehingga mencegah kemungkinan serangan menggunakannya?" Setuju, melacak secara manual kerentanan apa yang muncul di domain publik adalah operasi yang sangat memakan waktu. Selain itu, setelah mendeteksi kerentanan, Anda harus memperbaikinya. Akibatnya, seluruh proses ini diterjemahkan menjadi sejumlah besar jam kerja, dan setiap spesialis TI segera secara alami memiliki pertanyaan lain: "Apakah mungkin untuk mengotomatiskan proses manajemen kerentanan?"
Untuk mengatasi masalah seperti itu, apa yang disebut scanner kerentanan digunakan. Dalam artikel ini, kami akan mempertimbangkan salah satu perwakilan dari solusi semacam ini, yaitu Max Patrol 8 dari Positive Technologies.
Dalam artikel ini, kami akan mendemonstrasikan cara kerja Max Patrol 8 dengan memindai sistem yang jelas rentan dan menunjukkan fungsionalitas solusi. Mari kita mulai artikel dengan "paling tidak menarik", tetapi dari masalah yang tidak kalah pentingnya, yaitu dengan skema lisensi untuk produk ini.
Skema perizinan
Perizinan dalam TI selalu merupakan proses yang kompleks dan dinamis, uraian yang seringkali memakan waktu puluhan, dan dalam kasus-kasus sulit, ratusan halaman. Pemindai Max Patrol 8 juga memiliki dokumen yang menjelaskan kebijakan lisensi. Namun, dokumen ini hanya tersedia untuk mitra dan memiliki cap tanda tangan “untuk penggunaan internal,” dan, pada prinsipnya, membaca dokumentasi teknis semacam itu membosankan, dan tidak selalu mungkin untuk memahami pertama kali, tetapi bagaimana produk dilisensikan sama sekali. Oleh tuan rumah? Sumber daya yang digunakan? Atau bagaimana? Saya akan mencoba menguraikan pertanyaan-pertanyaan yang diajukan secara umum.
Seperti banyak produk TI modern, Max Patrol 8 disediakan sesuai dengan model berlangganan. Artinya, solusi ini memiliki apa yang disebut "biaya kepemilikan" - jumlah yang harus Anda bayar untuk setiap tahun menggunakan pemindai, yang harus diberitahukan oleh mitra Anda kepada Anda, dengan mana solusinya sedang dikerjakan. Jika integrator diam tentang momen yang begitu penting, maka ini adalah kesempatan untuk meragukan niat baiknya, dan berpikir tentang perubahannya. Percayalah, menjelaskan kepada manajemen perusahaan bahwa Anda perlu memberi lebih banyak uang agar pemindai Anda tidak berubah menjadi “labu” bukanlah kesenangan yang menyenangkan. Oleh karena itu, poin penting pertama - anggaran untuk pembelian pemindai kerentanan harus direncanakan berdasarkan biaya kepemilikan produk tahunan. Dalam semua perhitungan, mitra yang bekerja sama dengan Anda di area ini akan membantu Anda.
Lisensi untuk Max Patrol 8 dapat diledakkan berdasarkan fungsi. Tiga majelis berdiri di sini:
PenTest - dukungan pengujian penetrasi;
PenTest & Audit - dukungan untuk pengujian penetrasi dan pemeriksaan sistem;
PenTest & Audit & Compliance - Dukungan untuk pengujian penetrasi, ulasan sistem dan pemantauan kepatuhan industri.
Penjelasan terperinci tentang kemampuan majelis ini berada di luar cakupan artikel ini, tetapi dari namanya Anda dapat memahami apa fitur utama dari masing-masing majelis ini.
Core pemindaian tambahan juga memerlukan lisensi tambahan. Juga, jumlah host maksimum yang akan dipindai memengaruhi biaya lisensi.
Platform pemindaian
Max Patrol 8 menawarkan banyak platform yang didukung. Mulai dari sistem operasi desktop, berakhir dengan peralatan jaringan dan sistem kontrol industri. Daftar semua platform yang didukung sangat menakjubkan, terdapat di sekitar 30 lembar A4 ...
Itu termasuk:
- sistem operasi
- peralatan jaringan
- sistem manajemen basis data
- aplikasi desktop
- perangkat lunak server
- sistem keamanan
- aplikasi bisnis
- ACS TP
- sistem keamanan informasi kriptografis
Faktanya, Max Patrol 8 di luar kotak memungkinkan Anda memindai seluruh infrastruktur TI perusahaan, termasuk peralatan jaringan, Linux dan server Windows, dan workstation dengan semua perangkat lunak yang diinstal pada mereka.
Saya ingin secara terpisah mencatat fakta bahwa Max Patrol 8 mengatasi otomatisasi tugas yang berulang, seperti inventaris, audit teknis, dan pemantauan kepatuhan dan perubahan dalam sistem informasi. Max Patrol 8 memiliki sistem pelaporan yang kuat. Karena itu, biaya tenaga kerja untuk melakukan operasi rutin seperti inventaris perangkat lunak di workstation berkurang beberapa kali. Cukup dengan membuat laporan khusus setelah menyelesaikan masalah Anda, mengatur jadwal untuk memulai pemindaian, dan Anda bisa melupakan rutinitas. Anda akan memiliki informasi terkini tentang perangkat lunak yang diinstal di tempat kerja karyawan Anda.
Max Patrol 8 tidak menggunakan agen selama pemindaian, yang menghindari kemungkinan masalah saat menginstal agen di server. Dan seringkali, agen penginstalan membutuhkan reboot server. Setuju, itu selalu sedikit mengganggu untuk menginstal perangkat lunak pihak ketiga di server produksi.
Konfigurasi minimum pemindai Max Patrol 8 terdiri dari satu server.
Server MP meliputi:
- Modul kontrol
- Basis pengetahuan yang berisi informasi tentang pemindaian, kerentanan dan standar
- Database yang berisi riwayat pindai
- Inti pemindaian
Konfigurasi inilah yang digunakan saat menulis artikel.
Proses instalasi itu sendiri cukup sepele. Panduan instalasi dimulai, klik beberapa kali, dan voila, pemindai siap bekerja jika Anda memiliki lisensi yang valid.
Deskripsi Tes
Dalam proses memilih kit distribusi untuk mendemonstrasikan pengoperasian pemindai Max Patrol 8, mata kami tertuju pada distribusi populer Metasploitable 2. Rakitan ini adalah semacam simulator untuk pentester, peneliti, dan pakar pemula di bidang keamanan informasi. Pilihan kami adalah karena perakitan itu benar-benar gratis, tidak memerlukan banyak sumber daya (mulai dan bekerja normal dengan RAM 512 MB) dan hampir menjadi standar de facto di bidang pelatihan spesialis spesialis dalam keamanan informasi.
Distribusi dibangun di server Ubuntu dengan satu set besar perangkat lunak yang rentan diinstal. Dalam sistem Anda dapat menemukan banyak jenis kerentanan. Ada backdoors, injeksi SQL, dan hanya kata sandi yang tidak tahan terhadap kekerasan. Hampir setiap layanan yang diluncurkan dalam sistem dapat menembus sistem dan meningkatkan hak istimewanya.
Alat ini sangat bagus untuk menunjukkan cara kerja pemindai kerentanan, dalam kasus kami, Max Patrol 8.
Instalasi distribusinya sangat sederhana. Baik dari template OVF, atau cukup menyalin file mesin virtual ke disk lokal, dan meluncurkan file vmx. Dimungkinkan untuk berjalan di Kotak Virtual. Segera setelah Anda memulai mesin virtual dan Anda melihat undangan, Anda harus memasukkan kombinasi msfadmin / msfadmin sebagai login dan kata sandi, yang merupakan kata spanduk undangan.
Sekarang tinggal login ke sistem dan cari tahu alamat ip mana yang diterima mesin virtual kami. Secara default, pengaturan antarmuka jaringan menunjukkan bahwa alamat ip harus ditetapkan melalui DHCP. Ini cocok untuk pengujian kami, jadi cukup masukkan perintah ifconfig dan dapatkan alamat yang akan kami masukkan di Max Patrol 8 sebagai target.
Pemindaian target
Jadi, dengan tujuan yang kami putuskan, sekarang kami perlu membuat tugas pemindaian. Pada tahap ini, kita tinggal lebih detail, dan menjelaskan proses menciptakan tugas, dan memindai target yang dipilih.
Untuk memulai pemindaian, Anda harus membuat tugas.
Dalam parameter tugas, kami menentukan profil pemindaian. Untuk demonstrasi kami, kami akan memilih profil Pemindaian Cepat. Intinya, ini adalah pemindaian port sederhana, dengan versi layanan yang mendengarkan pada port.
Seperti yang dapat Anda lihat di tangkapan layar, pemindai memiliki beberapa profil yang telah ditentukan. Deskripsi semua profil berhak mendapatkan artikel terpisah, dan berada di luar ruang lingkup tinjauan hari ini.
Selanjutnya, kita perlu mengatur simpul pemindaian, yaitu, kita harus memasukkan alamat ip dari Metasploitable kita.
Di masa depan, tugas ini dapat diluncurkan sesuai jadwal, diterapkan pada kelompok server atau workstation yang terpisah. Ini memungkinkan Anda untuk membuat kebijakan terperinci yang tugasnya hanya layanan yang relevan dengan server atau PC. Ini memungkinkan Anda mengalokasikan sumber daya dengan benar untuk pemindaian. Setuju, menghabiskan sumber daya untuk memindai pengontrol domain untuk kerentanan web bukanlah ide yang tepat
Jadi, kami meluncurkan tugas kami, dan di dasbor utama kami melihat statistik eksekusi.
Pemindaian port sederhana, dengan definisi aplikasi atau layanan dan versinya, membutuhkan waktu sekitar 15 menit.
Hasil pemindaian dapat ditemukan di bagian riwayat.
