cadeProgramas de automação que checam vulnerabilidades prometem tornar sua rede mais segura e o trabalho do profissional de TI mais ágil.

Todos nos preocupamos com problemas de segurança em nossos servidores. Fazemos o possível, corrigindo falhas, seguindo as melhores práticas, mantendo o treinamento em dia e acompanhando o noticiário. Mas não seria ótimo se uma ferramenta de automação conferisse o nosso trabalho? É o que prometem os software de análise de vulnerabilidade. Produtos que detectam problemas na configuração e até em aplicações.

Usadas corretamente, essas ferramentas podem ajudar você a cuidar melhor de servidores, dispositivos de rede e sistemas embutidos. Você vai saber onde focar esforços para correções de segurança, evitando que pequenas coisas fujam ao controle e se tornem grandes problemas. Entretanto, usadas incorretamente, essas ferramentas também podem gerar milhares de páginas de informações confusas, frustrar gerenciadores de segurança e redes, e acabar causando mais problemas do que soluções.

A equipe da InfoWorld avaliou seis produtos líderes de mercado, tendo como critérios resultados de análises, recursos de relatório, gerenciamento do produto, ferramentas de usabilidade e inoperância com outros produtos.

Dois produtos se destacaram: o QualysGuard VM, baseado em SaaS, e o Vulnerability Manager, da McAfee. O Critical Watch, da Fusion VM, também baseado em SaaS, trabalha com conceitos interessantes, mas na execução ainda deixa a desejar. O Lumension Scan, um produto de alcance mais limitado, teve uma boa performance, mas não tem foco corporativo.

Análise
Todos software de análise de vulnerabilidade tem algo em comum: um scanner que encontra vulnerabilidades. Se você está realizando testes de invasão em uma rede, será suficiente.

Em alguns produtos, como o Retina CS, da eEye e o Scanner, Exploit e Manager, da Saint Corporation, você tem a opção de usar o scanner sem as ferramentas de relatório e gerenciamento.

Em outros serviços, como o QualyGuard VM e o Critical Watch, o scanner é inseparável dos outros recursos. Se você é um consultor de segurança que quer apenas realizar buscas, os produtos da eEye e da Saint são mais adequados.

Para ter uma ideia do real desempenho dos scanners, analisamos três redes, em três empresas, além do teste produzido em laboratório. Deixamos os servidores deliberadamente sem atualizações por dois meses: dois sistemas Windows (2003 e 2008), um sistema Linux e um servidor com OS X. Usamos os analistas de vulnerabilidades e avaliamos os resultados.

Tenha em mente que, quase sempre, o processo de varredura da rede atrás de vulnerabilidades pode e vai deixá-la instável. O Scanner e o Critical Watch realmente abalaram nossa rede, conseguindo derrubar um dos nossos servidores Unix, causando intermitências que interromperam o serviço para muitos clientes.

Você pode achar que nossas redes não estavam muito desatualizadas em apenas dois meses, mas esses scanners tiveram muito a dizer. O campeão por peso foi o eEye, que despejou um relatório de 180 páginas em nossa mesa, apesar de o produto da McAfee o ter vencido em quantidade, contando 537 detalhes de nossa rede, dos quais 380 não eram vulnerabilidades específicas, mas apenas informações. Entretanto, o McAfee apontou 84 falhas a serem corrigidas.

Alguns resultados são muito brutos. Por exemplo, em nossos testes em sistemas Windows, tínhamos uma lista de atualizações e patches que o Microsoft Update disponibilizou e esperávamos ver todas essas vulnerabilidades listadas em cada sistema. Os produtos da McAfee, Qualys e eEye atingiram o resultado esperado, enquanto o Critical Watch, o Lumension e o da Saint não encontraram nada.

Se essa lista de patches fosse a base de todo o nosso teste, seria fácil fazer um ranking dos produtos. Mas cada scanner tem muito a informar, e descobrir se os dados são relevantes ou interessantes foi complicado.

Por exemplo, o Lumension informou que a versão do SecureCRT estava desatualizada (verdade) no nosso sistema Windows e classificou as vulnerabilidades como altas. Nenhum outro produto captou isso. Isso significa que o Lumension é o melhor que os outros?

