Сканирование на уязвимости: Сканеры уязвимостей сети — обзор мирового и российского рынков

Сканеры уязвимостей сети — обзор мирового и российского рынков

Сканеры уязвимостей (или сканеры защищённости) давно стали обязательными инструментами специалистов по информационной безопасности. На сегодняшний день на рынке представлено значительное количество таких продуктов как российского, так и зарубежного производства. Попробуем разобраться в этом многообразии и сделать выводы.

1. Введение
2. Для чего нужны сканеры уязвимостей
3. Мировой рынок сканеров уязвимостей
4. Российский рынок сканеров уязвимостей
5. Обзор отечественных сканеров уязвимостей
   1. 5.1. MaxPatrol 8
   2. 5.2. RedCheck
   3. 5.3. ScanOVAL
   4. 5.4. XSpider
   5. 5.5. «Ревизор сети»
   6. 5.6. «Сканер-ВС»
6. Обзор зарубежных сканеров уязвимостей
   1. 6.1. F-Secure Radar
   2. 6.2. GFI LanGuard
   3. 6.3. Nessus Professional
   4. 6.4. Nexpose Vulnerability Scanner
   5. 6.5. Qualys Vulnerability Management
   6. 6.6. Tenable.io
   7. 6.7. Tripwire IP360
   8. 6.8. Vulnerability Control
7. Обзор сканеров уязвимостей с открытым исходным кодом
   1. 7.1. Nikto
   2. 7.2. OpenVAS
8. Выводы

Введение

Наличие уязвимостей в информационных системах, узлах инфраструктуры или элементах комплекса защиты информации является большой проблемой для подразделений ИТ и ИБ. Конечно, поиском брешей можно заниматься вручную, но это будет крайне трудозатратный процесс, который займёт много времени при высокой вероятности что-нибудь не заметить.

Поэтому лучше всего использовать автоматические средства для поиска уязвимостей и слабых мест в информационной инфраструктуре предприятия, такие как сканеры защищённости или сканеры уязвимостей. В настоящее время инструменты подобного класса позволяют решать задачи широкого профиля. Это — и сканирование сети, и перебор паролей, и поиск неустановленных патчей и небезопасных версий ПО, и обнаружение паролей и учётных записей, установленных по умолчанию, и поиск открытых портов и запущенных небезопасных служб, а также отслеживание других элементов, которые потенциально несут угрозу информационной безопасности. Также данные инструменты поддерживают большое количество операционных систем, средств защиты информации, сетевого оборудования и прочих объектов, чтобы максимально охватить инфраструктуру предприятия.

В настоящее время на рынке информационной безопасности представлено большое количество сканеров уязвимостей, представляющих собой как российские, так и зарубежные разработки. Также есть как коммерческие версии, так и бесплатные. Ранее мы уже вскользь касались этой темы в разных статьях, например «GFI LanGuard — виртуальный консультант по безопасности» или «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры».

Для чего нужны сканеры уязвимостей

Применение сканеров уязвимостей позволяет решать различные задачи. Такие инструменты используют не только для самостоятельной проверки на наличие брешей в инфраструктуре предприятия, но и для выполнения требований регуляторов — PCI SSC, ФСТЭК России и т. д.

Функциональность сканера уязвимостей даёт, например, возможность провести инвентаризацию ИТ-ресурсов и определить, какие приложения и какой версии установлены на рабочих станциях и серверах. При этом сканер покажет, какое ПО имеет уязвимости, и предложит установить патч, обновить версию или остановить те или иные службы и отключить протоколы, если они представляют собой угрозу информационной безопасности. Если присутствуют ошибки в скриптах, это будет также обнаружено сканером.

Также можно провести сканирование сети, составить её карту и определить, какие именно сетевые устройства в инфраструктуре предприятия используются. Будут также определены все поддомены. Сразу же можно выявить открытые порты, запущенные сетевые сервисы, которые представляют угрозу для безопасности. На сетевых устройствах будет произведён поиск уязвимостей, которые можно будет закрыть установкой патчей, обновлением или изменением конфигураций.

