Перейти к содержанию
p2u

История сравнительных тестов сканеров безопасности

Recommended Posts

p2u

Сканер безопасности - средство защиты, позволяющее вовремя 'заметить' уязвимость и предложить варианты её устранения, что в целом снижает вероятность успешных атак на объекты защиты. За несколько лет развития сетевых сканеров вполне чётко обозначились задачи, которые можно решить с их помощью: инвентаризация сетевых ресурсов, тестирование сети на устойчивость к взлому и аудит безопасности сети или её отдельных областей. Сравнительный анализ сканеров безопасности позволяет понять, какие сканеры и для решения каких задач больше подходят.

2005-2006

В лаборатории сетевой безопасности учебного центра 'Информзащита' уже в 2005-2006 годах был проведён их первый сравнительный анализ сканеров безопасности. Так как материал сейчас уже не совсем актуален, оставляю вам выбор посмотреть его или нет.

Первая часть исследования включала отчёт 'Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому', который был составлен в процессе подготовки курса КП20 'Анализ защищённости сетей'. Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому. В ходе сравнения по пяти показателям перед шестью сканерами различных производителей была поставлена задача оценки защищённости узлов сетевого периметра.

Во второй части исследования 'Функциональные возможности сканеров безопасности' были опубликованы результаты сравнения сканеров по функциональным показателям. Функциональные возможности сканеров безопасности

2008

Они тогда уже обещали, что и в дальнейшем планируют опубликовать результаты сравнения сканеров по применимости для проведения инвентаризации и аудита безопасности. И выполнили своё обещание. В декабре 2008 г. они подготовили очередной отчёт 'Сравнительный анализ сканеров безопасности. Часть 1. Тест на проникновение'.

В проведённом исследовании приняли участие 6 сканеров: Internet Scanner, MaxPatrol, Nessus Security Scanner, NetClarity Auditor, Retina Network Security Scanner, Shadow Security Scanner. Сканеры безопасности оценивались по следующим критериям: количество найденных уязвимостей, число ложных срабатываний (False Positives), число пропусков (False Negatives), причины пропусков, полнота базы проверок, качество механизмов инвентаризации и определения версий ПО, точность работы. Перечисленные критерии в совокупности характеризуют 'пригодность' сканера для решения поставленных перед ними задач, в том числе, для автоматизации рутинных действий в процессе контроля защищённости сетевого периметра. Отчёт: 2008 Pentest.

Но это ещё не всё; есть дополнение, где участвуют 3 сканера: Nessus Security Scanner, Max Patrol и McAfee Vulnerability Manager. Отчёт: 2008 Pentest_add

Я не знаю, как на itsecurity.ru относятся к тому, чтобы выкладывать сюда какие-либо результаты, поэтому я решил от этого воздержаться и ограничиваться ссылками на источник материалов. Все материалы на русском языке. Желаю приятно провести время изучением. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Здесь все очень интересно, но...- не могу получить для тестов MaxPatrol....Вопрос воспроизводимости результатов снова...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Да, воспроизводимость не малозначительный параметр здесь. По объективности теста, естественно, (как всегда) тоже возникают вопросы. Нашёл ещё 2 обсуждения в Инете по данному тесту: На securitylab.ru: Сравнительный анализ сканеров безопасности. Часть 1: тест на проникновение. Дополнение (краткое резюме)

+ комментарии 'на уровне'... :rolleyes:

и на cnews: Названы самые эффективные сетевые сканеры.

Любопытно почему тестеры не включили GFI LANguard Network Security Scanner в прошлом году.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Здесь еще одна натяжка - не верится, что Макафи заказала тест "Информзащите" своего продукта. И тестер не очень известен Америке, а методика как то так.... Да и следов на их сайте не видно....Да, его тоже непросто получить, но можно... Я получил, покрутил.

А вот MAxPatrol до сих пор ни по одному из каналов так и не смог получить. При этом реально понимаю, что компания в этом случае потеряла пару - тройку клиентов, которые купили реально доступный продукт. Да и выбор продуктов для тестов как всегда не совсем понятен. В отчете, кстати, крайне мало комментов по Макафи - только результаты. С настройками как то тоже не густо. То есть вопросов у меня сейчас реально больше, чем ответов... Пользую несколько сканеров сегодня, очень хотелось бы попробовать и этот - сравнить в боевой работе. Пока пользуюсь теми, которые получили ASV+Nessus

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

У меня есть работающая ссылка на MaxPatrol 7.0.1070 (Demo) с download.com (Free to try; $877.00 to buy ). Если вас интересует: ловите.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Спасибо, Пауль, но это XSpider... Ее я знаю, как облупленную....У меня есть протестированная 7.7. А В тестах - версия 8. Ее вот нигде сыскать не могу - ни на сайте вендора, ни в сетях. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

8 это MaxPatrol, до 7 спайдер, тоже искал в свое время она видимо передается только из рук в руки=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Defender
Спасибо, Пауль, но это XSpider... Ее я знаю, как облупленную....У меня есть протестированная 7.7. А В тестах - версия 8. Ее вот нигде сыскать не могу - ни на сайте вендора, ни в сетях. :(

можно тебя попросить скинуть XSpider 7.7 ;) ... в сети одни трояны валяються icq 440064126

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

здесь именно 7.7

http://www.ptsecurity.ru/xs7download.asp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Defender

Благодарю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

нема за що

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×