Системы для анализа защищенности информационных систем. Анализ и оценка информационных рисков, угроз и уязвимостей системы

Продолжаем рассматривать недавние изменения в приказ ФСТЭК России №17. В этот раз – анализ уязвимостей ГИС.

Теперь анализ уязвимостей ГИС требуется проводить на 3 из 6 этапах жизненного цикла системы защиты ГИС: формирования требований, внедрения и аттестации.

1. На этапе анализа угроз безопасности информации ГИС, необходимо провести анализ возможных уязвимостей ИС, используя при этом БДУ ФСТЭК России, а также иные источники данных об уязвимостях в качестве исходных данных. В модель угроз нужно включить описание возможных уязвимостей ИС.

Основное отличие от других этапов кроется в слове “возможных”. Не фактических, а именно возможных. А при наличие хорошей фантазии, у нас будет возможно всё. На сколько я понимаю, тут нужна некая классификация всех возможных уязвимостей и исключение неподходящих типов уязвимостей по определенным причинам (отсутствие объекта воздействия, определенные структурные характеристики, неиспользуемые ИТ).

Проблема в том, что в БДУ ФСТЭК в разделе Уязвимости отсутствует подобная классификация уязвимостей. Кроме того, разделе Уязвимости приведены только фактические уязвимости ПО. А как же уязвимости ГИС в целом? Недостатки орг. мер?

На самом деле, перечень таких возможных уязвимостей скрывается в неструктурированном виде в тексте угроз БДУ ФСТЭК: “Данная угроза обусловлена уязвимостями некоторых системных (материнских) плат – наличием механизмов аппаратного сброса паролей, установленных в BIOS/UEFI” или “Данная угроза обусловлена слабостями механизмов фильтрации сетевого трафика и антивирусного контроля на уровне организации”.

2. На этапе внедрения системы защиты информации требуется провести уже фактический анализ уязвимостей.

“При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

По результатам анализа уязвимостей должно быть подтверждено , что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.”

Но хорошо, что уязвимости имеют такие поля как Производитель, Наименование ПО, Версия ПО. Составив заранее полный перечень ПО, можно сделать выборку нужных уязвимостей. Но что делать с результатами? Например, для Windows 8.1 – 247 уязвимостей в БДУ. Далее нужно в каждой пройти по ссылке на внешние источники и проверить что там предлагалось для устранения уязвимостей, проверить наличие установленных обновлений для данных уязвимостей.

Вручную - сложно. Хотелось бы, чтобы сканнеры уязвимостей могли работать с БДУ и делать всё за нас. Давайте посмотрим…

RedCheck от Алтекс-Софт: “RedCheck производит поиск уязвимостей по нашей базе ovaldb которая синхронизируется с БД угроз безопасности информации ФСТЭК России! Список уязвимостей Вы можете посмотреть на сайте базы данных https ://ovaldb .altx -soft .ru /Definitions .aspx ?refsource =FSTEC .”

Вроде ок. Жаль только последняя уязвимость по ссылке – от 2016 г. А в БДУ уже куча за 2017 г.

Ревизор Сети 3.0 от ЦБИ: “Ревизор Сети изначально осуществляет поиск включенных в БДУ ФСТЭК России (http://bdu.fstec.ru) уязвимостей, содержащихся в операционных системах Windows и функционирующих в них приложениях и средствах защиты информации, в том числе российской разработки. Помимо поиска уязвимостей из базы данных уязвимостей ФСТЭК России Сетевой сканер «Ревизор Сети» версии 3.0 осуществляет поиск уязвимостей, содержащихся в таких источниках, как cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com и других источниках. ”

XSpider от Positive Technologies “Обязательно такая возможность будет. В июне в рамках пересертификации XSpider будет передана в испытательную лабораторию ФСТЭК сборка уже с таким функционалом ”.

Сканер-ВС от Эшелон “Сканер-ВС поддерживает поиск уязвимостей по БДУ ФСТЭК России”. Правда опыт показал, что текущая, сертифицированная версия – не поддерживает.

Итого, в перспективе возможно за нас всё будут делать сканеры, но в данный момент готового отчета, подтверждающего отсутствие уязвимостей из БДУ ФСТЭК я не обнаружил. Да и с актуальностью баз вопросы – надо будет внимательно проверять результаты и возможно последние уязвимости просматривать вручную.

Кроме того, не забываем, что в анализ уязвимостей входит ещё анализ настройки СЗИ, ПО и ТС и анализ корректности работы СЗИ.

3. На этапе аттестации требуется провести следующие испытания “анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации” при этом в качестве исходных данных используются “результаты анализа уязвимостей информационной системы” . Это как вообще?

Просто повторяем то что делали на этапе внедрения? С учетом последних требований к разделению аттестаторов и внедренцев, видимо тут расчет на выборочный независимый дублирующий анализ.

ВВЕДЕНИЕ

Корпоративная IT-инфраструктура — это сложный многокомпонентный механизм, предназначенный для автоматизации бизнес-процессов компании. Доменная инфраструктура, почтовые сервисы, веб-приложения, бизнес-системы — все это является основой любой корпоративной информационной системы. В зависимости от масштаба компании и численности ее сотрудников будет различаться и размер IT-инфраструктуры. Но, несмотря на это, большая часть компаний имеет общие проблемы, связанные с обеспечением информационной безопасности информационных систем. Так, в период распространения вируса-шифровальщика WannaCry пострадало более 500 тысяч компьютеров, принадлежащих, в числе прочего, правительственным учреждениям, крупным компаниям и небольшим коммерческим организациям. Этот инцидент подтверждает, что от атак злоумышленников может пострадать абсолютно любая организация.

Данное исследование определяет основные тенденции в области анализа защищенности корпоративных информационных систем и позволяет определить:

• каковы наиболее вероятные векторы атак, которые может использовать нарушитель для получения доступа к ресурсам корпоративной сети;
• какие уязвимости наиболее распространены на сетевом периметре;
• насколько опасны действия злоумышленника, имеющего доступ к ресурсам ЛВС;
• какие недостатки безопасности позволяют злоумышленнику получить максимальные привилегии в корпоративной инфраструктуре;
• сохраняют ли свою актуальность атаки с использованием методов социальной инженерии;
• как с помощью атак на беспроводные сети получить доступ к ресурсам внутренней сети.

В качестве основы для подготовки данного исследования мы использовали статистические данные за 2017 год, полученные по результатам анализа защищенности корпоративных информационных систем, проведенных специалистами Positive Technologies. Сделанные выводы могут не отражать актуальное состояние защищенности информационных систем в других компаниях. Цель исследования — обратить внимание специалистов по ИБ на наиболее актуальные проблемы и помочь им своевременно выявить и устранить уязвимости.

1. РЕЗЮМЕ

Анализ защищенности сетевого периметра:

• успешно преодолеть сетевой периметр и получить доступ к ресурсам ЛВС было возможно в 68% проектов по анализу защищенности корпоративных информационных систем;
• подбор словарных учетных записей к ресурсам на сетевом периметре и эксплуатация уязвимостей веб-приложений являются основными векторами атак для проникновения во внутреннюю сеть;
• по результатам инструментального сканирования ресурсов сетевого периметра было установлено, что 31% компаний был подвержен риску заражения вирусом-шифровальщиком WannaCry.

Анализ защищенности внутренних ресурсов:

• при тестировании на проникновение от лица внутреннего злоумышленника полный контроль над всей инфраструктурой удалось получить во всех системах;
• в 60% корпоративных систем, протестированных в период с 14 апреля по 31 декабря 2017 года, обнаружена уязвимость MS17-010, что говорит о несвоевременной установке критически важных обновлений безопасности ОС;
• недостаточная защита от восстановления учетных записей из памяти ОС — основная уязвимость, которая позволяет получить полный контроль над корпоративной информационной системой.

Оценка осведомленности сотрудников:

• 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации;
• каждый шестой сотрудник подвергает корпоративную инфраструктуру риску вирусного заражения.

Анализ защищенности беспроводных сетей:

• в 75% случаев злоумышленник через атаки на беспроводные сети может получить доступ к ресурсам внутренней сети, а также получить чувствительную информацию (например, доменные учетные записи пользователей).

2. ИСХОДНЫЕ ДАННЫЕ

Статистика по итогам 2017 года основывается на результатах анализа защищенности 22 корпоративных систем, принадлежащих как российским, так и зарубежным компаниям из различных сфер экономики. При отборе проектов для исследования учитывалась информативность полученных результатов. Проекты, которые по просьбе заказчиков проводились на ограниченном количестве узлов, не были включены в исследование, так как не отражают реального состояния защищенности корпоративной информационной системы в целом. Как и в 2016 году, основная часть работ по тестированию на проникновение выполнялась для финансовых организаций и промышленных компаний. Успешные атаки на корпоративные системы финансового и промышленного сектора, как правило, приносят злоумышленникам максимальную выгоду. Успешная атака на инфраструктуру банка часто напрямую приводит к хищению денежных средств. Проникновение злоумышленника во внутреннюю сеть промышленной компании может не только привести к утечке чувствительной информации, которую в дальнейшем можно продать компаниям-конкурентам, но и к нарушению технологического процесса.

Анализ защищенности корпоративных сетей проводился путем внешнего, внутреннего и комплексного тестирования на проникновение (последнее включает в себя как внешнее, так и внутреннее). Тестирование на проникновение — эффективный метод анализа защищенности, который позволяет выявить уязвимые места в корпоративной инфраструктуре и получить объективную, независимую оценку ее уровня защищенности. В ходе тестирования моделируются действия потенциального нарушителя, осуществляющего атаки как со стороны интернета, так и из сегментов внутренней сети компании. Такой подход позволяет воссоздать условия, в которых обычно действуют нарушители, и оперативно устранить недостатки защиты.

Второй год подряд мы наблюдаем интерес к комплексным услугам. Наши заказчики стремятся не только защитить свой сетевой периметр от атак со стороны внешнего злоумышленника, но и снизить риски, связанные с компрометацией ЛВС внутренним злоумышленником.

Помимо работ по тестированию на проникновение для многих заказчиков проводились также работы по анализу защищенности беспроводных сетей и оценке осведомленности сотрудников в вопросах информационной безопасности.

В этом году результаты анализа защищенности сетевого периметра, полученные в ходе внешнего тестирования на проникновение, сравниваются не только с итогами прошлогоднего исследования, но и со статистикой, полученной в ходе инструментального исследования, которое проводилось в период активного распространения вируса-шифровальщика WannaCry. Во втором квартале 2017 года компания Positive Technologies предлагала бесплатное сканирование внешнего периметра с целью выявления уязвимых сервисов. Заявки оставили 26 компаний из разных сфер экономики. Статистика по внешнему тестированию на проникновение в сравнении с результатами инструментального исследования будет подробно рассмотрена далее в соответствующем разделе.

3. СТАТИСТИКА ЗА 2017 ГОД

3.1. Общие результаты анализа защищенности

Как правило, при анализе защищенности в каждой системе наши специалисты обнаруживают те или иные уязвимости и недостатки механизмов защиты, которые, среди прочего, позволяют развить вектор атаки вплоть до полной компрометации инфраструктуры компании, получить доступ к чувствительной информации, проводить атаки на отказ в обслуживании и т. п. Все уязвимости мы делим на три категории: связанные с недостатками конфигурации; связанные с отсутствием обновлений безопасности; связанные с ошибками в коде веб-приложений. Для каждой выявленной уязвимости определяется степень ее опасности в соответствии с системой классификации CVSS версии 3.0.

18 лет — возраст самой старой уязвимости CVE-1999-0532 , обнаруженной при инструментальном анализе ресурсов сетевого периметра

По сравнению с прошлым годом доля корпоративных систем, в которых были обнаружены уязвимости критической степени риска (CVSS ≥ 9,0) выросла практически в два раза. В основном это связано с публикацией информации о критически опасной уязвимости MS17-010 в SMB-сервисе узлов, функционирующих под управлением Windows. После публикации общедоступных эксплойтов во многих проектах по внутреннему тестированию на проникновение наши специалисты использовали эту уязвимость для получения полного контроля над узлами ЛВС и развития атаки вплоть до получения максимальных привилегий в домене.

Для систем, в которых не были выявлены ошибки в коде веб-приложений и недостатки, связанные с отсутствием обновлений безопасности, стоит учитывать, что тестирование на проникновение проводится методом черного ящика, и в рамках границ проведения работ невозможно выявить все имеющиеся уязвимости. Основная цель тестирования на проникновение — получение объективной оценки защищенности корпоративной системы от атак нарушителей.