Кроме того, сканер позволяет проверить на стойкость используемые пароли на сервисах с доступной авторизацией, при этом будут выявлены пароли, установленные по умолчанию. Будет произведён и брутфорс (полный перебор возможных вариантов) с использованием актуальной базы паролей.

Сканеры уязвимостей позволяют также сканировать средства защиты информации и определять, когда можно установить новые патчи, обновить программное обеспечение, изменить конфигурацию и настройки, а также проверить актуальность баз сигнатур.

Современные сканеры уязвимостей поддерживают практически все современные операционные системы, как серверные, так и пользовательские. Также всё большую популярность начинают набирать облачные решения такого рода.

По результатам проверки все сканеры позволяют сформировать отчёты различного формата и назначения, где будет отображена вся картина по уязвимостям в инфраструктуре, а также даны рекомендации по их устранению. Каждой уязвимости будет сопоставлен номер из баз CVE (Common Vulnerabilities and Exposures), NVD (National Vulnerability Database) или Банка данных угроз безопасности информации (БДУ) ФСТЭК России. Некоторые из инструментов позволяют делать отчёты для предоставления руководству.

Мировой рынок сканеров уязвимостей

Мировой рынок сканеров уязвимостей (Vulnerability Management / Assessment) активно развивается. Данные инструменты стали полноценными системами для управления уязвимостями, которые можно вести как проекты. В свою очередь проекты по отслеживанию уязвимостей превращаются в процессы, в которых участвуют представители различных подразделений. Также производители сканеров предлагают интеграцию с системами управления рисками или патч-менеджмента, платформами по управлению инцидентами (Incident Response Platform), процессами безопасной разработки (Security Development), не говоря уже о SIEM.

Ещё одной важной особенностью является использование сканеров для соответствия требованиям PCI DSS. Некоторые вендоры, например Tenable, Qualys или Rapid7, являются разрешёнными поставщиками услуг сканирования (ASV) PCI SSC.

Также стоит отметить, что в последние годы наметилась явная тенденция к использованию облачных сканеров уязвимостей. Для некоторых заказчиков данный вариант становится предпочтительным, поскольку исчезает необходимость выделять ресурсы под размещение сканера в своей инфраструктуре.

Производители предлагают как коммерческие версии своих продуктов, так и бесплатные. Последние обычно предоставляются с сильно ограниченными функциональными возможностями и в виде облачного сервиса.

Исследовательская компания IDC провела анализ рынка систем управления уязвимостями за 2019 год и опубликовала свои выводы в материале «Worldwide Device Vulnerability Management Market Shares, 2019: Finding the Transitional Elements Between Device Assessment Scanning and Risk-Based Remediation». На диаграмме (рис. 1) из этой статьи можно увидеть распределение долей мирового рынка среди различных производителей. 

Рисунок 1. Рынок управления уязвимостями устройств в 2019 году

По результатам исследования, проведённого компанией GeoActive Group, объём рынка Vulnerability Management / Assessment достигнет 2,1 млрд долларов в 2020 году.

Согласно аналитическому отчёту Gartner «Market Guide for Vulnerability Assessment», тремя доминирующими вендорами по разработке сканеров безопасности являются Tenable (около 30 000 заказчиков), Qualys (около 16 000 заказчиков) и Rapid7 (чуть больше 9 000 заказчиков). На этих игроков приходится большая часть прибыли в отрасли. В том же отчёте было отмечено, что среди заметных вендоров на этом рынке также присутствуют F-Secure, Positive Technologies, Tripwire и Greenbone Networks. 

Ещё одним разработчиком, на наш взгляд заслуживающим внимания, является GFI Languard, один из лидеров сегмента малого и среднего бизнеса, в том числе на российском рынке. 

