Analyse comparative des scanners de sécurité. Partie 1 : Test de Pénétration

Les scanners de sécurité sont tous très différents. Et parce que les fonctions pour lesquelles ils sont destinés, et en raison de leur «double» utilisation (« Protection » et «l’Attaque»), aussi parce que, chaque instrument véhicule la pensée de son créateur (Un Hacker).

security_scanner

1- Introduction
Une approche fondée sur la comparaison a été adopté «sur des objectifs», donc, les résultats ne peuvent être jugés, que si un outil est adapté à ses objectifs. Par exemple, un scanner de sécurité de réseau peut être utilisé:

  • Pour l’inventaire des ressources du réseau;
  • Au cours de «tests de pénétration»;
  • Dans le processus de contrôle de la conformité des systèmes avec diverses exigences.

Ce document (en russe ) présent les résultats de la comparaison des scanners de sécurité réseau au cours des testes de pénétration dans un périmètre prédéfini .

On calcule :

  • Le nombre de vulnérabilités découvertes
  • Le nombre de faux positifs
  • Le nombre de passes (faux négatifs)
  • Motifs passe
  • L’exhaustivité des contrôles (dans le cadre de la tâche)
  • La qualité de l’inventaire des machines et la version du logiciel
  • La précision du scanner (dans le cadre de la tâche)

Ces critères caractérisent collectivement «la vivacité » d’un scanner, est l’automatisation de la routine des actions dans l’audit de la sécurité du périmètre réseau.

2–Sondage
Avant de commencer à comparer les scanneurs le portail Securitylab.ru à fait un sondage, dont le but était de recueillir des données sur les scanner et les tâches pour lesquelles ils sont utilisés.

Utilisation des scanner de securité

Les Répondant aux questions sur l’utilisation des scanners de sécurité spécialisés déclarent qu’ils les utilisent comme des outils d’analyse Web (68%), scanners des SGBD (30%) et en troisième position (2%) pour les analyses de la sécurité des systèmes d’information

Les résultats ont montré que la plupart des organismes préfèrent utiliser le produit XSpider de positifs Technologies (31%) et Nessus (17%)

Position Scanner de sécurité

suivie de shadow Security scanner ,Retina , GFI languard , en dernière position Qualys avec 2 % .

A partir de ces données les chercheurs ont choisi 6 applications pour les tests de comparaison :

Nom Version Lien
Nessus 3.2.1 http://www.nessus.org/download
MaxPatrol 8.0 (Build 1178) http://www.ptsecurity.ru/maxpatrol.asp
Internet Scanner 7.2.58 http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
Retina Network Security Scanner 5.10.2.1389 http://www.eeye.com/html/products/retina/index.html
Shadow Security Scanner (SSS) 7,141 (Build 262) http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Auditor 6.1 http://netclarity.com/branch-nacwall.html


3 -Identification des services et des applications

Le score le plus élevé (108) MaxPatrol, un peu moins de (98) pour Nessus. En effet, ces deux scanners ont des procédures d’identification de services et d’applications de très haute qualité.

Résultats de l'identification des services et des applications

Viennent ensuite Retina (80 points) et Shadow Security Scanner (79 points), ils ont «échoué» à identification des services et des applications. Vien ensuite IBM Internet Scanner, son mauvais résultat se comprennent, car, Internet Scanner est axé sur l’usage des ports pour les applications standard. Enfin, les pires performances et celle du scanner NetClarity.

2 – Identification des vulnérabilités

La figure 6 montre le nombre total des vulnérabilités trouvées par les scanners et le nombre de faux positifs. Le plus grand nombre de vulnérabilités ont été découvertes par MaxPatrol . Nessus en deuxième position (avec déjà une grande marge). Shadow Security Scanner. Le chef de fil des faux positifs.

