Анализатор поверхности атаки

Анализатор поверхности атаки
Разработчик(и)	Корпорация Майкрософт
Окончательный релиз	1.0.0.0 / 2 августа 2012 г. ; 12 лет назад ( 2012-08-02 )
Операционная система	Майкрософт Виндоус
Платформа	Майкрософт Виндоус
Тип	Безопасность
Веб-сайт	Анализатор поверхности атаки

Attack Surface Analyzer — это инструмент, созданный для анализа изменений, внесенных в поверхность атаки операционных систем, начиная с Windows Vista и более поздних версий. Это инструмент, рекомендованный Microsoft в ее руководствах SDL ^[1] на этапе проверки разработки.

История

По словам команды Microsoft SDL, ^[2] у них не было универсального инструмента для проверки изменений, внесенных в поверхность атаки операционной системы Windows, до разработки Attack Surface Analyzer. Проверка и подтверждение эффектов различных установок программного обеспечения в системе были проблемой еще со времен разработки Windows Server 2003. Тогда им приходилось использовать несколько инструментов для каждого типа изменений, внесенных в поверхность атаки. ^[3] Это был болезненный процесс, когда им приходилось проверять все снова и снова и использовать несколько инструментов.

Именно эта проблема заставила Microsoft создать приложение, с помощью которого разработчики могли бы анализировать изменения, внесенные в Windows Attack Surface. Сначала оно использовалось разработчиками Microsoft. Позже, 18 января 2011 года, бета-версия (версия 5.1.3.0) инструмента под названием Attack Surface Analyzer была выпущена для тестировщиков и ИТ-администраторов. Attack Surface Analyzer может сравнивать два данных сканирования системы, называемых базовым сканированием ^[4] и сканированием продукта. ^[5] Доступны как 32-разрядные, так и 64-разрядные версии программного обеспечения ^[6] для Windows Vista и Windows 7 (и соответствующих выпусков Server). Новостей о выпуске версии для Windows XP нет.

Функции

Анализ различных категорий угроз

Attack Surface Analyzer — это комплексный инструмент для анализа изменений, внесенных в различные части поверхности атаки операционной системы серии Windows 6 (включая Windows Vista и Windows 7). Используя этот инструмент, вы можете анализировать изменения, внесенные в реестр, разрешения файлов, сервер Windows IIS, сборки GAC и многое другое. ^[7] По данным Microsoft, это тот же инструмент, который используют инженеры группы безопасности Microsoft для анализа последствий установки программного обеспечения в операционной системе Windows.

Это было бы невозможно, если бы не было инструмента «все в одном». Вам пришлось бы использовать разное программное обеспечение для всех частей Windows, а затем самостоятельно логически комбинировать эффекты. Инструмент перечисляет различные элементы, которые он перечисляет во время сканирования системы. Элементы следующие:

файлы
ключи реестра
информация о памяти
окна
Брандмауэр Windows
Ассамблеи GAC
сетевые акции
Сеансы входа в систему
порты
именованные каналы
автозапуск задач
Конечные точки RPC
процессы
темы
настольные компьютеры
ручки
Сервер служб Microsoft Internet Information

Приведенный выше список представляет собой полный набор элементов, которые являются как возможными, так и важными элементами, которые могут быть изменены при установке нового программного обеспечения в системе. В то время как некоторое программное обеспечение может изменить только несколько элементов в списке, некоторое другое может изменить несколько других и различных элементов в системе. Attack Surface Analyzer объединяет их все, чтобы было легче анализировать все части.

Привлечение угроз

Хотя Attack Surface Analyzer может точно сказать вам об изменениях, в некоторых случаях он также сможет сказать вам, что определенное изменение в конфигурации вызывает угрозу. На данный момент инструмент не перечисляет угрозы во всех категориях (или частях операционной системы), которые он сканирует, а только в нескольких, наиболее заметными из которых являются проблемы в конфигурациях служб, ACL файловой системы и проблемы, связанные с процессами, запущенными в системе. ^[8]

Определение серьезности угрозы

Получение списка угроз для системы — это отличная вещь, когда вы получаете его из программного обеспечения, выпущенного самой Microsoft. В конце концов, никто не знает Windows лучше, чем Microsoft. С улучшенными опасениями по поводу безопасности, продемонстрированными Microsoft, важно, чтобы серьезность угрозы также была известна ИТ-отделу предприятия. Анализатор поверхности атак также показывает серьезность угроз, которые он обнаруживает. Однако, похоже, он не сообщает о серьезности каждой угрозы. Вместо этого он показывает серьезность угрозы по ее категории. Например, серьезность угрозы, вызванной «Исполняемыми файлами со слабыми списками контроля доступа » (серьезность угрозы уровня 1), меньше, чем вызванная «Процессами с маркерами олицетворения» (серьезность угрозы уровня 2). Безусловно, желательно указывать уровень серьезности, вызванный каждой угрозой, а не по категории, к которой она принадлежит. Однако нет никаких новостей о том, когда это может быть доступно.

Встроенная помощь

В каждой организации есть свои эксперты в различных областях безопасности. Может быть случай, когда эксперт по сетевой безопасности в организации не знаком с подробностями и терминологией какой-то другой области (например, служб Windows). Однако эти две проблемы могут быть связаны друг с другом. Хотя экспертам двух групп экспертов по безопасности невозможно (а в некоторых случаях и не важно) знать все о терминах, используемых друг другом, в некоторых случаях это может потребоваться. Краткое описание (вместе со ссылкой на библиотеку technet , подробно описывающую термин) всех угроз и изменений в поверхности атаки приводится в отчете, созданном Attack Surface Analyzer. Хотя краткого описания обычно достаточно для экспертов, в других случаях оно может потребоваться. Microsoft упростила поиск нужного ресурса для термина, не полагаясь на поисковые системы в Интернете .

Организация изменений, внесенных в поверхность атаки

Attack Surface of Windows Operating System касается различных частей операционной системы. Было бы трудно понять отчет, если бы все изменения были перечислены в последовательном порядке. Attack Surface Analyzer упрощает пользователю просмотр отчета, перечисляя угрозы по категориям и предоставляя оглавление на HTML-странице.

Генерация отчетов

Attack Surface Analyzer может сравнивать два данных сканирования (сгенерированных им самим в ходе двух разных сканирований) и генерировать отчет, который затем можно просмотреть в формате HTML . Также можно запустить сканирование на одной системе, а затем сгенерировать его на другой системе с помощью того же инструмента. Это хорошо для клиентов Windows Vista, поскольку невозможно сгенерировать отчет с помощью текущей версии Attack Surface Analyzer на Windows Vista. ^[9] В таком случае Attack Surface Analyzer можно использовать для запуска сканирования на клиенте Windows Vista, передачи файлов результатов сканирования на компьютер под управлением Windows 7, а затем сгенерировать и просмотреть отчет на компьютере под управлением Windows 7.

Системные требования

Attack Surface Analyzer работает на операционных системах Windows 6.X, но генерация отчетов возможна только на операционных системах версии 6.1. Ниже приведены системные требования Attack Surface Analyzer (с официальной страницы загрузки):

Возможность установки на : Windows Vista , Windows 7 , Windows Server 2008 и Windows Server 2008 R2

Сбор данных о поверхности атаки : Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2

Анализ данных поверхности атаки и создание отчетов : Windows 7 или Windows Server 2008 R2 с Microsoft .Net 3.5 SP1

Microsoft не перечислила отдельно никаких требований к оборудованию. Инструмент должен быть в состоянии выполнять свою работу на любой машине, соответствующей требованиям к оборудованию установленной операционной системы. Однако следует отметить, что время выполнения для генерации данных сканирования и отчета зависит от возможностей оборудования (лучшее оборудование будет выполнять работу быстрее).

Сканирует

Attack Surface Analyzer перечисляет два типа сканирования, а именно базовое сканирование и продуктовое сканирование. Строго говоря, оба сканирования одинаковы. Разница между ними логическая, а не техническая.

Базовое сканирование

Это сканирование, которое пользователь запустит для генерации данных об исходной системе. Затем эти данные сравниваются со сканированием продукта. После запуска базового сканирования устанавливается продукт, влияние которого на поверхность атаки операционной системы должно быть проверено. Установка изменяет конфигурацию системы (возможно) путем установки служб, изменения правил брандмауэра, установки новых сборок .NET и т. д. Базовое сканирование — это логическое сканирование, запускаемое пользователем с помощью Attack Surface Analyzer, который генерирует файл, содержащий конфигурацию системы, до установки этого программного обеспечения.

Сканирование продукта

Сканирование продукта означает состояние системы после установки «продукта». В этом контексте продукт — это программное обеспечение, воздействие которого на систему после установки должно быть проверено. Для создания отчета требуется минимум два сканирования. Сканирование продукта будет фиксировать изменения, внесенные в систему при установке тестируемого программного продукта. Данные сканирования, полученные при этом сканировании, сравниваются с данными базового сканирования, чтобы найти изменения, внесенные в конфигурации системы в различных точках. Стоит отметить, что с помощью Attack Surface Analyzer можно фиксировать более одного состояния системы, и для создания отчета можно использовать любую их комбинацию. Однако «Базовое сканирование» должно быть тем, которое было выполнено до другого. Другое может автоматически называться сканированием продукта.

Смотрите также

Внешние ссылки

Загрузить Анализатор поверхности атак
Анализатор поверхности атак: неофициальные часто задаваемые вопросы
Анализатор поверхности атак от Microsoft проливает свет на уязвимости программного обеспечения
Как проанализировать поверхность атаки с помощью Attack Surface Analyzer?
Анализатор поверхности атак для Windows 7
Софтверный гигант представляет технологию и консалтинг для обеспечения безопасности приложений
Уязвимости и поверхность атаки
Жизненный цикл разработки надежной вычислительной безопасности (статья MSDN)

Ссылки

^ Инструменты SDL
^ Объявление о выпуске ASA из блога MSDN
^ проблемы до появления ASA
^ базовое сканирование Что такое базовое сканирование в Windows Attack Surface Analyzer? Архивировано 21 ноября 2015 г. на Wayback Machine
^ product scan Что такое Product Scan в Windows Attack Surface Analyzer? Архивировано 21 ноября 2015 г. на Wayback Machine
^ наличие ASA как для 32-битных, так и для 64-битных версий для Vista и 7
^ Лучшие характеристики Attack Surface Analyzer Архивировано 4 января 2015 г. на Wayback Machine
^ Буржуа, Дэйв; Буржуа, Дэвид Т. (2014-02-28). «Глава 6: Безопасность информационных систем». {{cite journal}}: Цитировать журнал требует |journal=( помощь )
^ невозможно создать отчет в Windows Vista Архивировано 21 февраля 2011 г. на Wayback Machine Невозможно создать отчет в Windows 6.0: заявляет Microsoft

[1] Инструменты SDL

[2] Объявление о выпуске ASA из блога MSDN

[3] проблемы до появления ASA

[4] базовое сканирование Что такое базовое сканирование в Windows Attack Surface Analyzer? Архивировано 21 ноября 2015 г. на Wayback Machine

[5] roduct scan Что такое Product Scan в Windows Attack Surface Analyzer? Архивировано 21 ноября 2015 г. на Wayback Machine

[6] наличие ASA как для 32-битных, так и для 64-битных версий для Vista и 7

[7] Лучшие характеристики Attack Surface Analyzer Архивировано 4 января 2015 г. на Wayback Machine

[8] Буржуа, Дэйв; Буржуа, Дэвид Т. (2014-02-28). «Глава 6: Безопасность информационных систем». {{cite journal}}: Цитировать журнал требует |journal=( помощь )

[9] невозможно создать отчет в Windows Vista Архивировано 21 февраля 2011 г. на Wayback Machine Невозможно создать отчет в Windows 6.0: заявляет Microsoft