3.2. Результаты анализа защищенности сетевого периметра

Результаты внешнего тестирования на проникновение

По итогам 2017 года защищенность сетевого периметра корпоративных информационных систем осталась на уровне 2016 года. Однако при этом наблюдается тенденция к снижению сложности преодоления сетевого периметра. Если в 2016 году только в 27% проектов сложность получения доступа к ресурсам ЛВС оценивалась как тривиальная, то к концу 2017 года этот показатель вырос в два раза, до 56%.

10 — максимальное число векторов проникновения во внутреннюю сеть, выявленное при тестировании одной корпоративной информационной системы в 2017 году

Такое распределение объясняется тем, что злоумышленнику для получения доступа к ресурсам ЛВС требуется в среднем выполнить два шага: например, подобрать словарные учетные данные для авторизации в веб-приложении и использовать его уязвимости для получения возможности выполнять команды ОС на атакуемом узле.

По результатам анализа защищенности корпоративных информационных систем в среднем в каждой компании выявляются два вектора проникновения во внутреннюю сеть, максимальное число обнаруженных векторов для одной компании — 10.

Можно разделить все успешные векторы проникновения во внутреннюю сеть по категориям:

• 44% векторов успешной атаки основаны на подборе словарных учетных данных для доступа к веб-приложениям, СУБД и другим сервисам, доступным для подключения на сетевом периметре. Затем злоумышленник может получить возможность выполнять команды ОС на атакуемом узле;
• 28% векторов атак основаны на эксплуатации уязвимостей веб-приложений. Сразу в ходе нескольких внешних тестирований были выявлены уязвимости, которые позволяют в один шаг, без необходимости авторизации, удаленно выполнять команды ОС с привилегиями веб-приложения;
• в 16% случаев получить доступ к ресурсам внутренней сети злоумышленник может при эксплуатации уязвимостей в устаревших версиях ПО (например, в CMS-платформах);
• в остальных случаях для атаки злоумышленник может использовать недостатки конфигурации, связанные с выявлением учетных данных для доступа к системам на сетевом периметре в открытом доступе, например на страницах веб-приложения. Кроме того, были выявлены случаи, когда на веб-ресурсе тестируемой компании наши специалисты находили загруженный ранее веб-интерпретатор командной строки, что свидетельствует об успешных проведенных атаках со стороны внешних злоумышленников.

В первую пятерку наиболее распространенных уязвимостей на сетевом периметре входят те же уязвимости, что и в 2016 году, однако поменялось их процентное соотношение. Можно отметить общую тенденцию к снижению среднего количества уязвимостей, выявляемых при внешнем тестировании на проникновение. Например, в 2016 году во всех протестированных системах были выявлены уязвимости, связанные с использованием словарных учетных данных, в 2017 году этот показатель снизился в два раза. Такие результаты связаны с тем, что для многих компаний ранее проводились работы по анализу защищенности их корпоративных систем. По результатам таких работ заказчики успешно исправляли большую часть выявленных уязвимостей и недостатков конфигурации и начинали более строго контролировать соблюдение внутренних парольных политик. Соответственно, при повторном проведении внешнего тестирования на проникновение через год-полтора было обнаружено меньше уязвимостей, что в итоге положительно сказалось на общих результатах в 2017 году.

Как и в 2016 году, чаще всего на сетевом периметре уязвимости выявляются в прикладном программном обеспечении и в веб-серверах.

Результаты инструментального анализа защищенности периметра

Как упоминалось ранее, во втором квартале 2017 года компания Positive Technologies проводила акцию по бесплатному сканированию внешнего периметра ряда компаний с целью выявления уязвимых сервисов. Основной целью было противодействие распространению вируса-шифровальщика WannaCry. Заявки на инструментальное сканирование ресурсов сетевого периметра оставили 26 компаний из разных сфер экономики: IT- и телеком-компании, крупные представители розничной торговли, компании из финансового сектора и нефтегазовой промышленности.

Все компании вначале должны были определить границы своих корпоративных систем. Уже на данном этапе у некоторых участников возникли затруднения: 23% не смогли определить границы своего сетевого периметра или определили их некорректно. Неспособность определить границы сетевого периметра уже является свидетельством низкой защищенности корпоративной информационной системы от атак со стороны внешнего нарушителя — еще до получения результатов ручного или инструментального анализа корпоративной системы.

Сканирование сетевых периметров проводилось с помощью автоматизированной системы анализа защищенности и контроля соответствия стандартам MaxPatrol и дополнительного ПО. По результатам сканирования было обнаружено множество уязвимостей: 15% из них имеют высокий уровень риска по шкале CVSS версии 2.0, причем для эксплуатации части уязвимостей существуют общедоступные эксплойты.

Отдельно можно рассмотреть статистику по самым популярным уязвимостям, выявленным при инструментальном сканировании сетевого периметра. Среди этих уязвимостей наибольшую опасность представляет CVE-2016-6515 в сервисе OpenSSH. При вводе пароля для аутентификации в приложении отсутствует ограничение на количество вводимых символов. Данный недостаток позволяет удаленному злоумышленнику проводить атаки, направленные на отказ в обслуживании сервиса. Также для эксплуатации данной уязвимости существует общедоступный эксплойт 1 . Кроме того, если злоумышленник сможет подобрать учетные данные для подключения по SSH и получить пользовательские привилегии в UNIX-системе, то наличие уязвимости CVE-2016-10010 в OpenSSH позволит ему с помощью другого эксплойта 2 локально повысить свои привилегии до максимальных на скомпрометированном узле, а затем развивать атаку на ресурсы ЛВС.

При анализе доступных служб на периметре наибольшее количество уязвимостей выявлено в веб-приложениях и службах удаленного доступа (SSH). Данные результаты инструментального анализа совпадают со статистикой, полученной в ходе внешнего тестирования на проникновение, где уязвимости и недостатки конфигурации веб-приложений в большинстве случаев являлись отправной точкой для получения доступа к ресурсам ЛВС.

При инструментальном анализе доступных веб-приложений отдельно собиралась статистика по состоянию SSL-сертификатов. Более чем у четверти сертификатов на момент сканирования закончился срок действия, в 15% использовались ненадежные криптографические алгоритмы (например, SHA-1), и каждый шестой сертификат был выдан на срок более 5 лет.

Использование просроченных SSL-сертификатов несет репутационные риски для компаний, так как пользователь после получения предупреждения в окне браузера об использовании в приложении невалидного сертификата может отказаться от посещения веб-ресурса.

Использование ненадежных алгоритмов шифрования сводит к нулю весь смысл применения SSL-сертификатов, поскольку злоумышленник может перехватить сетевой трафик и затем успешно расшифровать полученные данные. Кроме того, нарушитель может подменить SSL-сертификат и создать свой собственный фишинговый сайт, с помощью которого заражать пользователей вредоносным ПО и похищать их учетные данные. При этом пользователи могут думать, что заражение их компьютеров произошло после посещения легитимного сайта компании.

В случае если SSL-сертификат выдается на срок более 5 лет, возникают риски, связанные с возможностью подбора ключа шифрования.

Вернемся к основной цели инструментального сканирования ресурсов сетевого периметра. В 8 компаниях из 26 были обнаружены внешние узлы с открытым портом 445/TCP с запущенным SMB-сервисом. Таким образом, инфраструктура практически каждой третьей компании была подвержена риску заражения вирусом-шифровальщиком WannaCry

31% компаний был подвержен риску заражения вирусом-шифровальщиком WannaCry

3.3. Результаты анализа внутренних ресурсов

В случае успешной атаки на ресурсы сетевого периметра внешний злоумышленник может получить доступ к внутренней сети и дальше развивать атаку вплоть до полного контроля над всей IT-инфраструктурой компании.

Как и в 2016 году, при тестировании на проникновение от лица внутреннего злоумышленника (например, рядового сотрудника компании, имеющего доступ к пользовательскому сегменту сети) полный контроль над всей инфраструктурой удалось получить во всех протестированных системах. Только в 7% проектов сложность получения доступа к критически важным ресурсам со стороны внутреннего злоумышленника оценивалась как «средняя». Во всех остальных случаях скомпрометировать всю корпоративную систему мог нарушитель низкой квалификации.

Типовой вектор атаки во внутренней сети строился на получении максимальных привилегий на одном из узлов ЛВС с последующим запуском специализированного ПО для извлечения учетных данных других пользователей, которые ранее подключались к данному узлу. Повторяя эти шаги на разных узлах, злоумышленник в конечном итоге может найти узел сети, на котором хранится учетная запись администратора домена и получить его пароль в открытом виде.

В 60% корпоративных систем, протестированных в период с 14 апреля по 31 декабря 2017 года, обнаружена уязвимость MS17-010

В 2017 году задача по получению максимальных привилегий на узле внутренней сети для злоумышленника значительно упростилась после публикации информации об уязвимости MS17-010. 14 марта 2017 года компания Microsoft опубликовала обновление, которое устраняет данную уязвимость, а ровно через месяц 14 апреля хакерская группировка Shadow Brokers опубликовала эксплойт EternalBlue 3 для ее эксплуатации. Наши специалисты в период с середины апреля до конца года успешно использовали эксплойт в 60% работ по внутреннему тестированию на проникновение, что говорит о несвоевременной установке критически важных обновлений безопасности ОС в большинстве корпоративных систем.

Ближе к концу 2017 года стали чаще встречаться корпоративные системы, в которых установлены обновления, устраняющие критически опасную уязвимость MS17-010. Но в нескольких проектах на узлах с Windows для локального повышения привилегий удалось использовать другую критически опасную уязвимость, описанную в бюллетене безопасности MS17-018. Для данной уязвимости также есть эксплойт, который отсутствует в публичном доступе.

Статистика самых распространенных уязвимостей во внутренней сети по сравнению с 2016 годом практически не изменилась. Исключение составляет новая категория «Недостаточная защита от восстановления учетных записей из памяти ОС». На узлах ЛВС под управлением Windows возможно получение паролей в открытом виде (или их хеш-сумм) из памяти системы с помощью специального ПО — если нарушитель обладает привилегиями локального администратора. Ранее данную уязвимость мы относили к недостаткам антивирусного ПО, которое должно блокировать запуск любых вредоносных утилит для извлечения учетных данных. Однако за последнее время вышли модификации таких утилит, написанные на языке PowerShell, которые предназначены специально для обхода блокировки запуска со стороны любого антивирусного ПО. Теперь для обеспечения защиты от извлечения учетных данных из памяти ОС необходимо использовать комплексный подход, включающий запрет на сохранение кэшированных данных, ускорение очистки памяти процесса lsass.exe от учетных записей пользователей, завершивших сеанс, и отключение механизма wdigest. Кроме того, можно использовать современные версии Windows 10, в которых реализована система Remote Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа. Таким образом, в 2017 году для объективной оценки состояния механизмов защиты корпоративной сети мы ввели отдельную метрику для сбора статистики по запуску утилит, предназначенных для извлечения учетных данных.

В 14% корпоративных систем, где не была найдена уязвимость «Недостаточная защита от восстановления учетных записей из памяти ОС», использовались другие векторы атак для получения полного контроля над корпоративной инфраструктурой.

Статистика по недостаткам защиты служебных протоколов была построена на основе тех проектов, где проводился анализ сетевого трафика ЛВС (71% компаний). В некоторых проектах заказчики были против таких проверок, так как они могут привести к нарушению непрерывной работы сети.

По результатам внутренних тестирований установлено, что основные проблемы корпоративных информационных систем — несвоевременная установка критически важных обновлений безопасности и недостаточная защита от восстановления учетных записей из памяти ОС с помощью специализированных утилит.

4. РЕЗУЛЬТАТЫ ОЦЕНКИ ОСВЕДОМЛЕННОСТИ СОТРУДНИКОВ В ВОПРОСАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В дополнение к работам по тестированию на проникновение корпоративных информационных систем для ряда компаний проводилась оценка осведомленности сотрудников в вопросах информационной безопасности. Такие работы проводятся по заранее согласованным с заказчиком сценариям, в которых имитируются реальные атаки злоумышленников с использованием методов социальной инженерии и отслеживается реакция сотрудников на эти атаки.

Тестирование сотрудников проводилось двумя методами — при помощи рассылки электронных писем и в телефонном взаимодействии. Для получения объективной оценки уровня осведомленности сотрудников анализировались следующие контролируемые события:

• переход по ссылке на веб-ресурс злоумышленника;
• ввод учетных данных в заведомо ложную форму аутентификации;
• запуск приложенного к письму файла;
• факт взаимодействия со злоумышленником по телефону или электронной почте.

