Vantagens e Desvantagens da tecnologia de agente


  Share  
|

A grande vantagem desta abordagem é o agente escalabilidade adquirida com a sua natureza distribuída. Como o número de agentes mobilizados só é limitado pelo número de hospedeiros compatíveis e os custos de licenciamento, é teoricamente possível a realização de uma auditoria de todas as máquinas, sem gerar qualquer atividade de rede, exceto para configurar o agente e os resultados do relatório. Embora a auditoria não é feita através da rede, a comunicação entre o agente eo servidor não é sempre mínima. Dependendo da complexidade do hospedeiro e vulnerabilidades, o tráfego de informação considerável pode ser gerada. No entanto, o exame não ter lugar através de uma ligação de rede.

Algumas vantagens são óbvias que não há necessidade de pouca preocupação para a implantação de hardware adicional, e há menos preocupação de que a largura de banda suficiente e recursos de scanner estão disponíveis.

Agentes estão sobrecarregados, no entanto, alguns problemas básicos:

Eles podem entrar em conflito com outros aplicativos em execução no alvo. Este é um problema comum a todos os programas em execução em sistemas computacionais complexos de hoje. O teste é a única solução.

Eles podem não ter privilégios suficientes em matéria de política de segurança local para auditar todos os itens de configuração.

Eles podem ter erros que levá-los a encerrar e notificação de falha não pode vir para o servidor de gerenciamento por algum tempo, durante o qual uma janela de auditoria poderia ser desperdiçada.

Agentes podem não estar disponíveis para o fabricante e versão do sistema operacional em uso. Quase todo mundo faz um agente para Microsoft Windows ®, mas muito menos apoiará ® Linux, FreeBSD ®, e Solaris ™.

Sistemas Embutidos, como caixas registradoras e apontar outros dispositivos ofsale estão bem construídos e não deixam de alojamento para os agentes. No entanto, a indústria de cartões de pagamento (PCI) as normas de segurança exigem arquivo de monitoramento da integridade destes sistemas.

Dado o tamanho limitado, espaço e desempenho de um agente, ele provavelmente não vai ter a capacidade de cobrir os milhares de possíveis vulnerabilidades.

Em máquinas virtuais, pode haver muitos agentes em execução em simultâneo, o que pode afetar negativamente o desempenho do hardware subjacente e sistema operacional hospedeiro.

O próprio agente pode se tornar um alvo de um atacante como resultado de uma vulnerabilidade. Desde que os agentes tipicamente escutar na rede para obter instruções de um servidor, uma abertura está disponível para exploração.

O agente de auditoria de vulnerabilidade tem muitas vantagens sobre outros métodos:

• Veja todas as vulnerabilidades, algumas das quais não estão disponíveis na rede a menos que a varredura é autenticado.

• O agente pode funcionar mesmo quando o sistema não está ligado a uma rede.

• Não se activamente com o software instalado no sistema para encontrar uma vulnerabilidade, minimizando assim a possibilidade de interrupção das operações.

• Desde que não opera sobre a rede, não vai chamar a atenção de um sistema de rede de prevenção de intrusão (IPS), nem vai criar o tráfego de rede excessivo. De fato, a carga total de tráfego é muito menos provável do que a atividade típica navegar na internet.

• Como executar o software localmente, ele pode estender a funcionalidade mais ativo em funções de segurança, ponto final.

Os agentes têm uma visão muito mais integrada do funcionamento interno de um hospedeiro. Eles são colocados em posição de estar ciente de quaisquer alterações ao sistema, assim que eles ocorrem. Embora a aplicação nem sempre tem essa abordagem, isso traz muito mais perto de partilha de recursos com os agentes de segurança de ponto final.

Somas de verificação de arquivo, o conteúdo das entradas do Registro e arquivos de configuração são analisados em busca de vulnerabilidades. Desde o tipo de acolhimento é bem conhecido do agente, o conjunto específico de verificações de vulnerabilidade necessários são conhecidos antecipadamente. Desde que o agente normalmente é executado como um processo de sistema, ele tem acesso a todos os arquivos e até mesmo o espaço de memória necessário para fazer uma avaliação exata da mudança um instante ocorre. Somente atualizações precisam ser enviadas para o agente de um servidor central para continuar a detecção precisa. Métodos de varredura de rede pode requerer mais tempo para detectar as alterações, uma vez que normalmente não digitalizar uma única máquina constantemente.

Alguns agentes também possuem a capacidade de realizar algumas verificações de varredura networkbased ativa contra outros alvos na rede. A maioria dos planos de configuração para permitir apenas a digitalização dos sistemas adjacentes na mesma rede física.

um artigo submetido por Paula Oberman

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions