EWEEK LABS // ОБЗОР

AppScan выявляет бреши не только реальные, но и воображаемые

Инструментарием обнаружения брешей в системе безопасности сетей и серверов сегодня никого не удивишь. Однако обновленная версия AppScan выводит решение этой задачи на новый уровень. Пакет фирмы Sanctum теперь проверяет и отдельные приложения, стараясь выявить потенциальные пробелы в их защите.

Появившаяся в сентябре версия AppScan 1.5 стала дальнейшим развитием версии 1.0. Конечно, многие функции новинки встречаются и в других продуктах, например в средствах разработки приложений, но через Тестовый центр eWeek Labs пока не прошло ни одной системы, которая могла бы сравниться с AppScan по сочетанию таких возможностей, как регистрация маршрута сетевого подключения, анализ защищенности и предотвращения взлома ручными способами.

Тестер AppScan фирмы Sanctum проверяет Web-приложение, а затем детально

описывает потенциальные бреши в системе безопасности

Продукт представляет пользователю подробный список слабых мест системы безопасности и даже позволяет разработчикам взламывать собственные узлы, чтобы убедиться в серьезности обнаруженных брешей. Кроме того, с его помощью можно подключиться к любому Web-приложению, а затем проверить это приложение на наличие слабых мест.

Новинка Sanctum контролирует широчайший спектр потенциальных проблем, начиная с распространенных форм перенастройки параметров и заканчивая весьма экзотическими приемами, с которыми вряд ли приходится сталкиваться на практике.

К сожалению, слишком многие пункты в отчетах AppScan выглядят просто фантастическими. В ходе нашего тестирования, например, продукт регистрировал такие проблемы безопасности, которые просто невозможны в проверяемых Web-приложениях.

Но как бы то ни было, инструментарий Sanctum имеет несомненную ценность. Конечно, всю представляемую им информацию можно найти на узлах, посвященных вопросам безопасности (например, на www.sans.org или www.cert.org), а также на хакерских сайтах наподобие www.rootshell.com. Однако для того, чтобы воспользоваться этими ресурсами, нужно время. Даже разработчику с богатым опытом для выявления брешей в приложениях потребуется не меньше недели-двух, тогда как AppScan все то же самое выполнит за пару дней.

Оплата AppScan ведется по подписке. Начальный тариф составляет 20 тыс. долл. в год в расчете на одного пользователя. Предусмотрена также консультационная схема оплаты, при которой годовая подписка на его использование обходится потребителю в 70 тыс. долл.

Пакет устанавливается на выделенной системе с процессором Pentium. Для установки достаточно вставить в дисковод CD-ROM загрузочный диск, после чего ОС Debian Linux и AppScan автоматически инсталлируются.

Самым сложным моментом в процессе развертывания продукта является, на наш взгляд, точное соблюдение весьма строгих требований лицензии на AppScan. Прежде чем приступить к работе, нам пришлось сообщить в компанию Sanctum МАС-адрес сетевого адаптера, IP-адрес и хост-имя системы AppScan, а также хост-имена всех Web-приложений, предназначенных для тестирования. Кроме того, пользователь системы должен ввести специальный идентификатор, для получения которого ему необходимо пройти двухдневный курс подготовки.

Не секрет, что системы обеспечения безопасности можно легко использовать не по назначению, поэтому выдача лицензий на работу с ними - идея хорошая. Однако Sanctum, похоже, с этим несколько переборщила, особенно если ее подход сравнить с требованиями производителей других продуктов, обладающих гораздо более вредоносным потенциалом. С помощью AppScan мы тестировали приложения, написанные на различных языках Web-сценариев и размещенные на разных серверах. Количество ложных предупреждений в отчетах зачастую доходило до 80%, однако в этой навозной куче нам удалось обнаружить и несколько настоящих жемчужных зерен - сообщений о небольших брешах в системе безопасности.

Для проверки Web-приложений мы просто настроили AppScan на мониторинг всех своих действий, а затем приступили к работе. При этом можно было провести и анализ приложения, хотя набор таких функций в инструментарии Sanctum очень ограничен. Нам, скажем, не хватало возможностей фильтрации проверяемых процессов, чтобы исключить из анализа все проблемы, не имеющие отношения к тестируемому приложению.

Когда анализ был завершен, на экране AppScan появился список потенциальных проблем, которые система приняла за бреши в системе безопасности нашего Web-приложения. Из него мы могли получить детальную информацию о каждом слабом месте, а при желании - и воспользоваться весьма удобной функцией AppScan, позволяющей вручную проникнуть через описанную брешь в систему. Проблемы безопасности может определить и сам пользователь, и программа также включит их в свои отчеты.

Резюме для руководителей

AppScan 1.5

Обновленная версия тестера приложений AppScan, выпущенная фирмой Sanctum, представляет собой ценное инструментальное средство для любого разработчика, которое поможет ему выявлять потенциальные бреши в системе безопасности Web-приложений. Правда, продукту не хватает избирательности по типам слабых мест, в результате чего он генерирует слишком много ложных сигналов тревоги.

КРАТКОСРОЧНЫЙ ПРОГНОЗ. Помогая тестировать новые и уже развернутые Web-приложения, выявлять и устранять потенциально слабые места в них, AppScan позволит компаниям быстро повысить безопасность своих сетей и серверов.

ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Чтобы инструментарий AppScan мог выявлять постоянно возникающие новые проблемы безопасности, Sanctum должна непрестанно обновлять его. Стоит ей подумать и над тем, как снизить количество весьма неприятных для пользователя ложных тревог, и отточить возможности AppScan по выявлению действительно опасных брешей.

( + ) Проверяет Web-приложения на наличие широкого спектра известных брешей в системе безопасности; позволяет легко проверить любое Web-приложение через браузерный интерфейс.

( - ) Чрезмерное количество ложных тревог в отчетах; излишне жесткие условия лицензирования.

Фирма Sanctum, Санта-Клара, шт. Калифорния, (408) 855-9500, www.sanctuminc.com.