Sim e não. Você pode ficar neste círculo para sempre, já que cada produto apontou para uma minoria de problemas que os outros não encontraram.

Também nos deparamos com falsos positivos, vulnerabilidades reportadas que na verdade não existiam. Essa é uma área crítica para puristas de segurança. Alguns scanners simplesmente trataram a existência de arquivos particulares como uma possível ameaça.

Nós também nos atentamos a outros dois critérios: evidência de vulnerabilidade reportada e suporte para plataforma em cruz.

A evidência, ou a falta dela, é um grande diferenciador. Quando um scanner reporta uma vulnerabilidade é essencial ter suporte de evidências prontamente. Por exemplo, um dos scanners reportou uma vulnerabilidade de “usuário que nunca logou” em nossos servidores, sem dizer qual usuário era esse. Isso é útil? (não muito).

O Mcafee, o Qualys e o Saint nos deram bom suporte de evidências, apesar de o Critical Watch também fornecer evidências, mas não tantas quando gostaríamos. A eEye e a Lumension foram não foram eficientes em prover relatórios de evidências, entretanto o produto apresentou algumas que estavam invisíveis na interface web.

Escaneamento de diferentes sistemas foi outro diferencial que pode não ser útil para todos os gerenciadores de rede. Todos os produtos suportavam Windows, mas encontramos diferentes níveis de comprometimento com outros sistemas operacionais, como Mac OS e Unix, assim como nos dispositivos de infraestrutura, como switches, banco de dados e rotas. O Saint e, em menor grau, o eEye tiveram um foco mais forte em sistemas Unix que os  outros produtos.

No geral, percebemos que o Qualys e o SAINT são os scanners mais fortes, com a McAfee quase no mesmo nível. O Lumension, o eEye e o Critical Watch apresentaram números maiores de falsos positivos e negativos, assim como ofereceram poucas evidências ao documentar vulnerabilidades.

Relatório
As informações de vulnerabilidades escondidas no produto não ajudam os gerenciadores de rede. Nós queremos um produto de avaliação de vulnerabilidades que consiga reportar as informações que encontra de uma maneira fácil de entender e que minimize a perda de tempo.

Gerenciadores de redes provavelmente vão querer usar GUI (interface gráfica do usuário) nos relatórios, porque eles estarão dividindo em detalhes, olhando individualmente sistemas e vulnerabilidades e focando em tarefas como correção e patching.

Auditores e gerenciadores podem querer relatórios impressos que sintetizem as informações, dando uma melhor visualização de quando a empresa está em risco e para onde voltar as atenções. Nós buscamos em todos os tipos de saídas na categorial generalista “Relatório”, para avaliar o nível de compreensão, transparência, configurabilidade e utilidade.

Descobrimos que realmente há dois tipos de programas de análise de vulnerabilidades por aí: os baseados em varredura e os baseados em ativos. O primeiro apresenta relatórios e informações focadas no trabalho de varredura. Em outras palavras, ele relata o que encontrou.

Os scanners de vulnerabilidades funcionam buscando uma lista de alvo, fazendo varreduras selecionadas. Você simplesmente pega aquele scanner que você desenvolveu com tanto esforço e coloca uma interface de usuário. A ferramenta pode localizar informações como tendências, mas não tem um histórico detalhado para cada sistema em que for usado.

O scanner alternativo é baseado em ativos (que podem ser um servidor, estação de trabalho, roteador, entre outros). Neste caso, o foco não é tanto no varredura, mas sim nas informações coletadas sobre os ativos. Com o tempo, o scanner recolhe bits e pedaços de informação sobre os ativos da sua rede, construindo um quadro de vulnerabilidades, configurações e até mesmo um histórico de patches.

A Qualys foi a empresa que chegou mais perto de produzir um programa de análise de vulnerabilidades perfeito, seguida de perto pela McAfee, quase no mesmo nível. Ambos permitem que você gere relatórios navegáveis e fáceis de ler. A interface de ambos é intuitiva e nós realmente preferimos a ideia que um relatório pode ser independente da varredura.

Entretanto, nenhum dos produtos é perfeito. O Qualys não permite que você realize relatórios com automação. É o efeito colateral de seu forte modelo de segurança SaaS.

A McAfee também teve um bom desempenho ao prover ambos serviços, baseados em scan e em ativos.

A empresa falha no habilidade de navegar em ativos e vulnerabilidades na interface do usuário. Os relatórios gerados são fáceis de produzir e ler, uma vantagem em relação aos outros produtos, mas a interface do usuário é mais limitada para navegar pelas vulnerabilidades e entender bem quais os níveis de criticidade.

Já os produtos da Saint e da eEyes possuem geradores de relatórios gratuitos. O da Saint inclui 16 tipos de relatórios pré-definidos, mas quando comparado, por exemplo, com o design do documento gerado pelo sistema da eEye, adicionar relatórios  é difícil e demorado.

Embora os desenvolvedores da eEye tenham construído umaa interface de usuário atraente para o Retina, baseada em Flash, encontramos vários problemas de funcionalidade que tornaram o uso do produto frustrante e atrapalharam um gerenciamento eficiente de vulnerabilidades.

O Retina é um produto muito novo, tem cerca de um ano, construído sobre o venerável e respeitado scanner da eEye. Comparado a todas as ferramentas que testamos, definir novos relatórios é um sonho no Retina. A interface do usuário, de fato, oferece todos os tipos de relatórios: você diz o que quer e o sistema inicia a varredura para coletar os dados. Mas boa sorte, porque todos os relatórios aparecem com títulos genéricos. Isso dificulta encontrar os resultados e você precisa clicar em cada relatório para ver se você consegue entender qual é qual.

Consideramos que os geradores de relatórios do Critical Watch e do Lumension não estão no mesmo padrão que os demais produtos.

Gerenciamento e usabilidade
Com centenas ou milhares de sistemas sendo analisados, o gerenciamento de configuração é destinado a desenvolver complicações com o tempo. Os dispositivos vão “ignorar” regras (uma vulnerabilidade particular não deve ser reportada, por exemplo) e exceções de política, e as configurações serão mais e mais personalizáveis.

O objetivo dos gerenciadores de redes é ter um relatório semanal sucinto, destacando os novos e importantes pontos a serem considerados e a única maneira de fazer isso é tornando o software de análise de vulnerabilidades um sistema com muitas informações da rede.

Achamos que o McAfee oferece o melhor nível de gerenciamento entre todos os produtos testados. A McAfee tem o melhor sistema de gerenciamento de credenciais entre todos os produtos. Elas são gerenciadas e armazenadas separadamente, facilitando sua utilização requerida para qualquer varredura.

Outras partes do gerenciamento do sistema da McAfee se destacaram como o fato de ajudar o gerenciador de rede a lidar com o processo de varredura e suas políticas com praticidade.

Uma tarefa muito básica para analistas de vulnerabilidade é o manuseio das vulnerabilidades, enviando-as para que alguém as resolva, marcando-as como “ignoradas”, ou mesmo desligando-as por algumas semanas até que o patching possa acontecer. Juntos, nós categorizamos tudo isso como “fluxo de trabalho”.

Tivemos um sucesso parcial observando o Critical Watch. O produto tem um sistema de geração de tickets integrado, chamado Remediation Manager, mas ele não funciona nos navegadores Firefox, IE e Safari, o que fez começar mal nos testes. Por outro lado, tem o fantástico Filter Manager, que é usado parar mascarar seletivamente vulnerabilidades de vários níveis, facilmente.

O eEye tomou um caminho diferente se aliando a outros provedores de segurança, incluindo programas de notificação de problemas, assim como os produtos da Security Information Manager (SIM). Conseguir as notificações com o Retina é fácil, se você tiver outro produto para isso. Um dos pontos fortes do produto é que ele integra hermeticamente com o programa de segurança da eEye, o Blink. A combinação forma uma visão integrada de segurança, ao unir as políticas de proteção (como configuração de firewall) e escaneamento de vulnerabilidades. Isso oferece a capacidade de minimizar ataques conhecidos antes que os patches estejam instalados ou disponíveis.

E se algum dos produtos precisa redesenhar sua interface esse produto é o Saint. Mas aprendemos a não julgar um produto pela “capa”. Mesmo que seu design aparente ser velho, o produto tem um grande potencial. O sistema integrado de notificações, por exemplo, é surpreendentemente fácil de usar e tem um recurso que pode ser usado para enviar automaticamente informações para um grupo selecionado.

Fonte: InfoWorld