В данном обзоре мы рассмотрим следующие продукты вендоров, представляющих мировой рынок сканеров уязвимостей:

• Nessus (Tenable).
• Qualys Vulnerability Management (Qualys).
• F-Secure Radar (F-Secure).
• Rapid7 Nexpose (Rapid7).
• IP360 (Tripwire).
• Tenable.io (Tenable).
• GFI Languard (GFI Software).

Российский рынок сканеров уязвимостей

В отличие от мирового основной особенностью российского рынка сканеров уязвимостей является соответствие требованиям регуляторов: ряд нормативных актов в области информационной безопасности (приказы ФСТЭК России № 17, № 21, № 239, № 31, постановление Правительства РФ № 79 и т. д.) предписывают заказчикам обязательно иметь сканер уязвимостей, а сам продукт должен обладать сертификатом по требованиям безопасности ФСТЭК России. Некоторые сканеры уязвимостей позволяют проводить проверки на соответствие требованиям PCI DSS и других зарубежных нормативных актов.

Также стоит отметить, что российские производители предлагают свои продукты в основном в локальном исполнении (on-premise) для установки в инфраструктуре заказчика. Все отечественные вендоры поставляют только коммерческие версии своих продуктов, за исключением сканера ScanOVAL, который является «детищем» ФСТЭК России.

Наиболее заметными на российском рынке сканеров являются следующие продукты:

• MaxPatrol 8 (Positive Technologies).
• RedCheck («АЛТЭКС-СОФТ»).
• ScanOVAL (ФСТЭК России).
• XSpider (Positive Technologies).
• «Ревизор сети» («ЦБИ-сервис»).
• «Сканер-ВС» (НПО «Эшелон»).

Обзор отечественных сканеров уязвимостей

MaxPatrol 8

Система контроля защищённости и соответствия стандартам MaxPatrol 8 — продукт корпоративного класса (enterprise) с внушительными функциональными возможностями для крупных заказчиков с неограниченно большим количеством узлов в сетевой инфраструктуре. 

Сканер проводит комплексный анализ на наличие уязвимостей в сложных системах, включая платформы Windows, Linux, Unix, сетевое оборудование Cisco, Juniper, Huawei, Check Point, системы виртуализации Hyper-V, VMware, веб-серверы Microsoft IIS, Apache HTTP Server, Nginx, серверы веб-приложений IBM WebSphere, Oracle WebLogic, Apache Tomcat, а также ERP-системы SAP и 1C.

MaxPatrol 8 анализирует безопасность веб-приложений и позволяет обнаружить большинство уязвимостей в них: внедрение SQL-кода, межсайтовое выполнение сценариев (XSS), запуск произвольных программ.

Сканер проверяет СУБД, такие как Microsoft SQL, Oracle, PostgreSQL, MySQL, MongoDB, Elastic. MaxPatrol 8 также анализирует сетевые настройки, парольную политику (включая поиск паролей по умолчанию), права и привилегии пользователей, позволяет управлять обновлениями.

Рисунок 2. Окно настройки задач по сканированию в MaxPatrol 8

Кроме того, продукт проверяет инфраструктуру на соответствие техническим стандартам безопасности CIS, SAP и VMware, предписаниям PCI DSS и ISO/IEC 27001, собственным стандартам Positive Technologies.

MaxPatrol 8 имеет действующий сертификат соответствия требованиям безопасности ФСТЭК России (№ 2922 до 08.07.2024).

Более подробно о продукте можно узнать в посвящённом ему разделе сайта производителя.

RedCheck

Сканер уязвимостей RedCheck от вендора «АЛТЭКС-СОФТ» предлагает комплексный подход к анализу защищённости инфраструктуры предприятия. Данный продукт обладает следующими характерными особенностями:

