«Сканер безопасности» студенты GU о своем проекте


Содержание

В России разработан сканер безопасности. Он позволит снять запрет на провоз жидкости в самолете

Сканер безопасности, способный распознавать содержимое емкостей разработала российская компания «Ратэк». Внедрение новой технологии позволит провозить жидкости в самолетах, пишут РИА Новости.

Президент некоммерческого партнерства «Руссофт», руководитель рабочей группы SafeNet Национальной технологической инициативы (НТИ) Валентин Макаров сообщил, что сканер на основе нейтронных технологий способен выявить минимальное количество любого вещества в закрытой упаковке. «Для жителей страны это означает отказ от запрета на провоз жидкости и других веществ в самолетах, поездах и других местах массового скопления людей. Эта технология сильно упростит контроль за перевозом взрывчатых веществ», — заявил Макаров.

По его словам, проект был одобрен регуляторами, и первая такая система была внедрена во «Внуково». «Сейчас закладывается проектное решение для метрополитена Петербурга», — отметил глава «Руссофта».

Макаров также сообщил, что провоз жидкостей в аэропортах будет разрешен, когда все системы будут заменены на инновационные. «Для этого надо заменить существующие решения на новые, а это значит, нужно найти финансовые ресурсы, которые позволили бы аэропортам, портам и вокзалам это сделать. Это, скорее, связано уже не с технологическими проблемами, а бюджетом и желанием их решать», — считает Макаров.

Система также распознает и измеряет наличие разных веществ в материалах. «Уже сейчас система используется за границей, в Чили, для выявления количества меди в руде, которая идет по транспортеру. Мы можем уже сейчас по грузовику, который проезжает под специальной рамкой, понять, сколько находится в его кузове кадмия, никеля, железа и других веществ», — добавил Макаров.

«Сканер безопасности»: студенты GU о своем проекте

ОБЗОР И СРАВНЕНИЕ СКАНЕРОВ УЯЗВИМОСТЕЙ

Рожкова Екатерина Олеговна

студент 4 курса, кафедра судовой автоматики и измерений СПбГМТУ, РФ, г. Санкт-Петербург

Ильин Иван Валерьевич

студент 4 курса, кафедра безопасных информационных технологий

СПб НИУ ИТМО, РФ, г. Санкт-Петербург

Галушин Сергей Яковлевич

научный руководитель, канд. техн. наук, зам.проректора по научной работе, РФ, г. Санкт-Петербург

Для высокого уровня безопасности необходимо применять не только межсетевые экраны, но и периодически проводить мероприятия по обнаружению уязвимостей, например, при помощи сканеров уязвимости. Своевременное выявление слабых мест в системе позволит предотвратить несанкционированный доступ и манипуляции с данными. Но какой вариант сканера наиболее подходит нуждам конкретной системы? Чтобы ответить на этот вопрос, прежде всего, необходимо определиться с изъянами в системе безопасности компьютера или сети [1]. Согласно статистике, большинство атак происходит через известные и опубликованные «лазейки» безопасности, которые могут быть не ликвидированы по многим причинам, будь то нехватка времени, персонала или некомпетентность системного администратора. Также следует понимать, что обычно в систему недоброжелатель может проникнуть несколькими способами, и если один из способов не сработает, нарушитель всегда может опробовать другой. Для обеспечения максимального уровня безопасности системы требуется тщательный анализ рисков и дальнейшее составление четкой модели угроз, чтобы точнее предугадать возможные действия гипотетического преступника.

В качестве наиболее распространенных уязвимостей можно назвать переполнение буфера, возможные ошибки в конфигурации маршрутизатора или межсетевого экрана, уязвимости Web-сервера, почтовых серверов, DNS-серверов, баз данных [2]. Кроме этого, не стоит обходить вниманием одну из самых тонких областей информационной безопасности — управление пользователями и файлами, поскольку обеспечение уровня доступа пользователя с минимальными привилегиями — специфичная задача, требующая компромисса между удобством работы пользователя и обеспечением защиты системы. Необходимо упомянуть проблему пустых или слабых паролей, стандартных учетных записей и проблему общей утечки информации.

Сканер безопасности — это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей; они позволяют значительно сократить время работы специалистов и облегчить поиск уязвимостей [3].

Обзор сканеров безопасности

В данной работе рассматривались сканеры, имеющие бесплатную триал-версию, позволяющую использовать программное обеспечение для ознакомления с ограниченным списком его возможностей и оценкой степени простоты интерфейса. В качестве предметов обзора выбраны следующие популярные сканеры уязвимостей: Nessus, GFI LANguard, Retina, Shadow security scaner, Internet Scanner.

Nessus [4]

Nessus — программа для автоматического поиска известных изъянов в защите информационных систем. Она способна обнаружить наиболее часто встречающиеся виды уязвимостей, например наличие уязвимых версий служб или доменов, ошибки в конфигурации (отсутствие необходимости авторизации на SMTP-сервере), наличие паролей по умолчанию, пустых или слабых паролей.

Сканер Nessus является мощным и надежным средством, которое относится к семейству сетевых сканеров, позволяющих осуществлять поиск уязвимостей в сетевых сервисах, предлагаемых операционными системами, межсетевыми экранами, фильтрующими маршрутизаторами и другими сетевыми компонентами. Для поиска уязвимостей используются как стандартные средства тестирования и сбора информации о конфигурации и функционировании сети, так и специальные средства, эмулирующие действия злоумышленника по проникновению в системы, подключенные к сети.

В программе существует возможность подключения собственных проверочных процедур или шаблонов. Для этого в сканере предусмотрен специальный язык сценариев, названный NASL (Nessus Attack Scripting Language). База уязвимостей постоянно полнеет и обновляется. Зарегистрированные пользователи сразу же получают все обновления, тогда как остальные (триал-версии и т. д.) с некоторой задержкой.

GFI LanGuard [10]

GFI LanGuard Network Security Scanner (N.S.S) — это отмеченное наградой решение, использующее для защиты три основных компонента: сканер безопасности, управление внесением исправлений и сетевой контроль с помощью одной объединенной консоли. Просматривая всю сеть, он определяет все возможные проблемы безопасности и, используя свои обширные функциональные возможности по созданию отчетов, предоставляет средства, необходимые для обнаружения, оценки, описания и устранения любых угроз.

В процессе проверки безопасности производится более 15 000 оценок уязвимости, а сети проверяются по каждому IP-адресу. GFI LanGuard N.S.S. предоставляет возможность выполнения многоплатформенного сканирования (Windows, Mac OS, Linux) по всем средам и анализирует состояние сети по каждому источнику данных. Это обеспечивает возможность идентификации и устранения любых угроз прежде, чем хакеры добьются своего.

GFI LanGuard N.S.S. поставляется с полной и исчерпывающей базой данных оценки уязвимостей, включающей такие стандарты как OVAL (более 2 000 значений) и SANS Top 20. Эта база данных регулярно обновляется информацией от BugTraq, SANS Corporation, OVAL, CVE и др. Благодаря системе автоматического обновления GFI LanGuard N.S.S. всегда содержит новейшую информацию об обновлениях Microsoft в области защиты, а также информацию от GFI и других информационных хранилищ, таких как база данных OVAL.

GFI LanGuard N.S.S. сканирует компьютеры, определяет и классифицирует уязвимости, рекомендует действия и предоставляет средства, позволяющие устранить возникшие проблемы. GFI LANguard N.S.S. также использует графический индикатор уровня угрозы, который обеспечивает интуитивную, взвешенную оценку состояния уязвимости проверенного компьютера или группы компьютеров. При возможности предоставляется ссылка или дополнительная информация по определенному вопросу, например идентификатор в BugTraq ID или в базе знаний Microsoft.

GFI LanGuard N.S.S. позволяет легко создавать собственные схемы проверки уязвимости с помощью мастера. С помощью машины сценариев VBScript можно также писать сложные схемы проверки уязвимости для GFI LanGuard N.S.S. GFI LanGuard N.S.S. включает редактор сценариев и отладчик.

Retina [5]

Retina Network Security Scanner, сканер уязвимостей сети комппании BeyondTrust, выявляет известные уязвимости сети и осуществляет приоритезацию угроз для их последующего устранения. В процессе использования программного продукта происходит определение всех компьютеров, устройств, ОС, приложений и беспроводных сетей.

Пользователи также могут использовать Retina для оценки рисков информационной безопасности, управления рисками проектов и выполнения требований стандартов с помощью аудитов согласно политике предприятия. Данный сканер не запускает код уязвимости, поэтому сканирование не приводит к потере работоспособности сети и анализируемых систем. С использованием фирменной технологи Adaptive Speed на сканирование локальной сети класса С потребуется около 15 минут, этому способствует Adaptive Speed — технология скоростного безопасного сканирования сети. Кроме того, гибкие возможности по настройке области сканирования позволяют системному администратору анализировать безопасность всей сети или заданного сегмента, не влияя на работу соседних. Происходит автоматическое обновление локальных копий базы, поэтому анализ сети всегда производится на основе наиболее актуальных данных. Уровень ложных срабатываний составляет менее 1 %, существует гибкий контроль доступа к системному реестру.

Shadow security scaner (SSS) [6]

Данный сканер может использоваться для надежного обнаружения как известных, так и не известных (на момент выпуска новой версии продукта) уязвимостей. При сканировании системы SSS анализирует данные, в том числе, на предмет уязвимых мест, указывает возможные ошибки в конфигурации сервера. Помимо этого, сканер предлагает возможные пути решения этих проблем и исправления уязвимостей в системе.

В качестве технологии «лазеек» в системе используется ядро собственной разработки компании-производителя Shadow Security Scanner. Можно отметить, что работая по ОС Windows, SSS будет производить сканирование серверов вне зависимости от их платформы. Примерами платформ могут служить Unix-платформы (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows-платформы (95/98/ME/NT/2000/XP/.NET/Win 7 и 8). Shadow Security Scanner спсобен также определять ошибки в оборудовании CISCO, HP и других. Данный сканер создан отечественными разработчиками, и соответственно, имеет русский интерфейс, а также документацию и линию горячей поддержки на нем.

Internet Scanner [7]

Данный сканер обеспечивает автоматизированное обнаружение и анализ уязвимостей в корпоративной сети. В числе возможностей сканера — реализация ряда проверок для последующей идентификации уязвимостей сетевых сервисов, ОС, маршрутизаторов, почтовых и web-серверов, межсетевых экранов и прикладного ПО. Internet Scanner может обнаружить и идентифицировать более 1450 уязвимостей, к которым могут быть отнесены некорректная конфигурация сетевого оборудования, устаревшее программное обеспечение, неиспользуемые сетевые сервисы, «слабые» пароли и т. д. [8]. Предусмотрена возможность проверок FTP, LDAP и SNMP-протоколов, проверок электронной почты, проверки RPC, NFS, NIS и DNS, проверок возможности осуществления атак типа «отказ в обслуживании», «подбор пароля», проверок Web-серверов, CGI-скриптов, Web-браузеров и X-терминалов. Кроме того, существует возможность проверки межсетевых экранов, proxy-серверов, сервисов удаленного доступа, файловой системы, подсистемы безопасности и подсистемы аудита, системного реестра и установленных обновлений ОС Windows и т. д. Internet Scanner позволяет анализировать наличие какой-то одной уязвимости на заданном участке сети, например проверку установки конкретного патча операционной системы. Internet Scanner может работать на сервере Windows NT, также поддерживает ОС AIX, HP-UX, Linux и Solaris.

Прежде чем выбрать критерии сравнения, следует подчеркнуть, что критерии должны охватывать все аспекты использования сканеров безопасности: начиная от методов сбора информации и заканчивая стоимостью [10]. Использование сканера безопасности начинается с планирования развёртывания и самого развёртывания. Поэтому первая группа критериев касается архитектуры сканеров безопасности, взаимодействия их компонентов, инсталляции, управления. Следующая группа критериев — сканирование — должна охватить методы, используемые сравниваемыми сканерами для выполнения перечисленных действий, а также другие параметры, связанные с указанными этапами работы программного продукта. Также к важным критериям относятся результаты сканирования, в частности, как они хранятся, какие могут быть сформированы отчёты на их основе. Следующие критерии, на которых следовало бы заострить внимание, это критерии обновления и поддержки, которые позволяют выяснить такие вопросы, как методы и способы обновления, уровень технической поддержки, наличие авторизованного обучения и т. д. Последняя группа включает в себя единственный, но весьма важный критерий — стоимость.

· Возможности сканирования (профили сканирования);

· Возможность настройки профилей (насколько гибко);

· Идентификация сервисов и приложений;

· Генерация отчета (форматы);

· Возможность генерации произвольного отчета (свои);

«Сканер безопасности»: студенты GU о своем проекте


В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий — анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.

Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все эти компоненты нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут «слабые» места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах вместо «ручного» вмешательства со стороны администратора найденная уязвимость будет устраняться автоматически (например, в системе System Scanner). Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:

  • «люки» в программах (back door) и программы типа «троянский конь»;
  • слабые пароли;
  • восприимчивость к проникновению из незащищенных систем;
  • неправильная настройка межсетевых экранов, Web-серверов и баз данных;
  • Прочие моменты

Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: «Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?», то они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет. Это один из аспектов, присущий всем системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых есть у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Все эти вопросы привели к тому, что я решил поделиться практическим опытом работы с различными системами анализа защищенности и написать о том, как вообще работают сканеры безопасности, что они могут, а что нет. Помимо своего практического опыта, при написании данной статьи я использовал материалы компании Internet Security Systems, Inc., Cisco Systems и Network Associates.

Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п.

Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Поскольку наибольшее распространение получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено именно им.

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости — сканирование (scan) и зондирование (probe).

Сканирование — механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия — по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название «логический вывод» (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование — механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем «сканирование», но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название «подтверждение» (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования («логического вывода»), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа «отказ в обслуживании» («denial of service»).

На практике указанные механизмы реализуются следующими несколькими методами.

«Проверка заголовков» (banner check)

Указанный механизм представляет собой ряд проверок типа «сканирование» и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки — анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.

Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков «по умолчанию». Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.

Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.

«Активные зондирующие проверки» (active probing check)

Также относятся к механизму «сканирования». Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении «цифрового слепка» (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.

Специализированная база данных (в терминах компании Cisco — база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.

Этот метод также достаточно быстр, но реализуется труднее, чем «проверка заголовков».

«Имитация атак» (exploit check)

Перевода термина «exploit» в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом «имитация атак». Данные проверки относятся к механизму «зондирования» и основаны на эксплуатации различных дефектов в программном обеспечении.

Некоторые уязвимости не обнаруживают себя, пока вы не «подтолкнете» их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод «exploit check», отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к «отказу в обслуживании» анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа «Packet Storm»), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, — по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию «Denial of service» («Отказ в обслуживании»). При включении любой из проверок этой группы система Internet Scanner выдает сообщение «WARNING: These checks may crash or reboot scanned hosts» («Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы»).

Практически любой сканер проводит анализ защищенности в несколько этапов:

  • Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
  • Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом «поступает» и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).
  • Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
  • Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch’и и hotfix’ы, устраняющие обнаруженные уязвимости.
  • Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности «отката» не существует.

В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:

  • Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым
  • Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа «exploit check».
  • Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы.
  • Все из вышеназванного

Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено — это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.

Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, — сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер.

Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:

  • Потенциальные — вытекающие из проверок заголовков и т.н. активных «подталкиваний» (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого.
  • Подтвержденные — выявленные и существующие на анализируемом хосте.

Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование «несильных подталкиваний». «Подталкивание» используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость.

Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения.

Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка «слабости» паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.

Цукерберг рекомендует:  Bot - создание чат-бота для собственного мессенджера

Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.

Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования.

Например, различие между системами CyberCop Scanner и Internet Scanner в том, что разработчики из NAI никогда не добавят в свой продукт проверку, если не могут с уверенностью сказать, что проверка надежно обнаруживает уязвимость. В то время как разработчики ISS пополняют свою базу даже в том случае, если их проверка обнаруживает уязвимость с некоторой точностью. Затем, уже после выпуска системы, происходит возврат к разработанным проверкам, их улучшение, добавление новых механизмов осуществления проверок той же уязвимости для повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше. С одной стороны лучше, когда вы с уверенностью можете сказать, что на анализируемом узле определенной уязвимости нет. С другой, даже если существует хоть небольшой шанс, что вы можете обнаружить уязвимость, то надо этим шансом воспользоваться. В любом случае наиболее предпочтительным является проверка типа «имитация атак», которая обеспечивает наибольший процент точного обнаружения уязвимостей.

Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:

  • Особенности конфигурации пользовательской системы.
  • Способ, которым был скомпилирован анализируемый демон или сервис.
  • Ошибки удаленной системы.

В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в т.ч. и неавтоматизированными, исследовать каждый подозрительный случай.


Разница в реализации

Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения — в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. «Если вы спросите меня — дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным». Так и со средствами поиска уязвимостей.

Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях.

Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи.

С 1992 года, когда появился первый сканер SATAN, существенно изменились требования к такого рода средствам. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей.

Автоматическое обновление уязвимостей

До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения.

Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.

Единый формат базы уязвимостей

В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, — это описание уязвимостей и их проверок (атак).

Языки описания уязвимостей и проверок

Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером — разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange).

Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX).

В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д.

Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:

# Секция описания сервисов: На анализируемом узле найден netstat
port 15 using protocol tcp => Service:Info-Status:netstat

Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.

# Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте. (scanfor «SuperApp 1.0» on port 1234) ||
(scanfor «SuperApp 1.0 Ready» on port 1235) => VULp:Old-Software:Super-App-Ancient:10003

Данная потенциальная уязвимость (VULp) относится к типу «устаревшее (потенциально уязвимое) программное обеспечение» (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).

Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.

Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем «висит» еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.

Использовать такого рода средства надо. Но хочу еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.

Надо помнить, что сканер — это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

«Сканер безопасности»: студенты GU о своем проекте

Программный комплекс внутреннего аудита информационной безопасности операционных систем семейства Linux, созданный в Казанском федеральном университете, получил свидетельство о регистрации, и в скором времени планируется наладить его производство.

Для этого при поддержке КФУ организуется малое инновационное предприятие, которое будет заниматься реализацией инновационного программного обеспечения.

Проект «Разработка программного комплекса аудита информационной безопасности операционных систем VTrawl» в августе этого года стал победителем конкурса «10 лучших инновационных идей КФУ». Его автор – Венера Шарипова, окончившая в 2020 г. магистратуру Института физики Казанского федерального университета по направлению «Инноватика». Комплекс программ пассивного аудита средств обеспечения информационной безопасности оперативной системы семейства Linux создавался ею совместно с ассистентом кафедры радиофизики Ириной Лапшиной. Руководил работой доцент кафедры общей физики КФУ Юрий Захаров.

«Программный комплекс оценивает корректность настройки составляющих системы информационной безопасности Linux, – говорит Венера Шарипова. — Аудит направлен на поиск потенциальных уязвимостей в защите операционной системы. Осуществляется проверка настройки средств безопасности, а также защитных механизмов системы, их способности противостоять различного рода атакам».

Созданный в КФУ программный комплекс внутреннего аудита безопасности операционных систем по своей структуре и функционалу можно отнести к категории сканеров безопасности. Рынок «сканеров безопасности» небольшой по количеству игроков. Отечественная компания Positive Technologies является, по сути, монополистом в нашей стране. Разработанный в Казанском университете «сканер безопасности» отличается от аналогов своей способностью анализировать конфигурацию подсистемы безопасности операционной системы в целом, основываясь на состоянии ее составляющих.

Аналитический центр InfoWatch публикует ежегодные отчеты об утечках конфиденциальной информации во всем мире. Неутешительная статистика свидетельствует о том, что больше всего нуждается в информационной защите государственный сектор. Вместе с тем госструктуры России в большей степени оснащены зарубежными программными продуктами, например, компании Microsoft. Отсутствие доступа к открытому исходному коду этих программных продуктов не позволяет оценить безопасность их использования в операционных системах. Использование государственными организациями непроверенного программного обеспечения для работы с данными может способствовать возникновению многочисленных уязвимостей в сетевых ресурсах и угроз разной степени опасности.

О том, как можно бороться с угрозами информационной, а значит и национальной безопасности, рассказала Ирина Лапшина:

«В настоящее время существует много предназначенных для госструктур разработок российских компаний в области инструментальной защиты и аудита систем с открытым кодом, которые позволяют обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также формируют четкие и понятные рекомендации по устранению выявленных брешей. Однако по непонятным причинам разработки пока не занимают заметной доли на российском рынке».

Ни у кого не вызывает сомнения тот факт, что импортозамещение в области программного обеспечения — одна из важнейших задач государства. Подписанный 26 июля этого года президентом РФ В.Путиным «Закон о защите критической информационной инфраструктуры от хакеров» (он вступит в силу 1 января 2020 г.) стал официальным подтверждением того, что Правительство России рассматривает информационную безопасность как составляющую национальной.

Что такое GFI LanGuard

Больше, чем сканер уязвимостей!

GFI LanGuard — это сетевой сканер безопасности: обнаружение, определение и исправление уязвимостей в сети. Полное сканирование портов, наличие необходимых обновлений ПО для защиты сети, а также аудит программного и аппаратного обеспечения — все это возможно из единой панели управления.

Сканер портов

Несколько заготовленных профилей сканирования позволяют провести как полное сканирование всех портов, так и быстро проверить только те, которые обычно используются нежелательным и вредоносным ПО. GFI LanGuard сканирует сразу несколько узлов одновременно, заметно сокращая требуемое время, а затем сравнивает найденное ПО на занятых портах с ожидаемым.

Обновления и патчи

До установки последних обновлений ваши узлы совершенно не защищены, так как именно новейшие уязвимости, которые закрывают актуальные патчи и обновления, используются хакерами для проникновения в вашу сеть. В отличие от встроенных в ОС инструментов, GFI LanGuard проверят не только саму ОС, но и популярное ПО, уязвимости которого обычно используется для взлома: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, браузеры, мессенджеры.

Аудит узлов

GFI LanGuard подготовит для вас подробный список установленного программного и аппаратного обеспечения на каждом из компьютеров, обнаружит запрещенные или недостающие программы, а также лишние подключенные устройства. Результаты нескольких сканирований можно сравнить, чтобы выявить изменения в наборе программного и аппаратного обеспечений.

Самые свежие данные об угрозах

Каждое сканирование проводится после обновления данных об уязвимостях, количество которых в базе GFI LanGuard уже перевалило за 50.000. Поставщиками информации об угрозах являются сами вендоры ПО, а также зарекомендовавшие себя списки SANS и OVAL — вы всегда защищены от самых новейших угроз, включая heartbleed, clandestine, shellshock, poodle, sandworm и других.

Автоматическое исправление


После того, как вы получите подробный отчет о результатах сканирования с описанием каждой уязвимости и ссылками на дополнительную литературу, вы можете исправить большинство угроз одним нажатием на кнопку «Remediate»: порты будут закрыты, ключи реестра исправлены, патчи установлены, ПО обновлено, запрещенные программы удалены, а недостающие программы — будут установлены.

Поддержка популярных ОС

Функции сетевого сканера безопасности распространяются на все популярные ОС для рабочих станций и серверов (Windows, MacOS, популярные дистрибутивы Linux и Unix), а также на смартфоны на базе iOS и Android. GFI LanGuard позволяет установить отдельные пары логин/пароль для доступа, а также файл ключа для подключения по SSH.

Поддержка виртуальных платформ

Даже если вы используете виртуализацию в своей сети, GFI LanGuard полностью вам подходит без каких-либо ограничений. Добавьте все виртуальные машины VMware, Virtual PC, VirtualBox и др. и получите полную картину их безопасности.

Отчетность с поддержкой стандартов

Отчеты, которые строит GFI LanGuard подходят как для технических специалистов, так и для менеджмента компании. Поддерживаются популярные форматы: PDF, HTML, XLS, XLSX, RTF и CSV. К уже существующим отчетам PCI DSS, HIPAA, SOX, GLB/GLBA и PSN CoCo вы можете добавить собственные шаблоны в планировщик.

Онлайн демо

Мы покажем вам продукт «живьем» онлайн, бесплатно установим и настроим.

Статья Список основных программ для пентестера

Pirnazar

Well-known member

Вы начинающий пентестер или ищите подсказки с чего начать или как стать хакером с нуля ? Мы рекомендуем вам изучить и начать работать с этим списком сканирующих программ для изучения цели и сети. Мы искали везде пособие для начинающих, но никак не нашли что-то что было бы все в одном, и решили создать эту статью для начинающих. Всё будет изложено кратко. Вот наши рекомендации на самые популярные и эффективные программы для взлома и сканирования. Если вы знаете программы получше прошу оставить в комментариях ваше мнение.

1. Acunetix – есть и бесплатная и платная версия. У этого инструмента есть много назначении, но самое главное из них то Показатели для SQL проникновения и Cross Site scripting.

Она также имеет встроенный анализатор для скрипта. Этот инструмент безопасности генерирует подробные отчеты, которые идентифицируют уязвимости в системе. Многие разработчики используют её для выявления уязвимостей своих программ и систем. Очень полезный инструмент как для взлома так и для выявления уязвимостей.

3. Cain & Abel или просто Каин. Классный инструмент для тех кто начинает писать скрипты. Его больше используют как инструмент для восстановления паролей. Этот инструмент позволяет тестеру восстановить различные типы паролей прослушиванием сетевого трафика, и взлома зашифрованных паролей с использованием либо словаря либо Brute Force атакой. Инструмент также может записывать VoIP разговоры и имеет возможность декодировать кодированные пароли, обнаружения сетевых ключей WiFi и кэшированных паролей. При правильной эксплуатации тестер может также анализировать протоколы маршрутизации. Инструмент безопасности по своей природе не использует какие-либо уязвимости в программном обеспечении или отверстия, а просто выявляет недостатки безопасности в стандартных протоколах. Студенты которые учатся на IT в сфере безопасности используют этот инструмент чтобы выучить APR (Arp Poison Routing) Man-in-the-Middle attacks (MITM). Новые версии этой программы позволяет взламывать самые используемые и популярные алгоритмы шифрования.

4. Ettercap – тут много слов не надо. Думаю по сей день это самая крутая штука для MITM атаки. Оно использует ARP poisoning для атаки. Позволяет увидеть все что творится в сети которой вы находитесь.

5. John The Ripper – пожалуй самое крутое имя для такого рода инструмента. Очень популярный инструмент безопасности, часто сокращенно просто “Джон” используется для взлома паролей. Изначально созданный для операционной системы UNIX, в настоящее время работает на всех основных операционных системах. До сих пор этот инструмент является одним из самых популярных для тестирования паролей и взлома программ которые обеспечивают безопасность. Инструмент сочетает в себе различные взломщики паролей в одном сжатом пакете, который затем может идентифицировать типы хешей паролей через собственную настраиваемую алгоритма крекинга.

6. Metasploit – является проектом для безопасности, которая предоставляет информацию об уязвимостях и помогает тестирование и обнаружения вторжений. Проект с открытым исходным кодом – известный как Metasploit Framework, используется специалистами по безопасности, чтобы выполнить код эксплойта на удаленном целевом компьютере – для тестирования на проникновение, конечно! Но Хакеры его очень любят он позволяет творить чудеса.

7. Nessus – еще один гигант для сканирования уязвимостей. Nessus сканирует различные типы уязвимостей. Те, которые проверяют хакеры на наличие дыр, что могут эксплуатировать, чтобы получить контроль или доступ к компьютерной системе или сети. Инструменты также сканирует пароли по умолчанию и общие пароли, которые можно использовать и выполнить через Hydra (внешний инструмент), и запустить атаку по словарю. Другие сканирования уязвимостей включают в себя DDOS атаки против стека TCP / IP.

8. Nmap – еще один массивный гигантский инструмент для безопасности, который был вокруг всегда, и, вероятно, самый известный. Nmap имеет признаки во многих фильмов, включая Матрица – просто Google, и вы увидите, что мы имеем в виду. Написанная в C, C ++, Python, Lua Гордон Lione (Fedor), начиная с 1997 года, Nmap (Network Mapper) является де-факто и лучший сканер безопасности, который используется для обнаружения узлов по компьютерной сети. Для обнаружения узлов в сети Nmap посылает специально построенные пакеты на целевой хост, а затем анализирует ответы. Программа очень сложная, потому что в отличие от других сканеров портов. Он посылает пакеты, основанные на сетевых условиях с учетом колебаний, заторов и многое другое.

9. Kismet – это беспроводной детектор сети, анализатор, и отличный в обнаружение вторжений инструмент безопасности. С Kismet можно контролировать и слушать 802.11b, 802.11a, 802.11g и 802.11n трафик. Есть много Сниферов, но то, что делает Kismet разным и очень популярным является тот факт, что он работает пассивно – это означает, что программа не посылает никаких пакетов, при этом в состоянии контролировать беспроводные точки доступа и беспроводных клиентов. Оно с открытым исходным кодом и широко используется.

10. Wireshark – была вокруг нас в течение веков и является чрезвычайно популярным. Wireshark позволяет пентестеру поставить сетевой интерфейс в неразборчивый режим и, следовательно, увидеть весь трафик. Этот инструмент имеет множество функций, таких как возможность для сбора данных от живого подключения к сети или читать из файла, сохраненного уже перехваченных пакетов. Wireshark способен считывать данные из широкого спектра сетей, с Ethernet, IEEE 802.11, PPP, и даже петли. Как и большинство инструментов из нашего списка безопасности, захваченные сетевые данные могут контролироваться и управляться с помощью графического интерфейса – который также позволяет вставлять плагины и использовать их. Wireshark может также захватывать пакеты VoIP (как Каин) и сырой USB трафик так же может быть захвачен.

Positive Technologies
Позитив Текнолоджиз

Содержание

Выручка и прибыль компании , тыс. рублей

Год Выручка Прибыль
2013 888737
2014 1011904

Активы

Активы

История

Партнерство со Schneider Electric в области разработки решений для защиты АСУ ТП

13 марта 2020 года компании Schneider Electric и Positive Technologies сообщили о заключении соглашения о технологическом партнерстве в области разработки совместных решений для защиты АСУ ТП. Совместный программно-аппаратный комплекс будет построен на базе продукта PT Industrial Security Incident Manager View Sensor и индустриального промышленного компьютера Magelis iPC. Решение позволит выявлять кибератаки, неавторизованные действия персонала и злоумышленников, не оказывая нежелательного влияния на технологический процесс, и сможет использоваться в сложных климатических и технологических условиях эксплуатации. Подробнее здесь.

Соглашение о расследовании киберинцидентов с «Информзащитой»

29 января 2020 года компания Positive Technologies сообщила, что заключила соглашение о расследовании киберинцидентов с «Информзащитой». Партнерство Positive Technologies и ИБ-интегратора «Информзащита» нацелено на повышение уровня защищенности клиентов IZ:SOC (security operation center интегратора). По условиям соглашения команда экспертного центра безопасности Positive Technologies (PT Expert Security Center) будет привлекаться к расследованиям и анализу киберинцидентов, помогать своими решениями в организации и контроле усиленного сетевого периметра.

По информации компании, риски информационной безопасности постоянно растут: согласно исследованию Positive Technologies, спрос на услуги по созданию вредоносного ПО втрое превышает предложение, а стоимость проведения целевой атаки на организацию составляет всего несколько тысяч долларов. При этом потери от кибератак могут исчисляться десятками, сотнями тысяч долларов и даже миллионами. Увеличивается и число киберинцидентов: в третьем квартале 2020 года их было зафиксировано на 24% больше по сравнению с первым кварталом 2020 года. Согласно оценкам аналитиков, рост числа уникальных кибератак продолжится.

Подписание соглашения о партнерстве в сфере расследования инцидентов ― логичное продолжение плодотворного сотрудничества наших компаний. Объединение усилий позволит привлекать к разбору инцидентов лучших экспертов из наших компаний, что сократит время на выявление причин и ликвидацию предпосылок их повторения в будущем.

В своей работе команда PT Expert Security Center активно использует решения Positive Technologies — систему оценки защищенности MaxPatrol 8, межсетевой экран PT Application Firewall, систему мониторинга событий информационной безопасности и выявления инцидентов в реальном времени MaxPatrol SIEM, систему многоуровневой защиты от вирусных угроз PT MultiScanner и PT Network Attack Discovery, решение, предназначенное для выявления следов компрометации в сетевом трафике и расследования атак.

Сотрудничество с «ICL Системные технологии» в области реагирования на инциденты ИБ

18 декабря 2020 года компания Positive Technologies сообщила, что объединила усилия в области реагирования на инциденты ИБ совместно с «ICL Системные технологии». Компании заключили соглашение о сотрудничестве, в рамках которого экспертный центр безопасности компании Positive Technologies (PT Expert Security Center) будет оказывать центру мониторинга и реагирования на компьютерные инциденты (SOC) компании «ICL Системные технологии» помощь в расследовании целенаправленных атак и выявлении актуальных угроз.

SOC компании «ICL Системные технологии» построен на базе передовых процессов и технологий. Компания имеет 20-летний опыт реализации проектов по обеспечению ИБ в организациях различных отраслей и сотрудничает с ведущими российскими и зарубежными производителями средств защиты информации и мониторинга ИБ.

В рамках сотрудничества «ICL Системные технологии» сможет привлекать специалистов экспертного центра безопасности Positive Technologies к расследованиям и анализу инцидентов, реагированию на кибератаки, а также к задачам по контролю сетевого периметра (advanced border control).

Угрозы информационной безопасности касаются практически любого бизнеса и всех без исключения государственных организаций. Только за 2020 год количество компаний, которые стали жертвами целевых атак, увеличилось в два раза. Надеемся, что знания наших специалистов помогут клиентам SOC компании «ICL Системные технологии» своевременно обнаружить вредоносную активность и предотвратить серьезные последствия.

За последние два года специалисты экспертного центра безопасности компании Positive Technologies провели более пятидесяти расследований инцидентов информационной безопасности, в числе которых расследование действий группировки Cobalt, обнаружение группировки ICEFOG, выявление APT на государственные и частные компании.

Вхождение в состав РНК СИГРЭ


Эксперты компании вошли в рабочую группу по вопросам кибербезопасности систем АСУ ТП и систем защиты автоматики. Их ключевая задача — сформировать рекомендации по обеспечению ИБ для энергетических предприятий всего мира, которые будут учитывать практический опыт компании в области корпоративной и промышленной безопасности и разработке ПО.

Как уточнил руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский, цель компании в составе комитета — участие в подготовке рекомендаций по моделированию угроз, а также перечня мер и методов реагирования на инциденты безопасности и кибератаки. Кроме того, важным результатом работы Positive Technologies должна стать разработка риск-ориентированного подхода к обеспечению функциональной надежности и безопасности объектов электроэнергетики, который будет учитывать и угрозы кибербезопасности.

«Ланит» и Positive Technologies готовят совместный продукт по защите компаний от целевых атак

«Ланит» и Positive Technologies работают над созданием совместного продукта. Не исключено, что в дальнейшем это перерастет во что-то большее. Это следует из слов президента «Ланита» Георгия Генса, который в марте 2020 года дал в интервью TAdviser.

У нас есть общие проекты с другими компаниями. Иногда это потом перерастает в нечто большее, иногда — нет. Может быть, подобный общий проект будет и с «Позитив Текнолоджиз». Мы вместе делаем продукт. Безопасность нас очень сильно интересует, мы много работаем со всеми, пытаемся делать какие-то совместные вещи, — заявил он.

Генс добавил, что компании будут продавать безопасность как услугу.

В Positive Technologies заявили TAdviser, что, действительно, обсуждают с компанией «Ланит» варианты коммерческого партнерства в сфере информационной безопасности.

В частности, мы планируем оказывать совместную услугу по защите крупных заказчиков от таргетированных атак. Данная услуга включает в себя использование наших продуктов и экспертных сервисов, а также интеграторской компетенции «Ланита» и их первой линии поддержки. В ближайшее время мы собираемся делать первые пробные проекты, — отметил в разговоре с TAdviser заместитель гендиректора Positive Technologies по развитию бизнеса Борис Симис.

Positive Technologies это нужно для того, чтобы расширить свою клиентскую базу и воспользоваться наработками «Ланита» по круглосуточному мониторингу, добавил Симис. Компании прорабатывают различные возможные бизнес-схемы оказания этих услуг.

Сотрудничеством с в Positive Technologies экспансия «Ланита» на рынок ИБ может не ограничиться. По словам Георгия Генса, компания сотрудничает и с «Информзащитой».

С президентом «Информзащиты» Петром Ефимовым Генс, по собственному признанию, дружит много лет. На вопрос TAdviser о том, является ли «Ланит» владельцем «Информзащиты», он ответил отрицательно:

Эта информация не соответствует действительности. Но могу сказать, с чем она связана. У нас с ними очень много совместных проектов, но мы точно так же вместе много работаем и с группой НКК, и с «Кроком»

«Ланит» заинтересовался покупкой Positive Technologies

«Ланит» пытался, но не смог купить Positive Technologies. Об этом TAdviser в феврале 2020 года рассказал источник, хорошо знакомый с деятельностью «Ланита». По его словам, владельцы Positive Technologies продавать компанию отказались.

Другой собеседник считает, что сделка могла состояться. В ЕГРЮЛ сведения о смене собственников Positive Technologies не отражены.

В самом «Ланите» не опровергли и не подтвердили факт переговоров с Positive Technologies.

Стратегия группы компаний «Ланит» – расти быстрее рынка. Для реализации данного подхода мы, в том числе, рассматриваем возможности развития бизнеса через создание новых эффективных альянсов и взаимовыгодных партнерств, — заявили TAdviser в пресс-службе компании.

В Positive Technologies заявили, что никаких переговоров ни с кем о привлечении инвестиций их компания не ведет.

Один из экспертов рынка информационной безопасности отмечает, что слух о продаже Positive Technologies всплывает каждый год. По мнению собеседника TAdviser, это связано с тем, что «дела у компании идут не очень хорошо»: «зарубежный бизнес не случился, денег на систему «ГосСОПКА» в бюджете нет». В числе потенциальных покупателей по слухам ранее фигурировали «Ростелеком», «Ростех», «Инфосистемы Джет» и «Астерос», говорит эксперт.

Цукерберг рекомендует:  Загнутые уголки на чистом CSS

По данным ЕГРЮЛ, к Positive Technologies относятся 3 юрлица, связанные общим гендиректором, основателем Юрием Максимовым: АО «Позитив текнолоджис», АО «Позитивные технологии», и АО «Группа Позитив». Выручка первых двух из них по итогам 2020 года росла: у «Позитив текнолоджис» — на 26%, до 1,6 млрд рублей, у «Позитивных технологий» — на 7%, до 217,7 млн рублей. В свою очередь, «Группа Позитив» была основана в сентябре 2020 года. По состоянию на февраль 2020 года финансовые показатели компаний за 2020 год еще не раскрыты.

Запуск направления по созданию центров ГосСОПКА совместно с Solar Security

Компании Solar Security и Positive Technologies запустили в ноябре 2020 года совместное бизнес-направление по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) на базе комплекса технологий и экспертизы Positive Technologies, а также сервисов Solar Security по мониторингу и реагированию на инциденты.

Запуск программы MSSP-партнерства (Managed Security Service Provider)

Компания Positive Technologies запустила в апреле 2020 года программу MSSP-партнерства (Managed Security Service Provider), которая позволит партнерам, сертифицированным по этому направлению, оказывать услуги по обеспечению информационной безопасности для своих клиентов на базе технологий Positive Technologies.

Участники программы — сервис-провайдеры, оказывающие ИБ-услуги по аутсорсинговой модели, смогут приобрести специальные лицензии на продукты MaxPatrol SIEM, PT MultiScanner и линейку PT Application Security — PT Application Firewall и PT Application Inspector, предназначенные для оказания услуг конечным пользователям. Срок действия лицензии в зависимости от продукта составит от одного месяца до года. Продажа лицензий на продукты Positive Technologies для оказания услуг осуществляется только авторизованным MSSP-партнерам, среди требований к которым:

  • действующий сертификат на техническую поддержку программного обеспечения Positive Technologies для поставщика услуг,
  • достаточное число сертифицированных технических специалистов по продуктам выбранного направления в штате.

По правилам программы интеграция сервиса, построенного на базе продуктов Positive Technologies, в инфраструктуру заказчика и две первые линии технической поддержки будут выполняться силами MSSP-партнера. Консультации в рамках третьей линии будут осуществляться специалистами Positive Technologies.

Компания Positive Technologies оставляет за собой право на протяжении всего периода сотрудничества осуществлять вендорский контроль за качеством работы MSSP-партнера на всех этапах работы с продуктами, участвующими в программе.

Расширение штата до 700 человек

В 2020 году Positive Technologies увеличила штат с примерно 450 до 700 сотрудников. Об этом рассказал TAdviser в январе 2020 года заместитель гендиректора компании Борис Симис. На начало февраля в шести офисах (Москва, Нижний Новгород, Новосибирск, Самара, Томск, Санкт-Петербург) работает более 730 человек, уточнили в Positive Technologies.

Московский офис сосредотачивает около 70% сотрудников, на Санкт-Петербургский, Томский и Нижегородский офисы совокупно приходится около 25% от общего числа сотрудников.

Основная часть нового персонала – разработчики программного обеспечения, говорит Борис Симис. В 2020 году Positive Technologies по большей части пополняла свою команду программистами на Python, С++, C#, фронтенд-разработчиками уровней middle и senior.

Активный наем разработчиков связан с расширением продуктовой линейки. Изначально Positive Technologies была «компанией одного продукта», но за последние два года трансформировалась в мультипродуктовую. В 2015 году она выпустила новый продукт MaxPatrol SIEM для управления событиями и информацией ИБ, а в 2020 году линейка пополнилась несколькими продуктами:

  • PT Industrial Security Incident Manager (PT ISIM) — система управления инцидентами кибербезопасностиАСУ ТП,
  • PT MultiScanner — многопоточная система выявления вредоносного контента,
  • MaxPatrol SIEM LE — программно-аппаратный комплекс для выявления инцидентов ИБ в реальном времени.

Также велась разработка нового решения PT SS7 Attack Discovery для анализа сигнального трафика.

По словам заместителя гендиректора Positive Technologies, разработчиков компания нанимала в основном с рынка. Потребность в кадрах помогает закрывать и работа компании с вузами, а также проведение форума по практической безопасности Positive Hack Days для программистов.

Целые коллективы из других компаний в 2020 году в Positive Technologies не переходили, уточнил Борис Симис. Такой случай однажды имел место ранее, в 2015 году. Тогда в Positive Technologies перешла целая группа разработчиков из сибирского отделения американской компании F5 Networks, которое последняя закрыла.

Некоторая часть персонала, пополнившего штат Positive Technologies в 2020 году, была набрана в региональные офисы для развития продаж, добавил Симис.

В 2020 году также были открыты два крупных офиса в Европе, рассчитанных на 100-150 человек. Подробнее об этом — в блоке ниже.

Positive Technologies открыла R&D-центры в Англии и Чехии

Positive Technologies в 2020 году начала развивать направление исследований и разработок за рубежом. Об этом рассказал TAdviser в январе 2020 года заместитель гендиректора компании Борис Симис. По его словам, в конце прошлого года, в частности, Positive Technologies начала набирать персонал по направлению исследований в свой лондонский офис.

Кроме того, в 2020 году компания открыла центр разработки в Брно (Чехия). В этом городе расположено много технических университетов, офисы разработки там имеют и другие ИТ-компании. Positive Technologies нанимает сюда программистов для разработки продуктов, направленных на зарубежный телеком-рынок. В ближайшей перспективе планируется набрать в этот офис до 50 человек, говорит Борис Симис.

Российские программисты хорошие, и их услуги обходятся дешевле любых европейских. С этой точки зрения иметь разработку в России нам удобно. С другой стороны, невозможно быть международной компанией, не имея разработки где-то еще. Нужно быть ближе к локальным заказчикам. Это особенно актуально для разработчика продуктов в области информационной безопасности, — пояснил TAdviser мотивы создания разработки за рубежом заместитель гендиректора Positive Technologies.

Борис Симис отметил, что Positive Technologies намерена развиваться и дальше именно как международная компания. По состоянию на начало 2020 года у нее насчитывается в общей сложности восемь зарубежных офисов: помимо вышеупомянутых Великобритании и Чехии, они также есть в США, Швеции, Италии, Индии, Корее и Тунисе.

Продажами занимаются все зарубежные офисы компании, говорит Симис. С конца 2020 года в том числе и лондонское подразделение. Ранее через него велась операционная деятельность и осуществлялось управление другими зарубежными офисами. Positive Technologies существенно усилила этот офис: набрала больше людей и перевела в более крупное здание, рассказал TAdviser заместитель гендиректора Positive Technologies.

В 2020 году компания стала более активно развивать и американское направление. Если ранее там была только штаб-квартира и, главным образом, маркетинг, то в 2020 году также появились люди, отвечающие за продажи и работу с OEM-партнерами. Ранее компания продавала на этом рынке через локальных партнеров и точечно оказывала сервисы.

По словам Бориса Симиса, на рынке США Positive Technologies не испытывает затруднений из-за своих российских корней на фоне сложившейся политической ситуации. Он полагает, что американский рынок не настолько политизирован с точки зрения заказчиков: они смотрят, прежде всего, на возможности продукта. Впрочем, как и в Европе, ситуация может разниться в зависимости от отрасли — в некоторых структурах внедрить что-то сложнее.

В 2020 году, по оценкам Бориса Симиса, на зарубежные рынки пришлось порядка 10-15% всех продаж Positive technologies. На данном этапе для компании важен не рост доли зарубежных продаж как таковой, а накопление референсных проектов на разных рынках. Клиенты хотят видеть наличие референсных проектов именно в своей стране, добавил он.

В пример наиболее знаковых зарубежных проектов прошлого года в Positive Technologies привели TAdviser проведение аудита безопасности для английского телеком-оператора Sky, продажу продукта для анализа кода итальянской компании Intesa. В 2020 году компания также начала, а в 2020 году планирует закончить выполнение аудита для крупного японского телеком-оператора.

Открытие офиса в Швеции

8 июля 2020 года Positive Technologies сообщила об открытии очередного зарубежного офиса. На этот раз речь идет о шведском представительстве.

Главой отделения Positive в Швеции назначен вице-президент компании по развитию бизнеса в области веб-безопасности Йохан Нордстром, отвечающий за продвижение в сфере веб-безопасности на международном рынке, а также поддержку региональных партнеров и клиентов в странах Северной Европы.

По словам Йохана Нордстрома, вместе с вице-президентом по развитию бизнеса в Европе, Африке и на Ближнем Востоке Роем Даклсом планируется расширить присутствие Positive на международном уровне и в Северной Европе, в частности, а также выстроить партнерские отношения с разработчиками межсетевых экранов, облачных сервисов и технологий защиты от DDoS-атак.

Глобальную цель мы видим в том, чтобы помочь организациям в поиске и устранении уязвимостей, укрепить безопасность корпоративных сетей и, в конечном счете, обеспечить конфиденциальность информации, — сказал Нордстром.

До своего назначения в Positive Technologies Нордстром работал независимым консультантом, специализировался на развитии бизнеса как на региональном, так и на международном уровне. Ранее он занимал должность старшего директора по продажам в Tufin и схожие позиции в Imperva и Arbor Networks.

Как сообщается на сайте Positive, к 8 июля 2020 году у компании насчитывается восемь зарубежных офисов (включая Швецию). Как рассказала TAdviser PR-менеджер компании Юлия Сорокина, до конца 2020 года планируется открытие еще одного офиса в Европе. При этом у Positive нет публичных проектов и клиентов в странах Северной Европы.

Мы ориентированы на работу в первую очередь на Enterprise-рынке, где цикл развития проекта (от его старта до завершения) может составлять два года и больше, — сообщила Сорокина.
  • 450 сотрудников (включая зарубежные офисы)

Выход системы MaxPatrol SIEM, предназначенной для мониторинга событий безопасности и автоматического выявления хакерских атак. Gartner — одна из самых авторитетных международных аналитических компаний, специализирующихся на исследованиях рынков информационных технологий, — включила Positive Technologies в магический квадрант, объединяющий мировых производителей решений для защиты веб-приложений (2015 Magic Quadrant for Web Application Firewalls).

Открытие подразделения в Томске

21 октября 2015 года стало известно об открытии подразделения компании в Томске, на основе российского офиса компании F5 Networks.

Создание R&D-подразделения в Томске — важный шаг в усилении экспертного потенциала компании Positive Technologies. Первыми сотрудниками нового офиса стали более 20 инженеров и специалистов по тестированию ПО, ранее работавших в сибирском отделении американской компании F5 Networks.

Positive Technologies 13 лет (2015)

Планируется, что к ним присоединятся программисты, архитекторы, специалисты по анализу защищенности. Команда будет задействована в работе полнофункционального центра исследований безопасности и разработки отечественного программного обеспечения Западной Сибири.

«Сегодня Positive Technologies разрабатывает более десяти высокотехнологичных продуктов в области противодействия киберугрозам, — отметил Юрий Максимов, генеральный директор Positive Technologies. — Такие масштабные задачи невозможно решать без привлечения новых талантливых людей. Как и другие быстрорастущие ИТ-компании, мы сталкиваемся с дефицитом квалифицированных тестировщиков, разработчиков, исследователей — и согласны с оценкой министра связи и массовых коммуникаций РФ Николая Никифорова: России требуется втрое больше программистов. Одна из причин кадрового дефицита — постоянная утечка умов, связанная с невостребованностью высококлассных специалистов и необходимостью уезжать за рубеж».

В августе 2015 года F5 Networks Inc. — разработчик программного обеспечения, по сведениям Интерфакса, закрыла подразделение в Томске. При этом большинству сотрудников предложили переехать в США.

«Запуск нового офиса — часть нашей стратегии по созданию наукоемких центров в регионах, — подчеркнул Максимов. — Мы приходим туда, где есть научный потенциал и новые идеи, чтобы предложить отечественным разработчикам интересные задачи и предоставить им возможность реализовать себя в комфортных условиях, не покидая родного города. Несмотря на предложение о релокации, после встречи с нами более 20 сотрудников томского офиса решили остаться в России и не переезжать в теплую Калифорнию. Уверен, что новый офис будет быстро развиваться. Томск не случайно называют интеллектуальной и студенческой столицей Сибири: уже сейчас среди специалистов томского подразделения есть молодые преподаватели факультетов информатики, кибернетики, прикладной математики».

«Высокие компетенции новой команды позволят нам уже сейчас добиться серьезного прогресса в обеспечении качества разработки MaxPatrol SIEM, PT Application Inspector, PT Application Firewall и других продуктов, а также ускорить вывод на рынок новых решений, — заявил Илья Максимов, директор по обеспечению качества Positive Technologies. — В перспективе подразделение в Томске станет полноценным центром разработки. В новом офисе, помимо специалистов по QA, работают инженеры по информационной безопасности, сетевые инженеры — и я надеюсь, что число экспертов по различным направлениям ИТ и ИБ, включая тестирование ПО, будет только расти».

Алексей Ерохин стал директором обособленного подразделения Positive Technologies в Томске. Ранее он руководил томским офисом F5 Networks.

«Не буду скрывать: несмотря на желание большинства сотрудников остаться, мы фактически сидели на чемоданах. В России, а тем более в Томске не так много мест, где могли бы нам предложить интересные и профильные задачи, — отметил Алексей Ерохин. — Для меня очень важным оказался звонок от Юрия Максимова. Мы обсудили, как создать подразделение Positive Technologies в нашем городе, и я подумал: если генеральный директор компании берет на себя такие переговоры, а затем компания организует для сотрудников перелет на собеседование через полстраны — это говорит о многом».

Помимо Томска, офисы и представительства Positive Technologies работают еще в девяти городах мира: Москва, Санкт-Петербург, Бостон, Дубай, Лондон, Мумбаи, Рим, Сеул, Тунис. Количество сотрудников в 2015 году увеличилось на 25% — до 466 человек и продолжает расти.

Экспертный центр в сфере информационной безопасности

3 декабря 2015 года компания Positive Technologies заявила о запланированном на 2020 год предложении экспертных сервисов в сфере информационной безопасности и расследования инцидентов в рамках работы экспертного центра для защиты компаний от новых угроз.

В своих планах компания предусматривает поддержку для организаций и бизнесов в противостоянии изощренным кибератакам на их ресурсы. Анонс открытия экспертного центра безопасности Positive Technologies Expert Security Center (ESC) состоялся 11 ноября 2015 года.

Актуальность центров мониторинга обусловлена развитием индустрии информационной безопасности, растущей сложностью угроз и увеличением «стоимости» инцидентов. Все более очевидным становится — автоматизированные средства защиты необходимы, но не достаточны для работы служб ИБ. В сложившихся условиях частные и государственные компании вынуждены искать новые, более оптимальные подходы к выявлению угроз и реагированию на инциденты.

По мнению компании сервисная модель безопасности — это, возможно, наиболее оправданное решение для оптимизации расходов на защиту информации. Компании получают мощную экспертную поддержку для решения самых разных задач по защите ИТ-инфраструктуры, возможность прогнозировать и предупреждать угрозы ценным активам, с опережением реагировать на опасные инциденты, проводить ретроспективный анализ для обнаружения сложных угроз и целенаправленных атак.

Алексей Качалин, заместитель директора центра компетенций Positive Technologies, поведал:

— В рамках работы PT Expert Security Center мы готовы помогать другим компаниям и центрам мониторинга. Мы дополним компетенции служб информационной безопасности и центров мониторинга (SOC и MSSP) собственной экспертизой и технологическими возможностями, что означает совместную работу с исследовательским центром Positive Technologies — одной из ведущих мировых лабораторий в области ИБ, специалисты которой каждый год обнаруживают более сотни уязвимостей нулевого дня.

Новгородский R&D-центр

9 декабря 2015 года компания Positive Technologies сообщила об открытии центра исследований и разработки в Нижнем Новгороде.

После создания подразделения в Томске, это второй офис, открытый компанией. Формирование офиса в Нижнем — возможность для отечественных разработчиков развивать профессиональные навыки в крупной международной ИТ-компании, не покидая родного города. Первыми сотрудниками филиала стали специалисты команды разработки группы компаний NNX.

Юрий Максимов, генеральный директор Positive Technologies, заявил:

— Нижний Новгород считается одним из передовых центров российских информационных технологий. Здесь расположены офисы и центры разработки множества международных IT-компаний, а местные вузы пользуются в нашей стране очень хорошей репутацией. Запуск офиса Positive Technologies в таком перспективном регионе открывает новые возможности для развития наших продуктов. Кроме того, в последнее время заметна миграция иностранных ИТ-компаний из России. Уходя, они пытаются забрать с собой самых талантливых сотрудников. А нам бы хотелось, чтобы лучшие инженеры и разработчики оставались в России. И у Positive Technologies есть задачи, которые могут заинтересовать специалистов самого высокого уровня.

Директором офиса Positive Technologies в Нижнем Новгороде назначен Андрей Новоселов.

  • Для работы над проектами компании была собрана команда высококлассных профессионалов, которые теперь вошли в нижегородский филиал Positive Technologies. С точки зрения развития компетенций, работа в компании такого масштаба открывает новые перспективы, в первую очередь потому, что область применения знаний и возможностей для профессионального роста значительно больше. Полтора года сотрудничества дают полное основание полагать, что впереди у нас очень интересные задачи. Уверен, новый офис будет быстро развиваться.


Кроме Нижнего Новгорода офисы и представительства Positive Technologies работают в десяти городах мира: Москва, Санкт-Петербург, Новосибирск, Томск, Бостон, Лондон, Мумбаи, Рим, Сеул, Тунис.

Количество сотрудников в компании выросло на треть в 2015 году.

  • 370 сотрудников

Positive Technologies включена в отчеты Gartner Hype Cycles как перспективный поставщик решений в сфере безопасности критически важных инфраструктур и промышленных систем управления (OT, ICS, SCADA).

  • 330 сотрудников

Согласно исследованиям IDC, Positive Technologies стала лидером по темпам роста на международном рынке систем управления уязвимостями, а также заняла 3-е место на российском рынке ПО для безопасности. Открытие офисов в Индии, Эмиратах, Тунисе и США.

2012: 370 сотрудников, открытие офисов в Италии и Корее

В 2012 году в компании работало 370 сотрудников.

Открытие офисов в Италии и Корее. Запущено 16 зарубежных пилотных проектов, включая проекты в компаниях Samsung и Vodafone, а также в Министерстве обороны Индии. Эксперты компании обеспечивали безопасность трансляции выборов Президента России. Начало разработки MaxPatrol 9.

Репортаж о деятельности компании на CNewsTV

Репортаж о деятельности компании (июнь 2012)

Запуск программы Positive Education

Программа Positive Education стартовала в 2012 году. В ней участвуют такие учебные заведения России, как МГУ, МИФИ, МГТУ, МАТИ, СПбГЭУ, НГУ, ДВФУ, ОмГТУ, ТУСУР, ХИИК и другие. Подключиться к программе может любой ВУЗ, причем даже тот, в котором нет специализированной кафедры по информационной безопасности. Сами студенты не могут внести свой ВУЗ в число участников, но могут найти хотя бы одного инициативного преподавателя и донести до него плюсы участия в инициативе.

Вузы могут бесплатно установить и использовать как в защитных, так и в обучающих целях межсетевой экран прикладного уровня PT Application Firewall, предназначенный для защиты корпоративных веб-порталов. А также MaxPatrol SIEM для получения навыков выявления инцидентов информационной безопасности в крупных IT-инфраструктурах. Слушатели узнают, как обеспечить сбор и анализ информации обо всех активах и событиях в ИТ-инфраструктуре в режиме реального времени, автоматически генерировать правила корреляции, работать с инцидентами на самых ранних стадиях и принимать превентивные меры для защиты.

2011: 200 сотрудников и открытие первого иностранного офиса в Лондоне

В 2011 году в компании работали 200 сотрудников

Проведение первого международного форума Positive Hack Days. Начало сотрудничества с государственными структурами — МВД, ФСТЭК, ФСБ и др. Открытие первого иностранного офиса в Лондоне.

  • 100 сотрудников

Клиентами Positive Technologies стали «МегаФон», «МТС», «Ростелеком», «Газпромнефть», Газпромбанк, Росбанк и многие другие. Внедрение в компании MaxPatrol стало символом технологической зрелости бизнеса. Positive Technologies начала участвовать в работах регулирующих и надзорных государственных органов.

Основные направления деятельности компании в 2009 году:

  • разработка систем анализа, контроля и комплексного мониторинга информационной безопасности (XSpider, MaxPatrol).
  • предоставление консалтинговых и сервисных услуг в области информационной безопасности;
  • развитие специализированного портала по ИБ Securitylab.ru.

Клиентами Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies — это команда разработчиков, консультантов и экспертов, которые обладают практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.

В 2009 году компания Positive Technologies специализируется на комплексном аудите информационной безопасности, оценке защищенности прикладных систем и Web-приложений, тестировании на проникновение и внедрении процессов мониторинга информационной безопасности. Компания получила статус QSA Associate, позволяющий проводить работы по проверке соответствия стандарту PCI DSS.

Программные продукты, разработанные компанией Positive Technologies, сертифицированы Министерством Обороны Российской Федерации, Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Система контроля защищенности и соответствия стандартам MaxРatrol

Система контроля защищенности и соответствия стандартам MaxPatrol позволяет получать объективную оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной системы.

Система анализа и контроля защищенности XSpider

Система анализа защищенности XSp >

Более 1000 российских и зарубежных компаний успешно используют XSpider для анализа и контроля защищенности корпоративных ресурсов, ведущие российские компании, специализирующиеся на системной интеграции и консалтинге в области информационной безопасности, используют XSpider для предоставления услуг.

Специализированный портал по информационной безопасности Securitylab (securitylab.ru, seclab.ru), основанный компанией Positive Technologies, — один из самых популярных российских ресурсов по информационной безопасности. На портале публикуются новости и информация о событиях в области защиты информации со всего мира, бюллетени безопасности производителей программного обеспечения, а также оригинальные и переводные аналитические статьи. Важнейшая составляющая портала — оперативная информация на русском языке обо всех опубликованных уязвимостях и рекомендации по их устранению. Форум портала ежедневно посещают тысячи специалистов по информационной безопасности России, СНГ, зарубежных стран.

  • 52 сотрудника

Создание партнерской сети. Развитие департамента продаж для реализации MaxPatrol 8. Создание команды, работающей над проведением тестов на проникновение: к тому времени услуга уже пользуется повышенным спросом. Создание обучающих курсов по сертификации уровня владения основными возможностями системы мониторинга информационной безопасности MaxPatrol Enterprise Edition.

  • 41 сотрудник

Разработка и успешный вывод на рынок новой версии системы контроля защищенности и соответствия стандартам MaxPatrol 8. Создан отдел тестирования ПО.

  • 30 сотрудников

Начало активного развития компании. Начало разработки системы контроля защищенности и соответствия стандартам MaxPatrol. Запуск проектов «Проверь здоровье своей сети», в рамках которой любая организация имела возможность бесплатно проверить свою сеть на наличие уязвимостей, а также получить рекомендации по их устранению. Запуск проекта по непрерывному тестированию виртуальных площадок компании Masterhost с целью выявления известных и потенциальных уязвимостей программного обеспечения интернет-проектов.

  • 22 сотрудника

Первая уникальная работа по анализу кода. Рост интереса к деятельности Positive Technologies co стороны общественности (90 тыс. просмотров на SecurityLab.ru ежедневно, интервью на cnet.com).

2004: 11 сотрудников и первый тест на хакерское проникновение

В 2004 году в компании работают 11 сотрудников.

Осуществлен первый тест на хакерское проникновение. Появление сети клиентов уровня крупных корпораций — Сбербанк, «ВымпелКом», Министерство обороны, Магнитогорский металлургический комбинат.

2003: 7 сотрудников и запуск первой коммерческой версии XSpider

В 2003 году в компании работало 7 сотрудников.

Запуск первой коммерческой версии сканера безопасности XSpider и его успешный вывод на рынок (300 тыс. загруженных копий). Начало деятельности по оценке уровня защищенности.

2002: Основание компании

Positive Technologies была основана в 2002 году. Сканер XSpider стал одним из лучших интеллектуальных сканеров безопасности в мире и приобрел такую популярность, что послужил вдохновением для создания других флагманских продуктов Positive Technologies — MaxPatrol и SurfPatrol.

1998: Дмитрий Максимов и Евгений Киреев разрабатывают сканер безопасности XSpider

В 1998 году два энтузиаста Дмитрий Максимов и Евгений Киреев разрабатывают сканер безопасности XSpider.

«Сканер безопасности»: студенты GU о своем проекте

Для эффективного применения сканеров безопасности в корпоративной сети нужна их тесная интеграция в существующую инфраструктуру обеспечения безопасности. Поэтому им на смену постепенно приходят системы управления уязвимостями. Сканер безопасности в такой системе – лишь один из модулей, предоставляющий информацию для других модулей или компонентов, а также систем. Само же управление уязвимостями — не готовый продукт, а процесс, который можно автоматизировать.

Сканеры безопасности как один из видов программного обеспечения известны уже достаточно давно, их история насчитывает более десяти лет. Но до сих пор их применение в качестве средств обеспечения безопасности вызывает множество дискуссий. И дело здесь не только в том, что сетевой сканер безопасности – это продукт «двойного» назначения, и даже не в боязни негативных последствий его использования, а в сути того механизма защиты, который в нем реализован. Теоретически, превентивный подход к обеспечению информационной безопасности почти идеален, так как позволяет предотвратить реализацию угрозы. Ведь самый лучший закон – это тот, что невозможно нарушить. Но на практике принцип «болезнь легче предупредить, чем лечить» часто необоснованно перечеркивается фразой «зачем вообще что-то делать для предупреждения болезни, если я, скорее всего, не заболею». И все же понимание необходимости использования превентивных мер, пусть не сразу, но приходит.