Vulnérabilité et fausses alarmes

Au Total et sur les 16 sites audités les scanners devaient trouvés 225 vulnérabilités. 155 sur 225 possible – ont été trouvé par MaxPatrol . Nessus, internet scanner , puis NetClarity.

Les causes pour lesquelles les scanneurs on « laissez-passer » des vulnérabilités ont été séparés en deux 2 partie :

Motifs passe vulnérabilités

ceux qui ont été omise en raison d’un manque de Signatures dans leur base de données. Et ceux omis à causes des scanners de vulnérabilités eux même.

Cette figure représente le nombre de faux positifs par rapport au nombre total des vulnérabilités découvertes, ce qui donne, la précision du scanner. C’est très important Pour l’utilisateur, car il se base principalement la liste de vulnérabilités découvertes et tout dépend de l’exactitude de cette liste,

Exactitude des scanners

Ce graphique montre que la plus grande précision (95%) a été réalisée par le scanner MaxPatrol. Même avec un nombre de faux positifs, le taux de précision est atteint avec un grand nombre de vulnérabilités découvertes. Suivie par Internet Scanner qui a révélée le plus petit nombre de faux positifs. Le résultat le plus bas et celui de SSS, sans surprise, avec un si grand nombre de faux positifs réalisée pendant la comparaison.
Une autre évaluation – celle de l’exhaustivité . Est calculé sur la base du nombre de vulnérabilités découvertes correctement sur le nombre total de vulnérabilités et décrit l’ampleur de «passe».

Passe

3. Résumé
Tableau 2. Les résultats définitifs des audits

Indicateur MaxPatrol Internet Scanner Retina Nessus Shadow Security Scanner Net Clarity
Auditor
Identification des services et des applications, des dizaines 108 66 80 98 79 54
nombre Trouvé de vulnérabilités 163 51 38 81 69 57
faux positifs 8 3 4 7 36 14
Vulnérabilité Trouvé correctement
(sur 225 possible)
155 48 34 74 33 43
Nombre de Saut
(faux négatifs)
70 177 191 151 192 182
en raison de l’absence d’une base de données 63 170 165 59 150 179
De ceux causés par la nécessité d’authentifier 0 6 16 36 0 0
Pour d’autres raisons 7 1 10 56 42 3


4. Conclusion

4.1 Les gagnants MaxPatrol et Nessus pourquoi ?
En premier lieu tous les critères de comparaison on élu MaxPatrol en premier position, et en deuxième lieu Nessus , les résultats des autres scanners sont sensiblement plus faible.
Il est pertinent de rappeler que l’un des documents préparés par l’Institut national des normes et de la technologie des Etats-Unis (NIST), «Guideline on Network Security Testing» stipule que lors du contrôle des systèmes informatiques, l’utilisation de deux des meilleurs scanners de sécurité est recommandé.

Dans les résultats : rien d’inattendu ou surprenant. Ce n’est pas par hasard que les scanners XSpider (MaxPatrol) et Nessus sont populaires parmi les experts en sécurité, ainsi que parmi les « hacker ». Cela est confirmé par les résultats ci-dessus.

Essayons d’analyser les raisons de l’apparente supériorité de MaxPatrol,nessus ainsi que les raisons «d’infériorité » des autres scanners.Les Résultat des contrôles sont fondées sur l’exactitude de la collecte d’informations. Ainsi l’identification des services et des applications dans MaxPatrol est pratiquement porté à la perfection.

La deuxième raison du succès de MaxPatrol – est basé sur son exhaustivité et sa pertinence par rapport à la tâche . Car la base de données des contrôles dans MaxPatrol est considérablement large et détaillé, avec une «banque» pour la partie web et l’extensions des inspections dans d’autres domaines, par exemple, on a été impressionné par les résultats de la recherche, par rapport au routeur Cisco.

La troisième raison – une analyse qualitative en tenant compte de la version des systèmes d’exploitation, les distributions Linux et les différentes «branches». Vous pouvez également ajouter et utiliser une variété de sources (base de données de vulnérabilités, des avis et des bulletins «fournisseurs»).

Les manques et les «faiblesses».

Puisque MaxPatrol a été le 1er, les critiques contre lui seraient «maximales».
Tout d’abord, il soufre du syndrome du «perdu dans le détail». Avec une très haute qualité du moteur, il est important d’offrir des services supplémentaires, tels que des outils pour exécuter des taches manuellement pour trouver des vulnérabilités, MaxPatrol marche sur l’idéologie du «clique et travaille». D’une part, ce n’est pas mauvais, d’autre part –ça limite les testes «méticuleux».

Deuxièmement, dans certains cas, l’absence de base de comparaisons entre deux informations : Par exemple, le système d’exploitation host4 a été identifié comme Windows, mais «le vendeur» du service PPTP comme Linux : La conclusion?

troisiemment, La description des contrôles laisse beaucoup à désirer. Mais il faut dire que traduction en russe de toutes les descriptions est une tâche très laborieuse.
La principale raison du retard de Nessus –est le manque de vulnérabilités, mais pas à cause de manque de contrôles dans la base, comme la plupart des autres scanners, mais à la nature de la mise en œuvre. Le scanner Nessus est développé pour des Scan dans le «local», impliquant un lien avec votre compte. Deuxièmement, le scanner Nessus représentait une source d’information moindre sur les vulnérabilités. Comme le scanner SSS, basé principalement sur la base de SecurityFocus

5. Limites de cette comparaison

Les scanners ont été testées dans le cadre d’une seul problématique – l’étude du périmètre le d’un réseau et sa résistance à la piraterie. Mais il existe d’autres tâches: Dans un avenir proche, est prévu de procéder à une comparaison des scanners en traitant de questions telles que:

  • Conduite d’audit de l’usage de votre compte
  • L’évaluation de la conformité des exigences de PCI DSS
  • Windows-scanning systèmes

Il est également prévu de procéder à une comparaison des scanners sur des critères formels.
Au cours de cette comparaison seul le «moteur» été testé. Il est possible de tester d’autres services (rapports, enregistrer des informations du scan, etc.) .

Aussi, on n’a pas évalué les risques et les opportunités pour l’exploitation des vulnérabilités découvertes. Certains scanners ont identifié des vulnérabilités «mineur» à faible risque, tandis que d’autres ont identifié des vulnérabilités « critiques » pour avoir accès au système.

Tagged : , , , , , , , , ,

2 commentaires pour “Analyse comparative des scanners de sécurité. Partie 1 : Test de Pénétration”

  1. Thibault Says:
    mai 14, 2009 at 1:19

    Bonne article, très intéressant. Merci de nous en avoir fait part, à nous pour qui la langue russe est étrangère. Dommage que des prétendants comme Qualys n’aient pas été pris en compte. Les plus utilisés ne sont pas forcément les meilleurs… D’autre part on peut se poser la question de l’objectivité. C’est étrange que le produit national se retrouve si en avant dans tout les domaines ;) .
    Une petite remarque quand à votre article : vous dites « Les causes pour lesquelles les scanneurs on « laissez-passer » des vulnérabilités ont été séparés en deux 2 partie », or je constate trois voir quatre couleurs différente sur le graphique. Quel couleur correspond à quoi ?

    Merci pour ce travail !

  2. Merci pour ton commentaire , pour les couleurs ça inclus les faux positive et les vrai négatifs. Pour Qualys il n’est pas consideré comme « Application Security Vulnerability Scanners » d’ailleurs dans le rapport de garthner de 2006 : http://www.gartner.com/DisplayDocument?doc_cd=138676 il n’y est pas non plus mais on peux le trouver en tête de liste dans les « Vulnerability Assessment » http://mediaproducts.gartner.com/reprints/qualys/156038.html qui est une catégorie plus globale .

Laisser un Commentaire






8 − six =