• Обнаружение узлов сети и сканирование на предмет уязвимостей операционных систем, общесистемного и прикладного ПО. Обеспечивается поддержка таких платформ, как клиентские и серверные редакции ОС Microsoft Windows (за исключением «Домашних») и системы семейства Linux (Red Hat, SUSE, Debian, Ubuntu, CentOS, Astra Linux, Alt Linux, ROSA, «РедОС» и другие), а также сетевого оборудования — Cisco, Huawei, Check Point — и множества различных прикладных программ.
• Выявление уязвимостей и слабых конфигураций в серверах приложений и веб-серверах.
• Контроль конфигураций и оценка соответствия политикам и стандартам безопасности.
• Сканирование в режиме «Пентест», сетевые проверки и сканирование портов.
• Проведение аудита парольной политики и подбор паролей.
• Аудит защищённости СУБД (Microsoft SQL Server, Oracle Database, MySQL, PostgreSQL).
• Выявление уязвимостей в средствах виртуализации Microsoft Hyper-V, VMware ESXi / vCenter, VMware NSX.
• Инвентаризация сети для получения детальной информации об аппаратных и программных средствах.
• Контроль целостности с выбором алгоритма контрольного суммирования.
• Контроль изменений в системе.
• Управление обновлениями для общесистемного ПО.
• Аудит SCADA-систем.

Рисунок 3. Схема работы сканера защищённости RedCheck

Ещё одной ключевой особенностью сканера RedCheck является его работа с унифицированным SCAP-контентом (обновления, уязвимости, конфигурации, политики безопасности), получаемым из собственного репозитория OVALdb. Это — один из крупнейших международных банков контента по безопасности, позволяющий формировать оценку защищённости информационных систем.

Также RedCheck имеет API-модуль для интеграции с различными системами управления ИБ, включая HP ArcSight, Splunk, MaxPatrol SIEM, NeuroDAT SIEM, R-Vision IRP, ePlat4m Security GRC.

Сканер представлен в нескольких редакциях, включая вариант «Enterprise». Модульная компоновка позволяет масштабировать систему и использовать её в территориально распределённых сетях и ЦОД.

RedCheck имеет сертификат соответствия требованиям безопасности ФСТЭК России (№ 3172 до 23.06.2020), который на момент публикации находится на продлении. Техническая поддержка оказывается до 23.06.2025.

Больше сведений о данном сканере можно найти на сайте RedCheck.

ScanOVAL

Программное средство ScanOVAL, разработанное по инициативе ФСТЭК России и при непосредственном участии «АЛТЭКС-СОФТ», предназначено для автоматизированного обнаружения уязвимостей в программном обеспечении на узлах (рабочих станциях и серверах), функционирующих под управлением операционных систем семейства Microsoft Windows (клиентских — 7 / 8 / 8.1 / 10 — или серверных: 2008 / 2008 R2 / 2012 / 2012 R2 / 2016).

Была выпущена и версия сканера ScanOVAL для Linux, позволяющая проводить сканирование и поиск уязвимостей в ОС Astra Linux 1.6 SE, а также проверку общесистемного и прикладного ПО, входящего в состав этого дистрибутива.

Рисунок 4. Окно со списком обнаруженных уязвимостей в ScanOVAL для Linux

Обе версии сканера осуществляют анализ защищённости ОС и прикладного ПО на наличие уязвимостей, сведения о которых содержатся в Банке данных угроз безопасности информации ФСТЭК России и бюллетенях разработчиков.

Выявление уязвимостей производится следующим образом: состояние системных параметров сканируемого программного обеспечения (системного и прикладного) сравнивается с базой уязвимостей, представленной в виде описаний, которые разработаны в соответствии со спецификацией OVAL. Сканер позволяет выявлять одиночные и множественные бреши.

Полная информация об этом сканере размещена в соответствующем разделе сайта ФСТЭК России.

XSpider

Сканер защищённости XSpider компании Positive Technologies впервые появился на рынке ещё в 2002 году — причём в это же время была основана сама компания.

XSpider предназначен для компаний с количеством узлов до 10 000. Он позволяет сканировать сеть на наличие уязвимостей (в том числе в сервисах SMB, RDP, HTTP, SNMP, FTP, SSH), проводить тесты на проникновение, проверять веб-приложения сторонней и внутренней разработки на возможность внедрения SQL-кода, запуска произвольных программ, получения файлов, межсайтового выполнения сценариев (XSS), расщепления HTTP-ответов. Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию.