Сам по себе сканер безопасности как инструмент, позволяющий на выходе получить перечень уязвимостей проверенной им системы, нужен немногим. Он может, например, помочь специалисту при проведении тестирования на проникновение, автоматизировав часть рутинной работы, или оказаться полезным злоумышленнику, который ищет слабости в системе для получения к ней несанкционированного доступа. Для эффективного применения сканеров безопасности в корпоративной сети нужна их тесная интеграция в существующую инфраструктуру обеспечения безопасности. Вот почему на смену сканерам безопасности в корпоративном секторе постепенно приходят системы управления уязвимостями. Сканер безопасности в такой системе – всего лишь один из модулей, предоставляющий информацию для других модулей, компонентов, систем.

Строго говоря, управление уязвимостями – это процесс, а не готовый продукт, но этот процесс можно автоматизировать. Собственно, для этого и нужны системы управления уязвимостями.

В самом общем понимании, управление уязвимостями (Vulnerability Management) – процесс, направленный на предотвращение использования известных уязвимостей, потенциально существующих в защищаемой системе или сети. Основной ожидаемый результат – значительное затруднение или полное исключение возможностей использования этих уязвимостей для нарушителей, и, соответственно, снижение затрат на ликвидацию последствий атак.

Число уязвимостей, обнаруживаемых ежегодно, 2005-2009 гг.

Источник: National Vulnerability Database, 2009

Создать абсолютно защищенную систему принципиально невозможно. К тому же новые уязвимости в используемом программном обеспечении обнаруживаются достаточно регулярно. Согласно статистическим данным, которые можно получить на основе известного каталога уязвимостей, число уязвимостей, обнаруживаемых ежегодно, – 5-6 тыс.

И это только уязвимости реализации, а есть еще ошибки проектирования и эксплуатации. Ведь в процессе эксплуатации система может меняться, из-за чего могут появиться уязвимости. Разумеется, потенциальный ущерб от использования конкретной уязвимости в защищаемой системе может быть довольно различным (от нулевого до значительного). Поэтому процесс управления уязвимостями должен обеспечивать не только своевременное выявление очередной «дыры», но и адекватную оценку степени ее опасности для защищаемой системы, а также выбор соответствующего варианта реагирования. Фактически управление уязвимостями позволяет контролировать и поддерживать на определенном уровне степень защищенности системы, обеспечивая своевременное выявление ее слабостей. Этот процесс можно разложить на отдельные составляющие – и прежде всего это инвентаризация информационных активов.

Инвентаризация информационных активов

Инвентаризация информационных активов подразумевает создание и поддержание в актуальном состоянии единой базы ИT-ресурсов (иногда используется термин Configuration Management Database, CMDB). Для ее создания необходимо определить характер размещаемой там информации и механизмы ее накопления.

Характеризующая актив информация может быть различной, например: данные об аппаратном обеспечении, операционной системе; программном обеспечении.

Кроме перечисленных выше объективных показателей, должна быть обеспечена возможность использования субъективных характеристик ресурса, например, категории, критичности, роли, владельца.

Описание объекта в базе данных системы управления уязвимостями, 2009

Источник: Leta, 2009

Накопление информации в такой базе может поддерживаться путем использования агентов сканирования, входящих в состав системы управления уязвимостями, локальных агентов инвентаризации, импорта из разных источников, ручного ввода информации.

Для системы управления уязвимостями эта информация крайне необходима, она может помочь в ходе принятия решения по устранению обнаруженных уязвимостей. Ведь многое зависит от роли узла и степени критичности.

Мониторинг состояния защищенности

Итак, система построена, информация о ней накапливается и обновляется. Следующий этап – мониторинг состояния ее защищенности, направленный на своевременное обнаружение любой слабости в системе. Тут следует заметить, что иногда строится система, уже удовлетворяющая некоторому начальному уровню защищенности, и при необходимости ее состояние даже может быть зафиксировано. В этом случае одной из задач мониторинга будет обнаружение отклонений от этого состояния. В конце концов, совершенно неважно, что именно мы обнаружили в ходе мониторинга: очередную уязвимость реализации в используемом программном обеспечении или факт несанкционированного размещения и использования точки беспроводного доступа, запрещенный корпоративной политикой.

Таким образом, мониторинг включает отслеживание информации об уязвимостях, которые могут быть следствием ошибок проектирования, реализации или эксплуатации, об отклонениях от требований, сформулированных на этапе построения системы, о новых угрозах, например, начале эпидемии очередного сетевого червя.

При этом могут быть использованы следующие механизмы получения информации: уведомления вендоров, использование сканеров безопасности, мониторинг известных баз уязвимостей, использование систем управления обновлениями, «независимые» источники.

Например, популярный ресурс SecurityFocus публикует информацию о новых уязвимостях. Можно просто отслеживать эту информацию применительно к своей системе, что может быть оказаться достаточно трудоемко.

Раздел ресурса SecurityFocus с информацией о новых уязвимостях, 2009

Источник: Leta, 2009


Как здесь может помочь система управления уязвимостями? Фактически она должна аккумулировать в себе перечисленные выше механизмы получения информации, чтобы ее пользователи узнавали об очередной уязвимости, просто анализируя результаты сканирования. Ведь разработчик системы уже позаботился об обновлении сканирующих модулей.

Что касается поиска отклонений, то интерфейс системы может обеспечивать возможность удобного формулирования различных требований, отклонения от которых, собственно, и будут выявляться в ходе проверок. И вот здесь возникает еще один аспект анализа защищенности – контроль соответствия (Compliance Management). При желании задача контроля защищенности вообще может быть сведена к контролю соответствия. Например, необходимость устранения уязвимостей реализации используемого программного обеспечения может быть изложена одним требованием – отсутствие устаревшего или уязвимого ПО.

Пример набора требований для контроля соответствия, 2009

Источник: Leta, 2009

Проблема здесь только в формулировке этих требований или в выборе готового набора (стандарта), которому необходимо соответствовать.

Правда, в некоторых случаях выбор осуществить достаточно просто. Например, для компаний, которым нужно соответствовать требованиям PCI DSS (Payment Card Industry Data Security Standard) или других регуляторов, в том числе и государственных, появляется возможность оценить текущее состояние дел, а в дальнейшем – поддерживать уровень соответствия своей инфраструктуры данным требованиям.

Что касается системы управления уязвимостями, то она может обеспечить удобный интерфейс настройки под конкретную информационную систему, а также иметь готовые наборы требований.

Например, в целях обеспечения безопасности вводится требование использования исключительно SSH версии 2.0 для управления сетевым оборудованием. Факт нарушения позволит выявить соответствующая скорректированная проверка.

Пример настройки параметров проверки, 2009

Источник: Leta, 2009

Как бы то ни было, результат данного этапа – перечень актуальных уязвимостей или нарушений (отклонений), требующих реагирования.

Устранение уязвимостей

Следующий, может быть, наиболее сложный и трудоемкий этап, – это устранение уязвимостей. Он сложен хотя бы потому, что приходится вносить изменения в корпоративную информационную систему. А значит, по каждой уязвимости или отклонению из полученного на предыдущем этапе списка нужно принимать решение (устранить, оставить как есть, разобраться и т. д.).

После принятия решения об устранении уязвимости следует обоснованный выбор варианта устранения, в случае необходимости можно прибегнуть к тестированию, ведь внесение в систему изменений может привести к ее неработоспособности.

На практике обычно приходится выбирать один из следующих вариантов. Во-первых, обновление системы: установка «патча», переход на новую версию. Во-вторых, изменение конфигурации («workaround»). В-третьих, отказ от использования уязвимого ПО.

После выбора варианта устранения производится собственно устранение уязвимости, которое может происходить автоматически (в редких случаях) или вручную. В последнем случае может потребоваться разработка рекомендаций для лиц, задействованных в этом процессе. Обычной практикой здесь является процесс формирования заявок для систем типа Help Desk, Service Desk или других систем управления заявками. Соответствующий функционал может входить и в саму систему управления уязвимостями.

Таким образом, на этом этапе система должна обеспечить соответствующий «workflow», начиная c принятия решения по уязвимости и заканчивая формированием заявки и назначением ответственного за ее обработку.

Контроль

Наконец, последняя составляющая процесса управления уязвимостями – это контроль правильности устранения уязвимостей. Контроль может быть реализован разными способами, например, путем использования сканирующих модулей или анализа журналов соответствующих систем.

Здесь могут быть полезны сравнительные отчеты, функции регистрации изменений или даже возможность отслеживать динамику защищенности системы. Например, система может сообщать о том, какие уязвимости были устранены.

Пример отчета с информацией об устраненных уязвимостях, 2009

Источник: Leta, 2009

Каким бы удобным и функциональным ни было решение по управлению уязвимостями, оно зависит, прежде всего, от качества сканирующих модулей. Использование неверных данных может иметь печальные последствия. Да и работать с системой, сканирующие модули которой имеют значительный процент ложных срабатываний или пропусков, попросту неудобно.

Как показала практика сравнения качества работы сканирующих модулей, все они очень разные: они выполняют разные проверки, используют разные методы принятия решения о наличии уязвимостей. Сравнение в реальных условиях как раз и позволяет выявить ложные срабатывания и пропуски, что в совокупности с правильно найденными уязвимостями определяет качество механизмов сканирования.

Общие характеристики решений по управлению уязвимостями, 2009

Вендор (поставщик решения) Positive Technologies IBM ISS Tenable Network Security eEye Digital Security Qualys McAfee
Типы агентов сканирования
(по расположению)
Сетевые (network-based) + + + + + +
Локальные (host-based) +
Пассивные +
Типы агентов сканирования
(по назначению)
Общего назначения + + + + + +
Специализированные + + +
Вариант поставки (для агентов) Аппаратно-программный комплекс Планируется + + + +
Программное обеспечение + + + + +
Виртуальный образ + Планируется +
Платформа для агентов
(для программного обеспечения)
Windows Windows Windows/UNIX Windows Windows
Варианты поставки (для компонентов управления) Аппратно-программный комплекс Планируется + + +
Программное обеспечение + + + + +
Виртуальный образ +
Securiry-as-a-service Только внешнее сканирование Только внешнее сканирование web-приложений + + Только внешнее сканирование
Платформа для компонентов управления (для программного обеспечения) Windows Windows Windows/UNIX Windows Windows

Источник: Leta, 2009

Кроме того, важна и комплексность, т.е. поддержка различных вариантов сканирования («баннерные» проверки сетевых сервисов, аудит с использованием учетных записей и локальных проверок, тестирование веб-приложений). Использование локальных проверок влечет за собой необходимость поддержки различных систем (от сетевого оборудования до ERP-систем). В отдельных случаях бывает важно наличие русскоязычных интерфейса и базы знаний, а также сертификации ФСТЭК России.

Сканеры безопасности

Цель работы: Ознакомиться с назначением сканеров безопасности и их представителями – Shadow Security Scanner и XSpider.

I. Основные понятия

В последнее время увеличилось число публикаций, посвященных такому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий — анализ защищенности и обнаружение атак. Именно первой технологии и посвящена работа.

Сеть состоит из ряда компонентов, которые нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут «слабые» места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах найденная уязвимость может быть устранена автоматически.

