Rambler's Top100
Статьи
Дмитрий КОСТРОВ  13 декабря 2024

Давно не брал я в руки сканер

Долгое время для представителей ИТ- и ИБ-подразделений программные сканеры были удобным многофункциональным инструментом, своего рода швейцарским ножом Victorinox. Использовать подобный мультитул весьма желательно и сегодня.

Напомню, что в обиходе сканер – это программный продукт, который собирает сведения о программном обеспечении и оборудовании и вносит их в базу данных. Также сканеры широко использовались для обнаружения уязвимостей информационной безопасности. Раньше сканеры разделялись по функциональности: одни – для инвентаризации (для ИТ), другие – для поиска уязвимостей (для ИБ). Современные сканеры уже предназначены для автоматизации сканирования при поиске технических уязвимостей и мониторинге состояния активов с точки зрения уровня защищенности. Они помогают проактивно выявлять слабые места в инфраструктуре.

Сканеры для управления активами и инвентаризации

Сканеров, выполняющих просто функции инвентаризации, достаточно много. Есть платные, такие как Total Network Inventory, Network Inventory Advisor и Lansweeper, Fortra Vulnerability Management, есть и со свободным применением, например, Spiceworks. Но функции инвентаризации – только часть Victorinox, необходимая для работы специалиста по кибербезопасности. Да, мы увидим карту, сети, устройства, допишем связи, но нас также интересуют возможные проблемные участки и то, как их привести в порядок на приемлемом для нас уровне. Иначе может оказаться, что полностью все обезопасить получается только при выключенном компьютере 😊.

Сканеры, предназначенные для управления активами и инвентаризацией, осуществляют поиск (как с использованием встроенных механизмов, так и с применением внешних систем) и оцифровку информационных активов компании для описания ИТ-ландшафта и автоматизируют работу с ними. Программный продукт позволяет управлять идентификацией типов активов, их категорированием, инвентаризацией и жизненным циклом оборудования и ПО на рабочих местах и серверах. 

В качестве активов могут выступать пользователь, информация, информационные системы, технические сервисы, программное или аппаратное обеспечение. Основной функционал включает в себя: сетевой поиск новых активов по расписанию (крайне интересна безагентская схема работы); инвентаризация; управление программным обеспечением, оборудованием, учетными записями и другими типами активов; запуск обновлений программного обеспечения, удаленное выключение хоста и т.д.

Процесс управления активами состоит из нескольких шагов: поиск активов в доступных подсетях; инвентаризация активов (в ручном и автоматическом режиме); классификация активов; определение взаимосвязей между активами; определение владельцев и ответственных за обслуживание активов; мониторинг основных параметров обеспечения кибербезопасности. Источниками информации об активах могут служить: встроенный модуль агентского/безагентского сканирования; службы каталогов (Active Directory); сканеры уязвимостей; SIEM; системы управления антивирусным ПО; системы управления конфигурациями (MS SCCM); базы данных, содержащие информацию об активах (в том числе CMDB); активы, полученные через пользовательский интерфейс или импорт CSV/Excel-файла.

В свою очередь, агентское/безагентское сканирование происходит в несколько этапов. При этом комбинируются различные техники сбора информации и делается автоматическая подстройка под доступные данные и ландшафт инфраструктуры. После выполнения работ формируется карточка актива, в которой обычно фиксируются его свойства, в частности: технические параметры актива; ответственные за актив сотрудники и бизнес-подразделения; данные о статусе его жизненного цикла; бизнес-назначение актива; уровень критичности (очень критичен, критичен, средней критичности); проведенные тесты функционала; связанные активы; история изменений (внесенных как операторами сканеров, так и самой системой), включая источники изменяемых данных.

При сегментировании сети возникают проблемы сбора данных. С одной стороны, сетевая сегментация создает барьеры для доступа к критическим ресурсам и позволяет быстро изолировать зараженные зоны для предотвращения дальнейшего ущерба. С другой стороны, сегментация порождает некоторые проблемы. Для получения информации из сегментированной сети нужно уметь создавать распределенную систему инвентаризации с помощью иерархической структуры сервисов коннекторов. Коннекторы позволяют автоматически обогащать данные информацией об инвентаризируемом сегменте и его расположении, что дает возможность проводить инвентаризацию сетей, в том числе с одинаковой адресацией.

Сканеры уязвимостей

Сканеры этого типа позволяют проводить поиск и анализ защищенности веб-приложений, контейнеров и других активов (пакетов, программных продуктов и операционных систем) с возможностью применения отчуждаемого сканера, режимов «белого» и «черного» («серого») ящиков и ретросканирования. Данный продукт должен быть способен ограничивать области проверки, управлять глубиной сканирования папок с учетом масок файлов и обеспечивать подбор паролей и алгоритмов шифрования. Найденные при помощи сканера уязвимости связываются с активами компании в общей ресурсно-сервисной модели. 

Основной функционал сканера включает в себя: поиск уязвимостей на активах (хостах, серверах, программных продуктах, контейнерах и др.); обновляемую базу уязвимостей; возможность обогащения данных информацией из внешних аналитических сервисов (VulDB, Vulners, AttackersKB, OpenCVE и др.), банка данных угроз безопасности информации (БДУ) ФСТЭК России и базы данных общеизвестных уязвимостей информационной безопасности (CVE)/Национальной базы данных уязвимостей США (NVD от NIST); сканирование в режимах «белого» (пакеты, приложения и обновления) и «черного» (пентест, с возможностью добавления собственных процессов) ящиков; ретроскан, разработанный для быстрого поиска выбранных уязвимостей по уже собранным данным по всем активам; сканирование веб-приложений и контейнеров с возможностью отдельного поиска уязвимостей в образах, запущенных и/или остановленных Docker-контейнерах − отчуждаемый сканер для сбора уязвимостей из закрытых сегментов сети и дальнейшей агрегации из создаваемого файла.

Также необходим поиск уязвимостей в приложениях внутри контейнеров и загруженных через Windows Store.

Сканер для управления уязвимостями

Такой сканер должен уметь консолидировать информацию с имеющихся сканеров анализа защищенности (например, Security Vision. MaxPatrol, Nessus, Qualys, RedCheck, Tenable и др.), платформ управления обновлениями и других продуктов сбора и анализа данных для выстраивания процессов обнаружения, приоритизации и устранения технических уязвимостей. Для координации действий данный сканер может содержать встроенную систему управления заявками с контролем статусов исполнения и автоматическим назначением SLA, а также уметь обеспечивать двусторонние интеграции со сторонними SD/ITSM-решениями. Желательно, чтобы сканер поддерживал: интеграцию «из коробки» с известными сканерами; возможность обогащения данных об уязвимостях дополнительной информацией из внешних источников (VulDB, Vulners, AttackersKB, OpenCVE и др.), статичных/обновляемых баз знаний, БДУ ФСТЭК и CVE/NVD от NIST; интеграции по API (сбор/отправка в виде HTTP-запросов) или другим способом (например, парсинг XML-файлов) с произвольными внешними системами и т.п.

Программное обеспечение должно обеспечивать выполнение различных задач для формирования полного цикла обработки технических уязвимостей, например: идентификация уязвимостей на объектах инфраструктуры организации; классификация выявленных уязвимостей; их детальное описание и приоритизация; предоставление вариантов устранения уязвимостей; назначение ответственных и сроков устранения выявленных уязвимостей; осуществление контроля за устранением уязвимостей; подготовка отчетности о динамике обнаружения уязвимостей как на отдельных узлах, так и в организации в целом.

Современная система для уведомления всех участников процесса управления уязвимостями о значимых событиях будет использовать различные каналы: e-mail, Telegram, WhatsApp, а также внутриплатформенную систему оповещений.

Изучая российский рынок подобных сканеров, все чаще находишь не менее трех достаточно сильных решений, объединяющих в себе рассмотренные типы сканеров. 

Какие еще инструменты в «мультитуле» пригодятся?

С учетом того, как ИТ-специалисты относятся к установке на серверы и рабочие станции дополнительного агента (за исключением DLP, антивируса, EDR и т.п.) приветствуется полностью безагентное сканирование узлов корпоративной сети. Весьма целесообразно наличие такой информации по активам, как загрузка ЦПУ/ОЗУ, подключенные HDD и USB, общие папки, все запущенные службы, учетные записи (УЗ) и группы УЗ хоста, правила VPN, таблица маршрутизации, сетевые интерфейсы/VLAN. О пользе кумулятивной поставки обновлений базы данных по уязвимостям из различных источников − от NVD NIST до БДУ ФСТЭК − уже говорилось выше. В этот список можно добавить Microsoft и репозитории различных Linux-дистрибутивов.

Интересен механизм постановки задач по устранению уязвимостей во внешние системы класса ITSM/ServiceDesk (Jira, Naumen, Redmine, OTRS и др.) и трекинг статуса их выполнения с последующим получением статусов задачи.

Для полного взаимодействия с ИТ-подразделением нужен механизм динамического назначения сроков устранения уязвимостей в зависимости от критичности актива (CVSS). Также полезен механизм для создания сложной логики факторов назначения тех или иных сроков.

Для работы с АРМ, серверами и Docker-контейнерами хорошо бы иметь отчуждаемый скрипт для проведения офлайн-сканирования на уязвимости, который позволяет сканировать закрытые сегменты сети организации.

При устранении уязвимостей очень удобен механизм автоматического «патчинга» – возможность по нажатию кнопки или полностью автоматически выполнить обновление уязвимого ПО до актуальной версии.

Для CISO было бы приятной неожиданностью увидеть гибкий и универсальный движок формирования пользовательской отчетности и дашбордов по произвольным данным системы без внешних утилит и в режиме no-code.

Рынок России пока не перенасыщен подобными продуктами, но они есть. Для нормального функционирования подразделения информационной безопасности наличие такого продукта «must have». Не гонитесь за дешевизной, выбирайте лучшие.

Дмитрий Костров, заместитель генерального директора по информационной безопасности, ООО «ИЭК ХОЛДИНГ»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!