По результатам работ установлено, что 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации. Каждый шестой сотрудник подвергает корпоративную инфраструктуру риску вирусного заражения путем запуска приложенного к письму файла. Кроме того, 12% сотрудников готовы вступить в диалог с нарушителем и раскрыть информацию, которая в дальнейшем может быть использована при проведении атак на корпоративную информационную систему.

Всего при оценке осведомленности сотрудников в 2017 году было отправлено более 1300 писем, половина из которых содержала ссылку на фишинговый ресурс, а вторая — файл со специальным скриптом, который отправлял нашим специалистам информацию о времени открытия файла, а также адрес электронной почты сотрудника. Настоящий злоумышленник в содержимое файла может добавить набор эксплойтов, направленных на эксплуатацию различных уязвимостей, в том числе CVE-2013-3906 , CVE-2014-1761 и CVE-2017-0199 . Подобная атака может привести к получению злоумышленником контроля над рабочей станцией соответствующего пользователя, распространению вредоносного кода, отказу в обслуживании и иным негативным последствиям.

Типовой пример атаки с использованием методов социальной инженерии:

1. злоумышленник размещает на подконтрольном ресурсе набор эксплойтов под различные версии ПО;
2. ссылка на этот ресурс массово рассылается в фишинговых письмах;
3. сотрудник организации переходит по ссылке из письма, и после открытия страницы в браузере происходит эксплуатация уязвимостей.

Подобная атака может привести к заражению рабочей станции пользователя вредоносным ПО. Кроме того, при использовании устаревшей версии браузера может быть реализовано удаленное выполнение кода (например, CVE-2016-0189). Таким образом, злоумышленник может получить доступ к узлу внутренней сети и развивать атаку вплоть до максимальных привилегий в корпоративной инфраструктуре. Более подробно со сценариями атак с применением методов социальной инженерии можно ознакомиться в нашем исследовании «Как социальная инженерия открывает хакеру двери в вашу организацию» 4 .

5. РЕЗУЛЬТАТЫ ОЦЕНКИ ЗАЩИЩЕННОСТИ КОРПОРАТИВНЫХ БЕСПРОВОДНЫХ СЕТЕЙ

40% компаний используют словарный ключ для беспроводной сети

Атаки на беспроводные сети для внешнего нарушителя являются альтернативным способом получения доступа к ресурсам внутренней сети. В случае неудачи при попытке преодолеть сетевой периметр, например, через атаки на веб-приложения — злоумышленник может воспользоваться уязвимостями беспроводных сетей компании. Для успешной атаки ему потребуется заранее приобрести недорогое оборудование и попасть в зону покрытия беспроводной сети. Причем злоумышленнику для проведения атак не обязательно заходить в пределы контролируемой зоны компании: по результатам наших работ установлено, что 75% беспроводных сетей доступны за ее пределами. То есть атаки на беспроводные сети можно проводить незаметно с близлежащей территории, например с парковки рядом с офисным зданием.

В 2017 году практически во всех протестированных беспроводных сетях использовался протокол WPA2 с различными методами аутентификации, самым распространенным из которых был PSK (pre-shared key).

В зависимости от используемого метода аутентификации для атак на беспроводные сети можно использовать различные сценарии. В 2017 году для получения доступа к ресурсам внутренней сети чаще всего использовались следующие два сценария:

• перехват handshake между точкой доступа и легитимным клиентом (подходит только для метода PSK);
• атаки на клиентов беспроводной сети с использованием поддельной точки доступа (подходит для всех методов аутентификации).

В первом сценарии проводится подбор пароля к перехваченному значению handshake. Успех зависит от сложности используемого пароля. При этом важно учитывать, что подбирать его злоумышленник может уже вне зоны действия исследуемой точки доступа. Если в рамках границ проведения работ нашим специалистам не всегда удается успеть подобрать по значению handshake пароль, то у злоумышленника больше времени, что в разы увеличивает его шансы.

После подбора пароля и подключения к точке доступа установлено, что в 75% беспроводных сетей отсутствует изоляция между пользователями. Таким образом, злоумышленник может атаковать устройства пользователей, например эксплуатировать уязвимость MS17-010 на их личных и корпоративных ноутбуках.

В случае если подобрать пароль к точке доступа так и не удалось, можно использовать второй сценарий с установкой поддельной точки доступа.

Во-первых, злоумышленник вместе с поддельной точкой доступа может использовать фишинговую страницу аутентификации с целью получения учетных данных и перехвата чувствительной информации, передаваемой по открытым протоколам передачи данных (например, HTTP, FTP).

В 2017 году в рамках одного из проектов по анализу защищенности беспроводной сети, проводимых в Москве, специалисты Positive Technologies использовали поддельную точку доступа с ESSID (Extended Service Set Identification) MT_FREE, которая популярна у горожан, так как используется для доступа в сеть Wi-Fi, развернутую на городском транспорте. Далее была подготовлена поддельная форма аутентификации, в которой использовались логотип и корпоративное оформление тестируемой компании. После подключения к поддельной точке доступа при попытке открыть любой веб-сайт все пользователи переадресовывались на страницу с поддельной формой аутентификации в корпоративной сети. В результате данной атаки удалось получить доменные учетные данные сотрудников компании и использовать их для дальнейшего развития атаки.

Только в 1 из 8 протестированных компаний сотрудники не стали вводить свои учетные данные в поддельную форму аутентификации

Во-вторых, злоумышленник с помощью поддельной точки доступа может перехватывать сохраненные на устройстве учетные данные пользователя. Для этого необходимо создать точку доступа с тем же ESSID и такими же параметрами, как и легитимная точка доступа. Если на устройстве пользователя настроено автоматическое подключение к сохраненной беспроводной сети, то оно осуществит попытку подключения к поддельной точке доступа автоматически, если у нее будет более мощный сигнал в месте расположения этого устройства. В результате таких атак злоумышленник может получить хеш-суммы паролей сотрудников компании и использовать их для дальнейшего развития атаки на корпоративную инфраструктуру.

Установлено, что в 75% случаев злоумышленник посредством атак на беспроводные сети может получить доступ к ресурсам внутренней сети, а также чувствительную информацию (например, доменные учетные записи пользователей). Данный способ проникновения во внутреннюю сеть является эффективной альтернативой классическим атакам на узлы сетевого периметра.