Системами анализа защищенности могут быть идентифицированы следующие проблемы:

«Люки» в программах и программы типа «троянский конь»;

Восприимчивость к проникновению из незащищенных систем;

Неправильная настройка межсетевых экранов, Web-серверов и баз данных;

Отсутствие необходимых обновлений (patch, hot fix) операционных систем;

Наличие работающих в сети модемов;

Слабые пароли и т.д.

Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Однако это не так. Сетевой сканер безопасности предназначен для обнаружения только тех уязвимостей, описание которых есть у него в базе данных. Это один из аспектов, присущий всем системам анализа защищенности.

Функционировать такие средства могут на сетевом уровне (networkbased), уровне операционной системы (hostbased) и уровне приложения (applicationbased). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-браузеров (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п.

Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости:


Сканирование — механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия, т.е. по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. Этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование — механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем сканирование, но почти всегда гораздо более точный, чем он. Этот процесс использует информацию, полученную в процессе сканирования, для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа «отказ в обслуживании» (DoS denial of service).

На практике указанные механизмы реализуются следующими методами:

1. Проверка заголовков (banner check) — указанный механизм представляет собой ряд проверок типа «сканирование» и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки — анализ заголовков программы Send mail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

Это наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами. Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом, забыв изменить номер версии в заголовке. В-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.

Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети.

2. Активные зондирующие проверки (active probing check) также относятся к механизму сканирования. Однако они основаны на сравнении «цифрового слепка» фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы. Специализированная база данных по сетевой безопасности содержит информацию об уязвимостях и способах их использования (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. Этот метод также достаточно быстр, но реализуется труднее, чем «проверка заголовков».

3. Имитация атак (exploit check) данные проверки относятся к механизму зондирования и основаны на эксплуатации различных дефектов в программном обеспечении. Некоторые уязвимости не обнаруживают себя, пока вы не «подтолкнете» их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод «exploit check«, отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах.

Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки. Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к «отказу в обслуживании» анализируемого узла или сети, и ситуации, при которых уязвимость в принципе негодна для реализации атаки на сеть.

Многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа «Packet Storm«), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, — по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. При включении любой из проверок этой группы, системы выдают сообщение типа «WARNING: These checks may crash or reboot scanned hosts« («Внимание: эти проверки могут вывести из строя или перезагрузить сканируемые узлы»).

Практически любой сканер проводит анализ защищенности в несколько этапов:

Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.

Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска: высокая (High), средняя (Medium) и низкая (Low).

Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.

Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем, когда для каждой уязвимости выдаются пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP— или Web-сервера, содержащие patch и hot fix, устраняющие обнаруженные уязвимости.

Автоматическое устранение уязвимостей. Этот этап достаточно редко реализуется в сетевых сканерах, но широко применяется в системных сканерах. При этом данная возможность может реализовываться по-разному. Например, создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности «отката» не существует.

У администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности – это различный набор существующих этапов.

Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено — это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.

Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, — сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFE suite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер.

Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:

Потенциальные — вытекающие из проверок заголовков и т.н. активных «подталкиваний» (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого.

Подтвержденные — выявленные и существующие на анализируемом хосте.

Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование «несильных подталкиваний». «Подталкивание» используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость.

Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения.

Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка «слабости» паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.

Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.

Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости приносит свои проблемы. Связано это со скоростью проведения сканирования.

В любом случае наиболее предпочтительным является проверка типа «имитация атак», которая обеспечивает наибольший процент точного обнаружения уязвимостей.

Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:

Особенности конфигурации пользовательской системы.

Способ, которым был скомпилирован анализируемый демон или сервис.

Ошибки удаленной системы и т.д.

В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в том числе и неавтоматизированными, исследовать каждый подозрительный случай.

Разница в реализации

Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и не нахождения — в случае другого.

Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах.

Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах.

С 1992 года, когда появился первый сканер SATAN, существенно изменились и требования к ним. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей:

1. Автоматическое обновление уязвимостей. До недавнего времени пополнение сканера новыми уязвимостями проводится достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии ПО.

Сейчас ситуация меняется. В некоторых системах существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей.

2. Единый формат базы уязвимостей. В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST разработала проект такой базы данных.

3. Языки описания уязвимостей и проверок. Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq, CERT Advisories, SecurityFcus и т.д. Эта возможность позволяет быстро записать новое правило и использовать его в своей сети.

Анализ изменений уровня защищенности корпоративной сети – создаются отчеты, в которых сравнивается состояния защищенности выделенных участков сети в заданные интервалы времени, что позволяет определить увеличивается или уменьшается уровень защищенности корпоративной сети после реализации соответствующих мер защиты.

Вся собранная информация о защищенности ресурсов корпоративной сети защищается от несанкционированного ознакомления и изменения. Кроме того, применяемые механизмы защиты не позволяют несанкционированно использовать систему для обнаружения уязвимостей на узлах «чужой» сети.

Использовать такого рода средства надо. Необходимо еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.

Надо помнить, что сканер — это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

Кому нужен сканер безопасности

Сканер безопасности помогает устранять уязвимости, возникающие в компьютерной сети из-за несовершенства ПО. Чтобы понять, в каких случаях следует пользоваться сканером безопасности, надо определить, кто считается посторонним с точки зрения политики компании и какие соединения с пользователями предусмотрены. Ниже рассмотрены наиболее типичные варианты:

1. Сеть локальная, доступа в Интернет нет, протокол TCP/IP не используется. Все сотрудники компании не считаются посторонними это, пожалуй, единственный случай, когда вы можете не беспокоиться об имеющихся в сети уязвимостях. Всем сотрудникам открыт полный доступ к имеющейся в сети информации, ни от кого не ожидается неблагонамеренных или некомпетентных действий в своей сети. Вывод: сканер безопасности не требуется.

2. Сеть локальная, имеется доступ в Интернет. Все сотрудники компании не считаются посторонними это один из наиболее часто встречающихся вариантов. В этом случае (в зависимости от конфигурации сети) возможна атака на сеть через ваш Интернет-канал. Атакующим теоретически может быть любой пользователь Интернета. Вывод: сканер безопасности может быть нужен — требуется анализ конфигурации сети.

3. Некоторые сотрудники компании считаются посторонними (с точки зрения безопасности сети) в этом случае не важно, какие выходы «во внешний мир» имеет ваша сеть. Если внутри сети используется протокол TCP/IP, то необходимо устранять уязвимости, чтобы заблокировать случайные ошибки или преднамеренные действия тех сотрудников, которые с точки зрения сети считаются посторонними (например, если имеются разграничения прав доступа к различной информации и т.д.). Вывод: сканер безопасности нужен.

4. У вас имеется Интернет-сервер того или иного типа, расположенный в вашей сети в этом случае также требуется пристальное внимание к уязвимостям. Особенно, если сервер публичный (то есть со свободным доступом из внешнего мира). Если сервер внутренний (Интранет-система), то см. пункт 2. Вывод: сканер безопасности нужен.

5. У вас имеется Интернет-сервер, расположенный у провайдера (в его сети) в этом случае безопасность сервера может обеспечиваться провайдером. Если у вас виртуальный хостинг (нет своего компьютера) — все зависит от технической службы провайдера. Если вы размещаете свой сервер, то следить за его уязвимостями придется самостоятельно, если провайдер не предложит соответствующее обслуживание (бывает редко). Безопасность вашей локальной сети в этом случае, как правило, не зависит от самого сервера и должна рассматриваться отдельно по одному из предыдущих пунктов. Вывод: сканер может быть нужен — требуется анализ архитектуры.

Сканер безопасности — верный друг и помощник

Всем хорошо известно, что безопасность любого проекта равна безопасности самого слабого звена. И об одном из них, увы, зачастую наименее безопасном, я бы и хотел поговорить. Не редко можно наблюдать ситуацию, когда непосредственно само веб-приложение достаточно безопасно, но окружение, в котором он работает, не выдерживает ни какой критики. Это и понятно, т. к. в борьбе за безопасность веб-приложения существует достаточное число помощников:

  • Собственный профессионализм разработчика (мы ведь все с вами молодцы);
  • Web Application Firewall, который отфильтрует атаки на веб-приложение в реальном времени;
  • Статический анализ кода, который подскажет возможные уязвимости в коде;
  • Непрерывная работа нашей команды по обеспечению безопасности API и компонентов Битрикс;
  • Сторонний анализ безопасности веб-приложения различными средствами (к примеру с помощью w3af).

Но когда приложение «ушло на золото» и введено в эксплуатацию, начинается наибольшее число неприятностей. Увы, зачастую разработчики и системные администраторы не имеют надлежащего опыта в конфигурировании серверного ПО с позиции ИБ, а штатного эксперта в команде нет. И это хорошо, если проект располагается на VPS/VDS, где можно использовать нашу виртуальную машину , но если это не так, особенно в случае с виртуальным хостингом, то мы можем видеть все что угодно — от полного доступа к вашим бэкапам до использования одного Memcached на все виртуальные хосты. Не стоит так же забывать, что к перечню доменных имен множества зон (ru, рф, com и т. д.) существует публичный доступ, чем с радостью пользуются злоумышленники, периодически проходя по нему и анализируя на предмет уязвимостей связанных с неправильно сконфигурированным серверным ПО. Автоматизировать весь этот процесс от обновления списка до попыток атаки через найденные «огрехи», как вы сами понимаете, достаточно не сложно, и мы не редко отмечаем подобную активность.
Именно с этими мыслями мы сели проектировать наш собственный «сканер безопасности», который выйдет в версии 12.5.0.
Давайте для начала разберемся, что он умеет на текущий момент:

  1. Выполнять внутренние сканирование окружения проекта, к примеру, безопасно ли хранятся файлы сессий.
  2. Выполнять проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д.
  3. Выполнять поиск потенциальных уязвимостей в коде проекта с помощью статического анализа .
  4. Запускать внешнее сканирование.

Каждый из приведенных пунктов — это целый комплекс различных тестов и анализов преследующих одну цель — дать возможность понять, как можно улучшить общую безопасность проекта. Разумеется, ни аудиторы, ни автоматизированные средства не смогут вам сказать безопасен ли проект, все они говорят лишь, «есть ли в проекте уязвимости». А учитывая тот факт, что каждое работающее серверное приложение и каждая строка кода веб-приложения может полностью решить судьбу проекта — задача эта не так легка.
Давайте поближе глянем на сканер безопасности, который вы сможете найти, пройдя в Настройки->Проактивная защита->Сканер безопасности либо просто кликнув по кнопке «Выполнить» в гаджете безопасности на рабочем столе административной части сайта:

Войдя в сканер безопасности, вам сразу же будет предложено пройти сканирование:

Жмем «Запустить сканирование» и ожидаем результатов:

После завершения сканирования вы увидите его результаты. Посмотрим что получилось у меня:

Цукерберг рекомендует:  Вакансии Playneta
Понравилась статья? Поделиться с друзьями:
Все языки программирования для начинающих