Ещё данный сканер может проводить инвентаризацию узлов сети (с получением базовой информации о системах), выявлять открытые порты TCP / UDP, идентифицировать серверные приложения.

Рисунок 5. Окно с установкой параметров сканирования в XSpider

XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies.

Продукт имеет действующий сертификат соответствия требованиям ФСТЭК России (№ 3247 до 24.10.2025).

Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя.

«Ревизор сети»

Сканер уязвимостей «Ревизор сети 3.0», разработанный ООО «Профиль Защиты», позволяет осуществлять тестирование сетевых устройств и операционных систем семейств Windows и Linux, поддерживающих стек протоколов TCP/IP.

«Ревизор сети» способен искать уязвимости, включённые в Банк данных угроз безопасности информации ФСТЭК России, в операционных системах семейств Windows и Linux. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com и других.

Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах.

Основными особенностями «Ревизора сети» являются:

• проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных;
• проверка наличия неустановленных обновлений ОС семейства Windows;
• проверки учётных записей для узлов сети, подбор паролей;
• определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей;
• определение NetBIOS- и DNS-имён проверяемых узлов сети;
• проверки наличия и доступности общих сетевых ресурсов на узлах сети;
• сбор дополнительной информации об ОС семейства Windows.

Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3.0»

«Ревизор сети 3.0» поддерживает установку на следующие операционные системы производства Microsoft: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016.

Сканер уязвимости «Ревизор сети» версии 3.0 имеет сертификат соответствия требованиям ФСТЭК России № 3413, действительный до 2 июня 2023 г.

С более подробной информацией о сканере можно ознакомиться на странице разработчика.

«Сканер-ВС»

Продукт «Сканер-ВС» является разработкой НПО «Эшелон» и представляет собой систему комплексного анализа защищённости, позволяющую обеспечить выявление уязвимостей в ИТ-инфраструктуре организаций любого масштаба. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. «Сканер-ВС» включает в себя базу, содержащую более 64 000 проверок, которая обновляется еженедельно. Обеспечивается полная совместимость с БДУ ФСТЭК России.

Рисунок 7. Главное меню системы «Сканер-ВС»

Помимо этого можно отметить наличие следующих возможностей:

• Инвентаризация ресурсов сети.
• Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё.
• Сетевой и локальный анализ стойкости паролей.
• Поиск подходящих эксплойтов на основе собранной информации об узле.
• Перехват и анализ сетевого трафика, а также реализация атак типа MitM (Man in the Middle, «внедрённый посредник»).
• Анализ беспроводных сетей.
• Проверка обновлений ОС Windows — аудит установленных обновлений для ОС Windows 7, 8.1, 10, Server 2012, 2012 R2 и 2016.
• Аудит настроек комплекса средств защиты ОС Astra Linux Special Edition.
• Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей.

Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.

Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.

«Сканер-ВС» имеет действующие сертификаты соответствия от ФСТЭК России (№ 2204) и Минобороны России (№3872).

Больше информации о данном сканере размещено на сайте данного продукта.

Обзор зарубежных сканеров уязвимостей

F-Secure Radar

Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux.

F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Также доступны инструменты для подготовки отчётов о рисках и о соблюдении требований — например, соответствии предписаниям PCI и GDPR.

Рисунок 8. Окно центра управления в F-Secure Radar

Помимо этого Radar предлагает следующие возможности:

• Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов.
• Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц.
• Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах.
• Инвентаризация приложений на узлах сети.
• Отслеживание всех изменений в ИТ-инфраструктуре.

Больше информации о данном сканере размещено на сайте разработчика.

GFI LanGuard

Сетевой сканер безопасности GFI LanGuard от GFI Software позволяет сканировать сеть предприятия для обнаружения, выявления и устранения уязвимостей.

В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует.

GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Сканер анализирует не только саму ОС, но и популярное ПО, уязвимости которого обычно используются для взлома: Adobe Acrobat / Reader, Flash Player, Skype, Outlook, браузеры, мессенджеры и т. д.

Рисунок 9. Окно мониторинга уязвимостей в GFI LanGuard

LanGuard проводит каждое сканирование после обновления данных об уязвимостях. Источниками информации об угрозах являются сами вендоры ПО, а также хорошо зарекомендовавшие себя списки SANS и OVAL.

Обеспечивается поддержка всех популярных ОС для рабочих станций и серверов (Windows, macOS, дистрибутивы Linux и Unix), а также iOS и Android для смартфонов. GFI LanGuard позволяет установить отдельные пары «логин-пароль» для доступа, а также файл ключа для связи по SSH.

LanGuard способен создавать отчёты в соответствии с требованиями PCI DSS, HIPAA, SOX, GLB / GLBA и PSN CoCo. Также можно добавлять собственные шаблоны в планировщик.

Больше сведений о GFI LanGuard можно почерпнуть на сайте разработчика.

Nessus Professional

Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке.

Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии:

• Поиск и выявление уязвимых версий служб или доменов.
• Обнаружение уязвимостей в различных ИТ-активах, включая сетевые устройства (например, Cisco, Juniper, HP, F5 и SonicWall), MDM-платформы MobileIron и VMware AirWatch, операционные системы (Windows, macOS, Linux) и различные приложения — от небольших утилит для обновления драйверов до сложных офисных пакетов.
• Обнаружение ошибок в конфигурациях.
• Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей.

Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus

Nessus Professional характеризуется следующими особенностями:

• Предварительно настроенные шаблоны сканирования (450 шаблонов, в том числе для выполнения требований различных стандартов по безопасности).
• Группировка обнаруженных уязвимостей по приоритетам.
• Широкие возможности по работе с отчётами и архивными данными.
• Высокоскоростное сканирование с минимальным количеством ложных срабатываний.
• Возможность выявления около 60 000 уязвимостей, которым присвоены идентификаторы CVE ID, а также множества других.

Больше информации о Nessus размещено на сайте разработчика.

Nexpose Vulnerability Scanner

Nexpose Vulnerability Scanner от Rapid7 предлагается в исполнении «on-premise» для локальной установки на территории заказчика. Облачная версия доступна в редакции Rapid7 InsightVM, предлагающей расширенные функциональные возможности за ту же стоимость.

Данный продукт вычисляет показатель реального риска по шкале от 1 до 1000, где оценка CVSS является лишь одной из составляющих, что даёт более полезную информацию. При этом учитываются такие параметры, как значимость узла, срок уязвимости, наличие общедоступных эксплойтов / готовых вредоносных объектов и др. Nexpose предоставляет контекстную бизнес-аналитику, акцентируя внимание на самых значимых рисках для бизнеса, посредством автоматизированной классификации активов и рисков.

Отметим следующие возможности Nexpose:

• Применение различных стратегий с адаптацией под различные задачи и инфраструктуру.
• Интеграция с DHCP Service, VMware и AWS / Azure для понимания динамики среды и обнаружения новых устройств и уязвимостей.
• Доступ к данным из Project Sonar для выявления компонентов инфраструктуры, наиболее подверженных распространённым уязвимостям.
• Создание динамических групп активов с более чем 50 фильтрами.
• Выявление более чем 75 000 уязвимостей.
• Широкий выбор готовых шаблонов отчётов и возможность создания собственных шаблонов с необходимыми параметрами (включая таблицы, диаграммы, сравнения) с большими возможностями импорта.

Функция Adaptive Security позволяет автоматически обнаруживать и оценивать новые устройства и уязвимости в режиме реального времени. В сочетании с подключениями к VMware и AWS, а также интеграцией с исследовательским проектом Sonar сканер Nexpose обеспечивает постоянный мониторинг изменяющейся среды в ИТ-инфраструктуре.