Каждый год по результатам тестов на проникновение мы определяем сервисы, для доступа к которым чаще всего использовались словарные пароли. Эта статистика предназначена в первую очередь для системных администраторов, чтобы напомнить им о необходимости использовать сложные пароли и своевременно заменять стандартные учетные записи после установки и ввода в эксплуатацию нового сервиса.

По итогам 2017 года установлено, что простые пользователи и администраторы в качестве своих паролей часто используют сочетания близких клавиш на клавиатуре, полагая, что длинный, ничего не значащий пароль (например, zaq12wsxcde3 или poiuytrewq) сможет защитить их от несанкционированного доступа. Однако это ошибочное мнение: несмотря на кажущуюся сложность пароля, все такие сочетания клавиш уже давно внесены в специальные словари, и атака методом подбора занимает у злоумышленника считанные минуты.

Qwerty, Zaq1xsw2 и другие сочетания близких клавиш на клавиатуре — самые популярные пароли, в том числе и среди привилегированных пользователей

ЗАКЛЮЧЕНИЕ

Корпоративные информационные системы по-прежнему уязвимы к атакам со стороны внешних и внутренних злоумышленников. Если при проведении внешнего тестирования на проникновение все чаще встречаются компании, которые обеспокоены вопросом защищенности своего сетевого периметра, то при тестировании защищенности корпоративной системы от лица внутреннего злоумышленника ситуация значительно хуже. В 2017 году от лица внешнего злоумышленника, использующего, в числе прочего, методы социальной инженерии и атаки на беспроводные сети, преодолеть сетевой периметр удалось в 68% работ. При этом от лица внутреннего нарушителя полный контроль над ресурсами ЛВС был получен во всех без исключения проектах — несмотря на используемые в компаниях технические средства и организационные меры для защиты информации.

• Отказаться от использования простых и словарных паролей, разработать строгие правила для корпоративной парольной политики и контролировать их выполнение.
• Обеспечить дополнительную защиту привилегированных учетных записей (например, администраторов домена). Хорошей практикой является использование двухфакторной аутентификации.
• Обеспечить защиту инфраструктуры от атак, направленных на восстановление учетных записей из памяти ОС. Для этого на всех рабочих станциях привилегированных пользователей, а также на всех узлах, к которым осуществляется УЯЗВИМОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ подключение с использованием привилегированных учетных записей, установить Windows версии выше 8.1 и включить привилегированных пользователей домена в группу Protected Users. Кроме того, можно использовать современные версии Windows 10, в которых реализована система Remote Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа.
• Убедиться, что в открытом виде (например, на страницах веб-приложения) не хранится чувствительная информация, представляющая интерес для злоумышленника. К такой информации могут относится учетные данные для доступа к различным ресурсам, адресная книга компании, содержащая электронные адреса и доменные идентификаторы сотрудников, и т. п.
• Ограничить количество сервисов на сетевом периметре, убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям.
• Своевременно устанавливать обновления безопасности для ОС и последние версии прикладного ПО.
• Провести анализ защищенности беспроводных сетей. Особое внимание стоит обратить на надежность используемых методов аутентификации, а также настроить изоляцию пользователей точки доступа.
• На регулярной основе проводить обучение сотрудников, направленное на повышение их компетенции в вопросах информационной безопасности, с контролем результатов.
• Для своевременного обнаружения атак использовать SIEM-систему. Только своевременное выявление попытки атаки позволит ее предотвратить до того, как злоумышленник нанесет существенный ущерб компании.
• Для защиты веб-приложений — установить межсетевой экран уровня веб-приложения (web application firewall).
• Регулярно проводить тестирование на проникновение, чтобы своевременно выявлять векторы атак на корпоративную систему и на практике оценивать эффективность принятых мер защиты.

Данный перечень не является исчерпывающим, но несоблюдение даже одного пункта может привести к полной компрометации корпоративной системы, и все затраты на различные дорогостоящие средства и системы защиты окажутся неоправданными. Комплексный подход к информационной безопасности — лучшая защита корпоративной информационной системы от любого нарушителя.

Анализ защищенности - это процесс проверки инфраструктуры организации на наличие возможных уязвимостей сетевого периметра, виртуальной инфраструктуры, вызванных в том числе ошибками конфигурации, а также программного обеспечения и исходного кода приложений. Другими словами, при анализе защищенности проверяется безопасность различных информационных систем, как внутренних, так и внешних.

Анализ защищенности проводится с целью определения незакрытых уязвимостей в инфраструктуре и поиска слабых мест, которые могут быть использованы злоумышленниками для получения доступа во внутреннюю сеть организации из интернета. Одной из причин такой проверки могут служить требования регуляторов (например, ФСТЭК России) по проведению анализа защищенности государственных информационных систем и систем персональных данных. Такой анализ должен быть проведен на момент формирования требований к защищенности инфраструктуры и выполняться периодически уже после проведения мероприятий по защите и использования сертифицированных средств защиты.

Для анализа защищенности чаще всего используются сканеры защищенности, а также проводятся тесты на проникновение с привлечением сторонних специалистов.

Результатом работы сканеров защищенности являются подробные отчеты с описаниями найденных уязвимостей и возможных путей их устранения, что позволяет повысить уровень защищенности инфраструктуры организации. В то же время использование сканера защищенности предоставляет следующие преимущества:

• Определение возможных действий злоумышленников при их намерении осуществления несанкционированного доступа во внутреннюю сеть компании.
• Получение экспертной оценки эффективности применяемых мер по защищенности инфраструктуры.
• Контроль качества работ, проведенных в процессе внедрения программно-аппаратных средств, а также средств защиты информации.
• Получение экспертной оценки рисков в созданной инфраструктуре организации.
• Проверка разрабатываемых приложений на наличие уязвимостей.
• Повышение общего уровня защищенности собственной инфраструктуры.
• Проведение инвентаризации в процессе сканирования и получение полного списка доступных сервисов, протоколов и возможностей для осуществления несанкционированного доступа.

При этом при проверке сканеры защищенности способны выявлять уязвимости следующих объектов:

• Сетевого периметра и внутренних сетевые корпоративных ресурсов.
• Беспроводной инфраструктуры.
• Программного обеспечения.
• Интернет-приложений и веб-сайтов.
• Технологических сетей предприятия и АСУ ТП.

Сканеры защищенности могут работать в двух режимах:

Режим статического сканирования. Позволяет проводить пассивный анализ инфраструктуры. В данном случае проверка на наличие уязвимостей происходит по косвенным признакам - проверяются заголовки портов, обнаруженные на сетевых устройствах, после чего сравниваются с базой данных уязвимостей. В случае совпадения сканер защищенности сигнализирует о найденной уязвимости.

Режим динамического сканирования. Позволяет проводить активный анализ инфраструктуры. При таком режиме работы сканер уязвимостей действует как злоумышленник и имитирует атаки, проверяя реакцию системы. Исходя из возможностей этого режима, он является более медленным, однако считается более точным при выявлении уязвимостей.

Принцип работы сканеров уязвимостей заключается в последовательном прохождении следующих шагов:

1. Сбор данных об инфраструктуре.

2. Поиск потенциальных уязвимостей методом сканирования.

3. Подтверждение найденных уязвимостей динамическими методами.

4. Создание отчетов на основе результатов анализа.

5. Автоматические исправление найденных уязвимостей (при наличии данной функциональности у выбранного сканера защищенности).

IDENTIFICATION OF INFORMATION SYSTEMS VULNERABILITIES

Sergei Konovalenko

postgraduate of Krasnodar higher military school,

Russia, Krasnodar

Igor Korolev

doctor of Engineering, Professor, Professor of the department of protected information technologies, Krasnodar higher military school,

Russia, Krasnodar

АННОТАЦИЯ

Проведена оценка существующих средств анализа защищенности информационных систем, на основе которой построены модели выявления, идентификации и оценки образов уязвимостей информационных систем. Определены основные характеристики (элементы), присущие образам существующих уязвимостей информационных систем.

ABSTRACT

An assessment of existing tools for analyzing information systems security was performed. On the basis of the achieved results the models of detection, identification and evaluation of information systems vulnerabilities images were built. The main characteristics (elements) inherent to the images of the existing information systems vulnerabilities were defined.

Ключевые слова: выявление; информационная система; идентификация; оценка; описание образа; уязвимость.

Keywords: detection; information system; identification; evaluation; description of the image; vulnerability.

Любой информационной системе (далее по тексту – ИС) присущи определенные уязвимости, перечень которых является достаточно объемным и постоянно подлежит обновлению (расширению). Уязвимости ИС обусловлены недостатками (ошибками), возникающими в процессе «жизненного цикла» этой системы. В этом виду, возможность реализации угроз безопасности ИС напрямую зависит от действий злоумышленника по обнаружению и использованию присущих ей уязвимостей. С другой стороны, процесс выявления уязвимостей ИС, проводимый специалистом, является основополагающим в противодействии злоумышленнику на ранних стадиях реализации атак.

Целью данной статьи является построение обобщенных моделей выявления, идентификации и оценки образов уязвимостей ИС, а также определение характеристик (элементов), присущих образам существующих уязвимостей, что позволит специалисту более качественно систематизировать свою работу в области обеспечения безопасности контролируемой ИС.

Согласно ГОСТ Р 56545-2015, «уязвимость» – это недостаток (слабость) программного (программно-технического) средства или ИС в целом, который (которая) может быть использована для реализации угроз безопасности информации . «Информационная система» – это совокупность содержащейся в базах данных (далее по тексту – БД) информации и обеспечивающих ее обработку информационных технологий и технических средств .

Любую уязвимость ИС можно представить в виде образа, который включает в себя набор определенных характеристик (элементов, описывающих данную уязвимость), формируемых по определенным правилам.

Описание уязвимости ИС – это информация о выявленной (обнаруженной) уязвимости . Правила описания уязвимости ИС – это совокупность положений, регламентирующих структуру и содержание описания уязвимости .

Согласно образы уязвимостей подразделяются на образы известных уязвимостей, образы уязвимостей нулевого дня и образы впервые выявленных уязвимостей. Известная уязвимость – это уязвимость, опубликованная в общедоступных источниках с описанием соответствующих мер защиты информации, исправлений недостатков и соответствующих обновлений . Уязвимость нулевого дня – это уязвимость, которая становится известной до момента выпуска разработчиком компонента ИС соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений . Впервые выявленная уязвимость – это уязвимость, неопубликованная в общедоступных источниках .

Каждому типу образов уязвимостей ИС присущи как общие, так и специфические характеристики (элементы), которые можно свести в таблицу. Пример таблицы представлен ниже.

Таблица 1.

Элементы различных типов образов уязвимостей ИС

Прежде чем перейти к моделям выявления, идентификации и оценки образов уязвимостей, необходимо пояснить, что ИС состоит из уровней :

• уровень прикладного программного обеспечения (далее по тексту – ПО), отвечающий за взаимодействие с пользователем;
• уровень системы управления базами данных (далее по тексту – СУБД), отвечающий за хранение и обработку данных ИС;
• уровень операционной системы (далее по тексту – ОС), отвечающий за обслуживание СУБД и прикладного ПО;
• сетевой уровень, отвечающий за взаимодействие узлов ИС.

Каждому из уровней ИС соотносят различные типы (классы) уязвимостей. Для выявления уязвимостей необходимо разрабатывать модели выявления, идентификации и оценки уязвимости.

Основными источниками возникновения уязвимостей ИС являются :

• ошибки при разработке (проектировании) ИС (например, ошибки в ПО);
• ошибки при реализации ИС (ошибки администратора ИС) (например, неправильная настройка или конфигурация ПО, не эффективная концепция политики безопасности и т. п.);
• ошибки при использовании ИС (пользовательские ошибки) (например, слабые пароли, нарушение в политике безопасности и т. п.).

Для выявления, идентификации и оценки уязвимостей ИС, а также формирования отчетов и устранения (нейтрализации) уязвимостей, используются средства анализа защищенности сети (далее по тексту – САЗ) (сканеры безопасности (далее по тексту – СБ)), которые можно разделить на два типа :

• сетевые САЗ (СБ) (осуществляют удаленный анализ состояний контролируемых хостов на сетевом уровне);
• САЗ (СБ) уровня ОС (осуществляют локальный анализ состояний контролируемых хостов, порой требуется установка специального агента на контролируемых хостах).

Актуальность применения САЗ (СБ) обусловлена тем, что специалист способен заблаговременно определить достаточно большой перечень типов (классов) уязвимостей, присущих контролируемой ИС, и предпринять необходимые меры (в отдельных случаях, попытаться предпринять) по их устранению или исключению (минимизации) возможности использования обнаруженных уязвимостей злоумышленником.

Для систематизации работы специалиста в области обеспечения безопасности, контролируемой ИС и на основе проведенного анализа строится обобщенная модель выявления образов уязвимостей ИС (рисунок 1).

Рисунок 1. Обобщенная модель выявления образов уязвимостей ИС

Процесс выявления уязвимостей ИС строится посредствам выполнения пассивных проверок (сканирование – scan) и активных проверок (зондирование – probe) наличия уязвимостей контролируемой ИС.

В процессе сканирования САЗ, отправляя соответствующие запросы в адрес контролируемой ИС (на порты контролируемого хоста), анализирует обратно возвращаемые баннеры (заголовки пакетов данных) и делает соответствующие выводы о типе ИС и наличии потенциальных (возможных) ее уязвимостей. Результат сканирования не всегда на сто процентов говорит о наличии возможных (типовых) уязвимостей ИС, так как текстовое содержание баннера могло быть специально модифицировано, либо известные уязвимости, присущие данной ИС, были устранены специалистом в процессе ее реализации (использования). Еще одним способом выполнения сканирующих действий являются активные зондирующие проверки, которые предоставляют возможность проанализировать возвращаемый цифровой слепок (fingerprint) фрагмента ПО контролируемой ИС (т. е. выполнить процесс сравнения полученного результата с цифровым слепком известной уязвимости данного типа ИС). Данный способ обеспечивает более надежную и точную процедуру выявления возможных (типовых) уязвимостей контролируемой ИС.

В процессе зондирования САЗ имитирует выполнение атаки на контролируемую ИС, используя образ возможной (типовой) уязвимости, полученной при сканировании. Результат процесса зондирования является самой точной и надежной информацией о наличии уязвимостей контролируемой ИС. Данный способ применяется не всегда, так как существует вероятность нарушения работоспособности (вывода из строя) контролируемой ИС. Решение на применение вышеуказанного способа принимает администратор сети в случаях не эффективного выполнения или необходимости подтверждения результатов сканирования и активных зондирующих проверок.

Результаты сканирования и зондирования поступают в БД уязвимостей, в которой хранятся образы уязвимостей контролируемой ИС. На основании процедуры сравнения образа обнаруженной уязвимости с образами уязвимостей контролируемой ИС САЗ формирует отчет об отсутствии или наличии совпадений в образах уязвимостей (обнаружение уязвимостей), который сохраняется в БД уязвимостей.

Детализирует обобщенную модель выявления образов уязвимостей обобщенная модель идентификации и оценки образов уязвимостей ИС (рисунок 2).

Рисунок 2. Обобщенная модель идентификации и оценки образов уязвимостей ИС

Процесс идентификации образа обнаруженной уязвимости ИС, который имеет специфические характеристики (элементы), осуществляется посредствам процедуры его сравнения с образами известных уязвимостей и уязвимостей нулевого дня, хранящихся в БД уязвимостей. Формализованное описание известных уязвимостей и уязвимостей нулевого дня оформляется в виде паспортов, которые содержат информацию о специфических характеристиках (элементах) конкретной уязвимости. Для точной идентификации образа обнаруженной уязвимости он должен содержать информацию о наименовании и версии ПО ИС, в которой обнаружена уязвимость, о идентификаторе, наименовании и классе обнаруженной уязвимости. На основании вышеуказанной информации САЗ соотносит образ обнаруженной уязвимости к одному из типов образов уязвимостей. Для качественного проведения оценки идентифицированный образ уязвимости, в свою очередь, должен содержать информацию об идентификаторе и типе недостатка ИС, при котором обнаружена уязвимость, о месте обнаружения уязвимости в ИС, о способе выявления уязвимости. Процесс оценки образа уязвимости оканчивается выработкой рекомендаций по устранению уязвимости или по исключению возможности ее использования. В случаях, если был обнаружен образ впервые выявленной уязвимости, то САЗ помещает информацию о нем в БД уязвимостей с формированием нового паспорта уязвимости нулевого дня. При выпуске разработчиком ИС мер защиты информации, необходимых обновлений и при исправлении недостатков, уязвимость нулевого дня переходит в статус известной уязвимости.

Поводя итоги данной статьи, отмечаем, что специалист по обеспечению безопасности ИС обязан постоянно проводить работу по выявления уязвимостей в системе, четко представлять и понимать процессы, протекающие в САЗ, следить за обновлением (расширением) БД уязвимостей, своевременно устранять недостатки в системе, устанавливать соответствующие меры защиты и обновления на контролируемую ИС.

Список литературы:

1. Астахов А.С. Анализ защищенности корпоративных автоматизированных сетей // Информационный бюллетень Jet Info. – 2002. – № 7 (110). / – [Электронный ресурс]. – Режим доступа: URL: http://www.jetinfo.ru
2. Горбатов В.С., Мещеряков А.А. Сравнительный анализ средств контроля защищенности вычислительной сети // Безопасность информационных технологий. – 2013. – № 1. / – [Электронный ресурс]. – Режим доступа: URL: http://www.bit.mephi.ru
3. ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». – М.: Стандартинформ, 2015.
4. ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем». – М.: Стандартинформ, 2015.
5. Лукацкий А.В. Как работает сканер безопасности? / – [Электронный ресурс]. – Режим доступа: http://www.citforum.ru/security/internet/scaner.shtml (Дата обращения: 14.09.2016).
6. Лукацкий А.В. Обнаружение атак. – СПб. : Издательство «БВХ», 2001. – 624 с.
7. Руководство пользователя программного комплекса «Средство анализа защищенности «Сканер-ВС». НПЭШ.00606-01. ЗАО «НПО «Эшелон», 2011.
8. Сканер безопасности XSPider. Руководство администратора / – [Электронный ресурс]. – Режим доступа: http://www.ptsecurity.ru (Дата обращения: 15.09.2016).
9. Сканер безопасности MaxPatrol. Система контроля защищенности / – [Электронный ресурс]. – Режим доступа: http://www.ptsecurity.ru (Дата обращения: 16.09.2016).
10. Стивен Норткат, Джуди Новак. Обнаружение нарушений безопасности в сетях. 3-е изд.: Пер. с англ. – М.: Издательский дом «Вильямс», 2003. – С. 265–280.