Analizator powierzchni ataku
| Deweloperzy | Korporacja Microsoft |
|---|---|
| Ostateczne wydanie | 1.0.0.0 / 2 sierpnia 2012
|
| System operacyjny | Microsoft Windows |
| Platforma | Microsoft Windows |
| Typ | Bezpieczeństwo |
| Strona internetowa | Analizator powierzchni ataku |
Attack Surface Analyzer to narzędzie stworzone do analizy zmian dokonanych na powierzchni ataku w systemach operacyjnych od czasu Windows Vista i późniejszych. Jest to narzędzie rekomendowane przez Microsoft w wytycznych SDL na etapie weryfikacji rozwoju.
Historia
Według zespołu Microsoft SDL , przed opracowaniem narzędzia Attack Surface Analyzer nie dysponowali oni narzędziem typu „wszystko w jednym” do sprawdzania zmian dokonanych w obszarze ataku systemu operacyjnego Windows . Problemem było sprawdzanie i weryfikowanie wpływu różnych instalacji oprogramowania na system już od czasu powstania systemu Windows Server 2003 . W tamtych czasach musieli używać wielu narzędzi do każdego rodzaju zmian dokonywanych na powierzchni ataku. To był bolesny proces, gdy musieli ciągle sprawdzać wszystko i używać wielu narzędzi.
To właśnie ten problem skłonił Microsoft do stworzenia aplikacji, za pomocą której programiści mogli analizować zmiany dokonane w Windows Attack Surface. Początkowo był używany przez programistów w firmie Microsoft. Później, 18 stycznia 2011 roku, udostępniono publicznie wersję beta (wersja 5.1.3.0) narzędzia o nazwie Attack Surface Analyzer dla testerów i administratorów IT. Attack Surface Analyzer może porównać dwa dane skanowania systemu, zwane skanowaniem linii bazowej i skanowaniem produktu. Zarówno 32-bitowe, jak i 64-bitowe wersje oprogramowania są dostępne dla systemów Windows Vista i Windows 7 (oraz odpowiednich wersji Server). Nie ma żadnych informacji o wydaniu wersji dla systemu Windows XP.
Cechy
Analiza różnych kategorii zagrożeń
Attack Surface Analyzer to wszystko w jednym narzędziu do analizy zmian dokonanych w różnych częściach powierzchni ataku w systemie operacyjnym Windows 6 (w tym Windows Vista i Windows 7). Za pomocą tego jednego narzędzia możesz analizować zmiany wprowadzone w rejestrze, uprawnieniach do plików, serwerze Windows IIS, zestawach GAC i wiele więcej. Według Microsoftu jest to to samo narzędzie, którego używają inżynierowie zespołu ds. bezpieczeństwa w firmie Microsoft do analizy skutków instalacji oprogramowania w systemie operacyjnym Windows.
Nie byłoby to możliwe, gdyby nie było narzędzia typu „wszystko w jednym”. Musiałbyś użyć innego oprogramowania dla różnych części systemu Windows, a następnie samodzielnie logicznie połączyć efekty. Narzędzie rejestruje różne elementy, które wylicza podczas skanowania systemu. Elementy to:
- akta
- klucze rejestru
- informacje o pamięci
- okna
- Zapora systemu Windows
- Zespoły GAC
- udziały sieciowe
- Sesje logowania
- porty
- nazwane rury
- zadania automatycznego uruchamiania
- Punkty końcowe RPC
- procesy
- wątki
- komputery stacjonarne
- uchwyty
- Serwer internetowych usług informacyjnych firmy Microsoft
Powyższa lista to kompleksowy zestaw elementów, które są zarówno możliwe, jak i ważne, które można zmienić podczas instalacji nowego oprogramowania w systemie. Podczas gdy niektóre programy mogą zmienić tylko kilka elementów na liście, inne mogą zmienić jeszcze kilka różnych elementów w systemie. Attack Surface Analyzer łączy je wszystkie, dzięki czemu łatwiej jest analizować wszystkie części.
Werbowanie zagrożeń
Chociaż Attack Surface Analyzer może z całą pewnością powiedzieć o zmianach, w niektórych przypadkach będzie również w stanie powiedzieć, że dana zmiana w konfiguracji powoduje zagrożenie. Obecnie narzędzie nie rejestruje zagrożeń we wszystkich kategoriach (lub częściach systemu operacyjnego), które skanuje, ale tylko w kilku, z których najbardziej zauważalne są problemy z konfiguracją usług, listami ACL systemu plików i problemami związanymi z procesy uruchomione w systemie.
Określanie wagi zagrożenia
Uzyskanie listy zagrożeń dla systemu to świetna sprawa, gdy masz ją z oprogramowania wydanego przez samą firmę Microsoft. W końcu nikt nie zna systemu Windows lepiej niż Microsoft. W związku z rosnącymi obawami dotyczącymi bezpieczeństwa wykazywanymi przez firmę Microsoft ważne jest, aby zespół informatyczny przedsiębiorstwa wiedział również o powadze zagrożenia. Analizator powierzchni ataku pokazuje również wagę wykrytych zagrożeń. Wydaje się jednak, że nie informuje o powadze każdego zagrożenia. Zamiast tego pokazuje powagę zagrożenia według jego kategorii. Na przykład dotkliwość zagrożenia spowodowanego przez „Pliki wykonywalne ze słabymi listami ACL ” (powaga zagrożenia na poziomie 1) jest mniejsza niż ta powodowana przez „Procesy z tokenami podszywania się” (powaga zagrożenia na poziomie 2). Z pewnością pożądaną funkcją jest rejestrowanie poziomu dotkliwości powodowanego przez każde zagrożenie, a nie według kategorii, do której należy. Nie ma jednak żadnych wiadomości o tym, kiedy może to być dostępne.
Wbudowana pomoc
Każda organizacja ma swoich ekspertów z różnych dziedzin bezpieczeństwa. Może się zdarzyć, że ekspert ds. bezpieczeństwa sieci w organizacji nie zna szczegółów i terminologii innej domeny (np. usług Windows). Jednak te dwie kwestie mogą być ze sobą powiązane. Chociaż nie jest możliwe (a w niektórych przypadkach nie jest to ważne), aby eksperci z dwóch zespołów ekspertów ds. Krótki opis (wraz z linkiem do technet szczegółowo opisującej to pojęcie) wszystkich zagrożeń i zmian w obszarze ataku znajduje się w raporcie generowanym przez narzędzie Attack Surface Analyzer. Chociaż krótki opis jest zwykle wystarczający dla ekspertów, może być potrzebny w innych przypadkach. Firma Microsoft ułatwiła znalezienie odpowiedniego zasobu dla tego terminu, zamiast polegać na wyszukiwarkach internetowych .
Organizacja zmian dokonanych na powierzchni ataku
Attack Surface systemu operacyjnego Windows dotyczy różnych części systemu operacyjnego. Trudno byłoby komukolwiek zrozumieć raport, gdyby wszystkie zmiany były wymienione w kolejności seryjnej. Attack Surface Analyzer ułatwia użytkownikowi przeglądanie raportu, wyświetlając listę zagrożeń w kategoriach i udostępniając spis treści na stronie HTML.
Generowanie raportów
Attack Surface Analyzer może porównać dane z dwóch skanów (wygenerowane przez siebie na podstawie dwóch różnych skanów) i wygenerować raport, który można następnie wyświetlić w formacie HTML . Możliwe jest również uruchomienie skanów w jednym systemie, a następnie wygenerowanie w innym systemie przy użyciu tego samego narzędzia. Jest to dobre dla klientów z systemem Windows Vista, ponieważ nie jest możliwe wygenerowanie raportu przy użyciu bieżącej wersji narzędzia Attack Surface Analyzer w systemie Windows Vista. W takim przypadku narzędzie Attack Surface Analyzer może zostać użyte do uruchomienia skanowania na kliencie Windows Vista, przesłania plików wyników skanowania na komputer z systemem Windows 7, a następnie wygenerowania i przeglądania raportu na komputerze z systemem Windows 7.
wymagania systemowe
Attack Surface Analyzer działa w systemach operacyjnych z serii Windows 6.X, ale generowanie raportów można wykonać tylko w systemach operacyjnych w wersji 6.1. Poniżej przedstawiono wymagania systemowe Attack Surface Analyzer (z oficjalnej strony pobierania):
Możliwość instalacji na : Windows Vista , Windows 7 , Windows Server 2008 i Windows Server 2008 R2
Gromadzenie danych o powierzchni ataku : Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2
Analiza danych Attack Surface i generowanie raportów : Windows 7 lub Windows Server 2008 R2 z Microsoft .Net 3.5 SP1
Firma Microsoft nie wyszczególniła oddzielnie żadnych wymagań sprzętowych. Narzędzie powinno być w stanie wykonać swoją pracę na dowolnej maszynie spełniającej wymagania sprzętowe zainstalowanego systemu operacyjnego. Należy jednak pamiętać, że czas generowania danych skanowania i raportów zależy od możliwości sprzętowych (lepszy sprzęt umożliwiłby szybsze wykonanie pracy).
Skany
Attack Surface Analyzer zawiera dwa rodzaje skanów, mianowicie skanowanie linii bazowej i skanowanie produktu. Pod względem ściśle technicznym oba skany są takie same. Różnica między nimi jest logiczna, a nie techniczna.
Skan linii bazowej
Jest to przebieg skanowania, który użytkownik uruchomi w celu wygenerowania danych w początkowym systemie. Dane te są następnie porównywane ze skanem produktu. Po uruchomieniu skanowania podstawowego instalowany jest produkt, którego wpływ na powierzchnię ataku w systemie operacyjnym ma zostać sprawdzony. Instalacja zmienia konfigurację systemu (prawdopodobnie) poprzez zainstalowanie usług, zmianę reguł zapory, instalację nowych .NET i tak dalej. Skanowanie linii bazowej to skanowanie logiczne przeprowadzane przez użytkownika za pomocą narzędzia Attack Surface Analyzer, które generuje plik zawierający konfigurację systemu przed zainstalowaniem tego oprogramowania.
Skanowanie produktów
Skan produktu oznacza stan systemu po zainstalowaniu „produktu”. W tym kontekście produktem jest oprogramowanie, którego wpływ na system ma zostać sprawdzony po instalacji. Aby wygenerować raport, wymagane są co najmniej dwa skany. Skanowanie produktu przechwyciłoby zmiany wprowadzone w systemie przez instalację testowanego oprogramowania. Dane skanowania wygenerowane w tym skanie są porównywane z danymi skanowania linii bazowej, aby znaleźć zmiany wprowadzone w konfiguracjach systemu w różnych punktach. Warto zauważyć, że za pomocą Attack Surface Analyzer można przechwycić więcej niż jeden stan systemu i do generowania raportów można użyć dowolnej ich kombinacji. Jednak „Skan linii bazowej” powinien być tym, który został wykonany przed drugim. Drugi może zostać automatycznie wywołany jako skan produktu.
Zobacz też
Linki zewnętrzne
- Pobierz Analizator powierzchni ataku
- Analizator powierzchni ataku Nieoficjalne często zadawane pytania
- Narzędzie Attack Surface Analyzer firmy Microsoft rzuca światło na luki w oprogramowaniu
- Jak analizować powierzchnię ataku za pomocą Attack Surface Analyzer?
- Analizator powierzchni ataku dla systemu Windows 7
- Gigant oprogramowania wprowadza technologię i doradztwo w zakresie bezpieczeństwa aplikacji
- Luki w zabezpieczeniach i powierzchnia ataku
- Cykl życia oprogramowania godnego zaufania przetwarzania danych (artykuł MSDN)