Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СОИБ. Анализ. Ещё один инструмент тестирования системы защиты

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Опубликовано в:

Как Вы наверное знаете из приказа 21 ФСТЭК, необходимо проводить анализ защищенности ИСПДн и тестирование работоспособности системы защиты персональных данных, в том числе:

“ (АНЗ.3) Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации ”


Кроме того при оценке рисков, анализе актуальности угроз , определении достаточности контрмер и наконец при сравнении эффективности средств защиты может возникнуть необходимость протестировать имеющиеся/установленные средства защиты.


Для помощи нам в этом нелегком деле компания Imperva выпустила общедоступный инструмент WAF Testing  Framework.


Данный инструмент позволяет протестировать имеющиеся механизмы средства web приложений, а именно средства типа web application firewall (WAF), nextgeneration firewall (ngfw), intrusion prevention system (IPS). Если ничего этого нет то можно протестировать свой МЭ.


Для того чтобы не зависеть от уязвимостей в webприложении Организации, которые могут быть, а могут и не быть, а могут и не быть обнаруженными, impervaсделала изящный ход: в связке со своим  WAF Testing  Framework предлагает использовать заведомо уязвимое webприложение webgoat из открытого проекта OWASP WebGoat Project.



Соответственно и все атаки заточены под webgoat.  Проверки делятся на проверки несрабатывания средств защиты (False Negatives)  и ложных срабатываний средств защиты (FalsePositives). Основные типы False Negatives:

·        SQL Injection

·        Cross Site Scripting (XSS)

·        Remote File Inclusion (RFI)

·        HTTP Parameter Pollution (HPP)


При таком подходе тестирование проводится быстро – за пару часов. Всего требуется пара ноутбуков – один с WAF Testing  Framework, второй с webgoat.  Сами утилиты запускаются в пару кликов. Примерная схема подключения ниже:


Схема посложнее ниже:



В результате получаем отчет содержащий сводные графики неэфективности системы защиты и подробный перечень проверок которые провалены системой защиты



Ранее подобный инструмент Evader был опубликован компанией Stonesoft. Который так-же состоит из двух компонентов – сканирующей утилиты и уязвимого сервера linux c  apache + mysql+php+phpBB и подключается он аналогично.


Видимо это актуальная тенденция вендоров безопасности: вкладываться в аналитику в определенной области, добиваться там определенного преимущества над конкурентами, потом выкладывать в общий доступ инструмент, который может быть с одной стороны полезен пользователям, а с другой стороны обосновать максимальную эффективность именно решений вендора.


Ещё один инструмент по возможностям и схеме подключения схожий с WAF Testing  Framework, но не зависящий от конкретного вендора -  w3af. Подключать его можно аналогично: с одной стороны утилита w3af, с другой стороны уязвимый сервис webgoat.



Приложение 1. Запуск webgoat:   webgoat_8080.bat




Приложение 2. Запуск WAF Testing  Framework. Кнопка Run.



Оцените материал:
Total votes: 232
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.