Преимущества и недостатки агента технологий

Существенным преимуществом этого агента подход является масштабируемость, полученные благодаря распределенной природой. Поскольку число агентов развернуты ограничивается только число совместимых хостов и затрат на лицензирование, теоретически можно проводить ревизию каждого компьютера без генерации любую сетевую активность, за исключением настроить агент и доложить о результатах. Хотя ревизия не проводилась по сети, связи между агентом и сервером, не всегда является минимальным. В зависимости от сложности принимающей страны и уязвимости, значительное движение отчетность могут быть получены. Тем не менее, сканирование не происходит через сеть связи.

Некоторые очевидные преимущества в том, что не должно быть мало заботятся о развертывании дополнительного аппаратного обеспечения, и есть менее озабоченность тем, что достаточная пропускная способность и сканера ресурсов.

Обременены агентов, однако, несколько основных проблем:

Они могут конфликтовать с другими приложениями, работающими на цели. Это общая проблема для всех программах, работающих на сложных вычислительных систем сегодня. Тестирование является единственным решением.

Они могут не иметь достаточных привилегий в локальной политики безопасности Аудит любой конфигурации пункта.

Они могут иметь ошибки, привести к их прекращению и уведомления о несоблюдении не может прийти к управлению сервером в течение некоторого времени, в течение которых ревизия окно может быть упущен.

Агенты могут быть доступны не на производителя и версии ОС в использовании. Почти каждый делает агент для Microsoft Windows �, но намного меньше будет поддерживать Linux �, FreeBSD �, или Solaris ™.

Вложенных систем, таких как кассовые аппараты и другая точка-ofsale устройств крепко построено и не оставляют никакого жилья для агентов. Тем не менее, индустрии платежных карт (PCI) стандарты безопасности требуют контроля целостности файлов на этих системах.

Учитывая ограниченные размеры, пространство и производительность агента, оно не будет скорее всего иметь возможность покрывать тысячи возможных уязвимостей.

На виртуальных машинах, не может быть много агентов, работающих одновременно, что может отрицательно повлиять на производительность основного оборудования и базовой операционной системы.

Агент сам по себе может стать мишенью злоумышленника в результате уязвимости. Поскольку агенты обычно слушает сеть для указания сервера, открытие доступных для эксплуатации.

Агент уязвимость ревизия имеет много преимуществ перед другими методами:

Аутентифицирован • Он видит всех уязвимостей, некоторые из которых не доступны через сеть, если сканирование.

• Агент может работать даже тогда, когда система не подключена к сети.

• она не должна активно взаимодействовать с программным обеспечением, установленным в систему, чтобы найти уязвимости, тем самым минимизировав возможности срыва операции.

• Так как она не работает в сети, он не будет обращать внимание предотвращению сетевых вторжений (IPS), а также не создает чрезмерного сетевого трафика. В самом деле, общая нагрузка движения, вероятно, намного меньше типичной активности веб-серфинга.

• Как локально используется программное обеспечение, оно может расширить функциональные возможности в более активной функции конечной точкой безопасности.

Агенты имеют гораздо более комплексный вид на внутреннюю работу узла. Они находятся в состоянии быть в курсе любых изменений в системе, как только они возникают. Хотя реализация не всегда используют такой подход, чтобы сделать это приносит гораздо ближе к возможности обмена с конечными точками агентов безопасности.

Контрольные суммы файлов, содержимое реестра и конфигурационных файлов анализируются на предмет уязвимостей. Поскольку тип хозяина хорошо известный агент, конкретный набор необходимой проверки уязвимости известны заранее. Поскольку агент обычно запускается как системный процесс, он имеет доступ ко всем файлам и даже памяти необходимо провести точную оценку момент происходит изменение. Только обновлений необходимо направлять к агенту с центрального сервера продолжать точное обнаружение. Сеть методы сканирования может потребовать больше времени, чтобы обнаружить изменения, поскольку они обычно не сканирование одного хоста постоянно.

Некоторые агенты также обладают способностью выполнять некоторые networkbased сканирования активных проверок с другими целями в сети. Большинство планов конфигурация позволяет только для сканирования смежными системами на той же физической сети.

статьи, представленный Паула Оберман