16 августа 2022

Сканеры уязвимостей: Экскалибур от мира ИБ или рядовой инструмент?

Сканер уязвимостей – это один из обязательных инструментов специалиста по информационной безопасности. В зависимости от бюджета компании на ИБ это может быть бесплатная программа с небольшим, но эффективным набором метрик, либо платное комплексное ПО, способное проводить проверку как изнутри, так и извне, составлять информативные отчеты по найденным уязвимостям.

Многие представители бизнеса воспринимают сканер уязвимостей как исчерпывающее решение всех проблем безопасности. На первый взгляд так и есть: программа сама проводит анализ, сама формирует отчеты, остается только последовательно «закрыть» все выявленные уязвимости. Но то, что хорошо «на бумаге», далеко не всегда также работает в реальной жизни.

Критерии выбора сканера

Самый важный критерий при выборе сканера безопасности – это задача, которую он должен решать. От нее зависит область и виды сканирования, возможности анализа и производительность сканера.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

При выборе сканера, нужно, прежде всего, обратить внимание на четыре базовых момента:
  1. Узнать частоту проведения проверки.
  2. Уточнить, есть ли в наличии у производителя нужные модули. Дело в том, что сканер не может определить уязвимость, если соответствующий «подключаемый модуль» в данный момент недоступен.
  3. Узнать количество обнаруженных уязвимостей, а также то, чьи базы используются для поиска, частоту их обновлений.
  4. Проверить качество отчетов. Важно, чтобы в отчетах были не только перечислены и описаны все уязвимости, но была возможность выделять те, что уже удалось исправить.

Ситуация с уходом иностранных вендоров из России наложила свой отпечаток на работу сканеров. Qualis и Tenable Nessus, два иностранных поставщика сканеров безопасности, заявили о приостановке поддержки своих продуктов в РФ.

Яков Гродзенский

Руководитель направления информационной безопасности CTI

При настройке сканера уязвимости важно выбрать правильный режим сканирования для тех или иных хостов, поскольку при сканировании хоста в режиме пентест, например, хост может «упасть», и те станции и сервера, которые критичны с точки зрения непрерывности бизнес-процессов, нужно сканировать в щадящем режиме.

Во-вторых, важно настроить процесс устранения уязвимостей, в частности, патчинга, и в режиме реального времени отслеживать его, т.к. сталкивались с ситуациями, когда уязвимости, даже будучи найденными, долгое время оставались в инфраструктуре и приводили к успешной реализации атак. Ряд сканеров безопасности содержит workflow для организации процесса управления уязвимостями, в случае отсутствия имеет смысл сделать интеграцию с внешними специализированными системами.

Также важно правильно приоритезировать уязвимости, исправляя в первую очередь те, которые обнаружены на важнейших элементах инфраструктуры, или сортируя по опасности найденных уязвимостей.

Фактически, это значит что эффективность и надежность этих сканеров для российских пользователей снижается с каждым днем. Учитывая частоту появления новых CVE – устаревание баз данных можно назвать критической проблемой для этих продуктов. 

Открытые и проприетарные продукты

Несмотря на уход популярных иностранных сервисов ситуация на рынке вполне устойчивая. Этому способствуют два фактора:

  1. Доступность open source решений. Среди них можно выделить OpenVas и Retina.
  2. Конкурентные российские сканеры уязвимостей. Наиболее известный из них – XSpider от компании Positive Technologies. 
Евгений Царев

Управляющий RTM Group, эксперт по кибербезопасности и праву в ИТ

Большинство коммерческих продуктов выпускают обновления баз в течении недель и даже дней после идентификации CVE.

Если она является очень критичной, как это было с уязвимостями Log4shell, PrintNightmare, когда речь идет об инфраструктурном анализе – незамедлительно, в течении 2 дней после появления PoC, в базы уязвимостей некоторых сканеров была добавлена информация о том, как проводить обнаружение таких уязвимостей (например, Acunetix, MaxPatrol).

Более точное описание обычно появляется чуть позже, поскольку команда производителя сканера собирает данные об уязвимости. Например, чтобы найти больше возможных паттернов для обнаружения.

Несмотря на снижение предложения, вызванное уходом иностранных вендоров, и рост спроса, вызванный ростом количества хакерских атак и ужесточением профильного законодательства, сканеры уязвимостей остаются доступным инструментом.

Сканер vs Пентестер

И сканер уязвимостей, и пентест-специалист, делают одну работу: тестируют инфраструктуру компании на предмет уязвимостей. Сами специалисты по тестированию на проникновение часто используют сканеры в своей работе.

Такой подход позволяет обеспечить наиболее комплексную проверку, с использованием сильных сторон «машины» и человека. 

Александр Герасимов

Директор по информационной безопасности и сооснователь Awillix. Эксперт в области тестирования на проникновение и анализа защищенности.

Сканер, как правило, неплохо работает с большим объемом данных. Когда необходимо проверить большую выделенную сеть на наличие известных уязвимостей, использование слабых паролей, недостатков конфигурации, не обновлённого ПО, то сканер справится быстрее и эффективнее, чем специалист.

Однако сканер не способен выявить ошибки в бизнес-логике приложения, возможные мошеннические операции и специфичные технические уязвимости. Специалисты по тестированию на проникновение способны выявить подобные недостатки в ручном режиме и построить сложные цепочки эксплуатации.

В своем арсенале специалисты также используют сканеры, чтобы покрыть большой скоуп и быстро выявить явные недостатки.

Еще одна сильная сторона пентест-специалиста – это учет 0-day уязвимостей. Сканер о них просто «не знает», поэтому анализировать их не может.

Таким образом, сканер уязвимости – это не волшебная палочка, которая решает все проблемы информационной безопасности в компании. При неправильной эксплуатации существует риск нарушить текущие бизнес-процессы и вывести систему или ее часть из строя.

Многое зависит от специалиста, который работает со сканером. Важно уметь правильно задать метрики, расставить найденные уязвимости по приоритетности и отсеять ложноположительные срабатывания. В умелых руках это надежный инструмент, который позволяет «держать в тонусе» всю инфраструктуру компании и поддерживать высокий уровень информационной безопасности.

Источник: Cyber Media

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend