Attack Surface Analyzer - Attack Surface Analyzer
| Vývojáři | společnost Microsoft |
|---|---|
| Stabilní uvolnění | 1.0.0.0 / 2. srpna 2012 |
| Operační systém | Microsoft Windows |
| Plošina | Microsoft Windows |
| Typ | Bezpečnostní |
| webová stránka | Attack Surface Analyzer |
Attack Surface Analyzer je nástroj vytvořený pro analýzu změn provedených v útočná plocha operačních systémů od Windows Vista a za. Je to nástroj doporučený Microsoft ve svých pokynech SDL[1] ve fázi ověřování vývoje.
Dějiny
Podle Tým Microsoft SDL,[2] neměli nástroj vše v jednom pro kontrolu změn provedených na útočné ploše Operační systém Windows před vývojem Attack Surface Analyzer. Od té doby byl problém zkontrolovat a ověřit účinky různých instalací softwaru na systém Windows Server 2003 byl vyvíjen. Tehdy museli používat různé nástroje pro každý typ změn provedených na útočné ploše.[3] Byl to bolestivý proces, když museli všechno znovu a znovu kontrolovat a používat více nástrojů.
Právě tento problém přiměl Microsoft vytvořit aplikaci, pomocí které mohli vývojáři analyzovat změny provedené v prostředí Windows Attack Surface. Zpočátku ho používali vývojáři ve společnosti Microsoft. Později, 18. ledna 2011, byla pro testery a správce IT na veřejnosti vydána beta verze (verze 5.1.3.0) nástroje s názvem Attack Surface Analyzer. Attack Surface Analyzer může porovnávat dvě data skenování systému zvaného základní skenování[4] a skenování produktu.[5] K dispozici jsou 32bitové i 64bitové verze softwaru[6] pro Windows Vista a Windows 7 (a příslušné edice serveru). O vydání verze Windows XP nejsou žádné zprávy.
Funkce
Analýza různých kategorií hrozeb
Attack Surface Analyzer je vše v jednom nástroji pro analýzu změn provedených v různých částech útočné plochy operačního systému Windows 6 (zahrnuje Windows Vista a Windows 7). Pomocí tohoto jediného nástroje můžete analyzovat změny provedené v registru, oprávnění k souborům, serveru Windows IIS, sestavách GAC a mnohem více.[7] Podle společnosti Microsoft se jedná o stejný nástroj, který používají inženýři bezpečnostního týmu společnosti Microsoft k analýze účinků instalace softwaru na operační systém Windows.
Nebylo by to možné, kdyby v jednom nástroji nebylo vše. Museli byste použít jiný software pro všechny různé části Windows a potom logicky kombinovat efekty sami. Nástroj získává různé prvky, které vyčísluje při spuštění kontroly systému. Prvky jsou:
- soubory
- klíče registru
- informace o paměti
- Okna
- Brána firewall systému Windows
- Sestavy GAC
- sdílení v síti
- Přihlašovací relace
- porty
- pojmenované trubky
- autorun úkoly
- RPC koncové body
- procesy
- vlákna
- pracovní plochy
- rukojeti
- Microsoft Server Internetové informační služby
Výše uvedený seznam je komplexní sada prvků, které jsou možné, stejně jako důležité prvky, které lze změnit při instalaci nového softwaru do systému. Zatímco některý software může změnit pouze několik prvků v seznamu, jiný může změnit několik dalších a různých prvků v systému. Attack Surface Analyzer kombinuje všechny z nich, takže je snazší analyzovat všechny součásti.
Získávání hrozeb
I když vám Attack Surface Analyzer dokáže změny s jistotou říct, v některých případech vám také dokáže sdělit, že určitá změna konfigurace způsobuje hrozbu. Od této chvíle nástroj nezaznamenává hrozby ve všech kategoriích (nebo částech operačního systému), které prohledává, ale pouze v několika z nich, z nichž nejvýraznější jsou problémy v konfiguracích služeb, seznamy ACL systému souborů a problémy související s procesy běžící v systému.
Určení závažnosti hrozby
Získání seznamu hrozeb pro systém je skvělá věc, pokud jej máte ze softwaru vydaného samotnou společností Microsoft. Koneckonců, nikdo nezná Windows lépe než Microsoft. S vylepšenými obavami o zabezpečení, které společnost Microsoft prokázala, je důležité, aby závažnost ohrožení byla známa také IT týmu podniku. Attack Surface Analyzer také ukazuje závažnost hrozeb, které najde. Zdá se však, že nehlásí závažnost každé hrozby. Místo toho ukazuje závažnost hrozby podle její kategorie. Například závažnost ohrožení způsobená „Spustitelnými soubory se slabým Seznamy ACL „(Závažnost ohrožení úrovně 1) je menší než závažnost způsobená„ Procesy s tokeny zosobnění “(závažnost ohrožení úrovně 2). Určitě je žádoucí, aby úroveň závažnosti způsobená každou hrozbou byla zařazena spíše do kategorie, do které patří. Neexistují však žádné zprávy o tom, kdy by to mohlo být k dispozici.
Integrovaná nápověda
Každá organizace má své odborníky na různé oblasti zabezpečení. Může nastat případ, kdy odborník na zabezpečení sítě v organizaci neví o podrobnostech a terminologii nějaké jiné domény (řekněme Windows Services). Tyto dva problémy však mohou být vzájemně propojeny. I když není možné (a v některých případech ani důležité), aby odborníci dvou týmů bezpečnostních expertů věděli vše o vzájemně používaných podmínkách, může to být v několika případech vyžadováno. Stručný popis (spolu s odkazem na technet knihovna podrobně popisující termín) všech hrozeb a změn na útočné ploše jsou zařazeny do zprávy generované analyzátorem útoků. Krátký popis je obvykle dostatečný pro odborníky, v jiných případech však může být potřebný. Společnost Microsoft usnadnila nalezení správného zdroje pro tento výraz, místo aby se spoléhala na webové vyhledávače.
Organizace změn provedených na povrchu útoku
Útokový povrch operačního systému Windows se týká různých částí operačního systému. Bylo by pro kohokoliv obtížné této zprávě porozumět, kdyby byly všechny změny uvedeny v sériovém pořadí. Attack Surface Analyzer usnadňuje uživateli procházet zprávu uvedením hrozeb v kategoriích a poskytnutím obsahu na stránce HTML.
Generování zpráv
Attack Surface Analyzer dokáže porovnat dvě data skenování (vygenerovaná sama na dvou různých skenech) a vygenerovat zprávu, kterou lze poté zobrazit v HTML formát. Je také možné spustit skenování na jednom systému a poté generovat na jiném systému pomocí stejného nástroje. To je dobré pro klienty se systémem Windows Vista, protože není možné generovat zprávu pomocí aktuální verze Attack Surface Analyzer v systému Windows Vista.[8] V takovém případě lze Attack Surface Analyzer použít ke spuštění skenování v klientovi Windows Vista, k přenosu souborů výsledků skenování do počítače se systémem Windows 7 a poté generovat a procházet zprávu v počítači se systémem Windows 7.
Požadavky na systém
Attack Surface Analyzer funguje na operačních systémech řady Windows 6.X, ale generování sestav lze provádět pouze na operačních systémech verze 6.1. Níže jsou uvedeny systémové požadavky Attack Surface Analyzer (z oficiální stránky ke stažení):
Instalovatelné na: Windows Vista, Windows 7, Windows Server 2008 a Windows Server 2008 R2
Sběr povrchových dat útoku: Windows Vista, Windows 7, Windows Server 2008 a Windows Server 2008 R2
Analýza dat útoku a generování zpráv: Windows 7 nebo Windows Server 2008 R2 s Microsoft .Net 3.5 SP1
Společnost Microsoft samostatně nezaznamenala žádné hardwarové požadavky. Nástroj by měl být schopen vykonávat svou práci na jakémkoli počítači, který splňuje hardwarové požadavky nainstalovaného operačního systému. Mějte však na paměti, že doba chodu pro generování skenovaných dat a zpráv závisí na hardwarových možnostech (lepší hardware by práci zvládl rychleji).
Skeny
Attack Surface Analyzer uvádí dva typy skenů, jmenovitě základní skenování a skenování produktu. Z přísného technického hlediska jsou oba skeny stejné. Rozdíl mezi nimi je logický, nikoli technický.
Základní skenování
Toto je běh skenování, který uživatel spustí, aby vygeneroval data v počátečním systému. Tato data jsou poté porovnána se skenováním produktu. Po spuštění základní skenování, je nainstalován produkt, jehož účinek na útočné ploše operačního systému je třeba zkontrolovat. Instalace změní konfiguraci systému (případně) instalací služeb, změnou pravidel brány firewall, instalací nových .SÍŤ sestavy a tak dále. Základní kontrola je logická kontrola spuštěná uživatelem pomocí nástroje Attack Surface Analyzer, který generuje soubor obsahující konfiguraci systému před instalací tohoto softwaru.
Skenování produktu
Skenování produktu označuje stav systému po instalaci produktu. V této souvislosti je produktem software, jehož účinky na systém po instalaci je třeba zkontrolovat. K vygenerování zprávy jsou zapotřebí minimálně dva skenování. The skenování produktu by zachytil změny provedené v systému instalací testovaného softwarového produktu. Data skenování generovaná v tomto skenování se porovnávají se základními daty skenování, aby se zjistily změny provedené v konfiguracích systému v různých bodech. Stojí za zmínku, že pomocí Attack Surface Analyzer lze zachytit více než jeden stav systému a pro generování sestav lze použít jakoukoli jejich kombinaci. „Základní skenování“ by však mělo být provedeno dříve. Druhý lze automaticky nazvat jako skenování produktu.
Viz také
externí odkazy
- Stáhněte si Attack Surface Analyzer
- Neoficiální časté dotazy k analyzátoru povrchu útoku
- Microsoft Attack Surface Analyzer vrhá světlo na softwarová zranitelnost
- Jak analyzovat útočný povrch pomocí Attack Surface Analyzer?
- Attack Surface Analyzer pro Windows 7
- Softwarový gigant představuje technologii a poradenství v oblasti zabezpečení aplikací
- Zranitelnosti a povrch útoku
- Životní cyklus vývoje důvěryhodného počítačového zabezpečení (článek MSDN)
Reference
- ^ Nástroje SDL
- ^ Oznámení o vydání ASA z blogu MSDN
- ^ problémy dříve, než byla k dispozici ASA
- ^ základní skenování Co je základní skenování v systému Windows Attack Surface Analyzer? Archivováno 21. listopadu 2015, na Wayback Machine
- ^ skenování produktu Co je to skenování produktu ve Windows Attack Surface Analyzer? Archivováno 21. listopadu 2015, na Wayback Machine
- ^ dostupnost ASA pro 32bitovou i 64bitovou verzi pro Vista a 7
- ^ Nejlepší vlastnosti Attack Surface Analyzer Archivováno 4. ledna 2015, na Wayback Machine
- ^ není možné generovat zprávu v systému Windows Vista Archivováno 21. února 2011, v Wayback Machine V systému Windows 6.0 není možné generovat zprávu: říká Microsoft