Di bagian “Pemindaian”, kami melihat daftar tugas pemindaian yang selesai. Seperti yang dapat Anda lihat di tangkapan layar, dimungkinkan untuk mengurutkan tugas berdasarkan nama dan tanggal. Sistem ini juga memiliki kemampuan untuk membangun berbagai filter, yang tentunya memudahkan untuk menemukan hasil, terutama jika pemindaian dilakukan dalam infrastruktur besar, dan pemindaian terjadwal dikonfigurasikan.
Memindai Hasil dan Fungsi Pelaporan
Jadi kami sampai pada bagian paling menarik dari tinjauan ini, yaitu, untuk melihat hasil pemindaian, dan ke fungsionalitas pelaporan. Pilih pemindaian yang kita butuhkan di jendela kanan, dan buka dengan klik dua kali. Di jendela baru, rincian hasil pemindaian akan terbuka.
Halaman utama menampilkan informasi umum tentang simpul yang kami pindai.
Akibatnya, pemindai MaxPatrol menemukan 288 kerentanan dalam sistem yang dipindai. Nomor yang sama ditunjukkan dalam deskripsi distribusi Metasploitable. Yaitu, pemindai mendeteksi semua kerentanan yang ada dalam sistem yang sedang dipindai. Untuk melihat informasi terperinci, buka bagian "navigator" dan perluas pohon dengan mengklik tanda plus.
Ketika kami memperluas pohon, kami melihat daftar port terbuka di mana layanan atau aplikasi yang rentan ditemukan. Warnanya segera menunjukkan port mana yang memiliki kerentanan kritis. Sejauh ini yang paling menarik adalah deskripsi kerentanan.
Ambil contoh port 22, dan buka pohon lebih jauh.
Dalam daftar yang terbuka, kita melihat daftar aplikasi rentan yang mendengarkan port yang ditentukan. Dalam kasus kami, dapat dilihat bahwa aplikasi server OpenSSH yang rentan tergantung pada port 22. Setelah membuka daftar lebih lanjut, kami mendapatkan semua kerentanan yang ditemukan dalam aplikasi yang ditentukan. Di sebelah kanan, di bagian informasi, Anda dapat melihat kerentanan apa yang ditemukan dan cara memperbaikinya. Laporan ini juga menerbitkan tautan ke sumber informasi tambahan tentang kerentanan yang ditemukan. Semua informasi dalam laporan diterbitkan dalam bahasa Rusia.
Nah, dalam kesimpulan ulasan, saya ingin menunjukkan bagaimana pelaporan dibangun di pemindai MaxPatrol 8. Bahkan dalam contoh kita, dengan satu server tunggal, dapat dilihat bahwa pemindai menghasilkan banyak informasi. Dan jika tugas menunjukkan pemindaian 100 node? Dalam hal ini, akan sangat sulit untuk mencari informasi yang Anda butuhkan. Untuk mengatasi masalah tersebut, ada fungsi pelaporan. Sistem memiliki templat yang telah dikonfigurasi sebelumnya, dan Anda juga dapat membuat laporan khusus tergantung pada tugas Anda.
Berikut adalah daftar templat laporan yang sudah ada dalam sistem.
Misalkan kita perlu mendapatkan informasi tentang simpul yang paling rentan dalam infrastruktur kita. Jika ada banyak node, maka secara manual mengumpulkan dan menggabungkan informasi dari setiap tugas sangat melelahkan. Karena itu, kita dapat menggunakan templat yang sudah ada di sistem. Ini disebut "Node yang paling rentan dalam pemindaian." Klik dua kali pada templat yang diinginkan, dan kita masuk ke jendela pengaturan laporan.
Dalam pengaturan Anda perlu menentukan tugas, dan pemindaian dari mana laporan akan dihasilkan.
Karena kami memiliki satu simpul dalam pemindaian, kami tidak akan melihat perbandingan dalam laporan ini.
Laporan ini menunjukkan formula di mana peringkat node rentan dibangun. Semakin tinggi kerentanan terintegrasi, semakin rentan node. Fungsionalitas pelaporan dalam pemindai MaxPatrol sangat besar, dan deskripsinya layak untuk artikel terpisah. Pelaporan dapat dijalankan sesuai jadwal, dan dikirim ke email ke karyawan IT dan IS.
Kesimpulan
Dalam artikel ini, kami memeriksa dengan Anda fitur dasar pemindai kerentanan MaxPatrol 8. Dari percobaan kami jelas bahwa untuk mulai bekerja dengan pemindai, Anda tidak perlu menjalani pelatihan tambahan, dan perlu waktu lama untuk mempelajari manual administrator. Seluruh antarmuka adalah intuitif, dan sepenuhnya dalam bahasa Rusia. Tentu saja, kami menunjukkan skenario paling sederhana memindai satu node. Dan skenario seperti itu tidak memerlukan fine-tuning pemindai. Dalam praktiknya, pemindai Max Patrol 8 dapat memecahkan skenario yang jauh lebih serius dan membingungkan. Tidak hanya penggunaan pemindai kerentanan membantu secara signifikan meningkatkan keamanan infrastruktur Anda, itu juga akan membantu dalam pelaksanaan tugas-tugas penting tetapi tidak dicintai untuk menginventarisir semua elemen infrastruktur TI, termasuk perangkat lunak yang diinstal pada workstation pengguna.