Также Nexpose позволяет проводить аудит политик и конфигураций. Сканер анализирует политики на соответствие требованиям и рекомендациям популярных стандартов. Отчёты об уязвимостях содержат пошаговые инструкции о том, какие действия следует предпринять, чтобы устранить бреши и повысить уровень безопасности.

Рисунок 11. Окно мониторинга в Nexpose Vulnerability Scanner

Nexpose предлагает большие возможности по интеграции, в том числе двусторонней, с инструментом для проведения пентестов Metasploit, а также с другими технологиями и системами безопасности, в том числе посредством OpenAPI: SIEM, межсетевыми экранами, системами управления патчами или системами сервисных запросов (тикетов), комплексами технической поддержки (service desk) и т. д.

Помимо этого Nexpose позволяет решать задачи по соответствию требованиям различных стандартов, в частности — PCI DSS, NERC CIP, FISMA (USGCB / FDCC), HIPAA / HITECH, Top 20 CSC, DISA STIGS, а также стандартов CIS по оценке рисков.

Полная информация о данном сканере расположена на сайте разработчика.

Qualys Vulnerability Management

Особенностью продукта Qualys является разделение процессов сбора и обработки информации:

• информация по уязвимостям собирается либо с помощью сканера (безагентно), который может быть выполнен в виртуальном или «железном» формате, либо с помощью облачных агентов;
• обработка и корреляция информации, поступающей с сенсоров, происходит в облаке Qualys. Таким образом не нагружается локальная инфраструктура и существенно упрощается работа с данными, которые отображаются в интерфейсе в консолидированном и нормализованном виде.

Отдельно стоит отметить, что крупным заказчикам доступна возможность развёртывания облака Qualys в локальной сети.

Облачные агенты Qualys обеспечивают непрерывный сбор данных и их передачу на облачную платформу, которая является своего рода аналитическим центром, где информация коррелируется и распределяется по приоритетам для обеспечения видимости всего того, что происходит на конечных точках и в сети компании, в режиме реального времени.

Рисунок 12. Окно мониторинга уязвимостей и ИТ-активов в Qualys Vulnerability Management

Также заслуживают упоминания следующие возможности платформы:

• Инвентаризация всей ИТ-инфраструктуры, включая обнаружение и классификацию активов, проверку типа лицензий ПО (коммерческие / с открытым исходным кодом) и цикла поддержки (End of Life / End of Support).
• Поиск уязвимостей и критических ошибок в конфигурациях в соответствии с критериями CIS, VMware, Microsoft, Qualys, NIST, DISA по активам с возможностью исправления конфигураций.
• Автоматическая приоритизация угроз на основе информации о реальных атаках злоумышленников, а также данных киберразведки (Threat Intelligence).
• Инвентаризация цифровых сертификатов SSL / TLS.
• Соблюдение требований PCI DSS.
• Защита конечных узлов от атак с возможностью расследования инцидентов и поиска следов компрометации (EDR).
• Мониторинг целостности файлов.
• Проверка на наличие уязвимостей на протяжении всего цикла разработки.
• Защита веб-приложений с применением виртуальных патчей.
• Сканирование контейнеров на всех этапах.
• Пассивное сканирование сетевого трафика и выявление аномалий.
• Собственный патч-менеджмент для ОС и приложений.
• Сканирование облачных аккаунтов и сред Azure, AWS, GCP.
• Сканирование внешнего периметра из дата-центра Qualys.
• Анализ безопасности сетей АСУ ТП.
• Открытый документированный API для интеграции с CMDB, NAC, WAF, SIEM, Service Desk, Skybox, R-Vision и другими системами.

Больше сведений о данном сканере можно почерпнуть на сайте производителя.

Tenable.io

В отличие от Nessus Professional другой продукт того же вендора — Tenable.io — имеет только облачное исполнение. В части функциональных возможностей есть сходство с Nessus. Тем не менее Tenable.io вполне самодостаточен, особенно в части управления всеми данными об активах и уязвимостях. Продукт предлагает следующие возможности:

• Получение оперативных данных об ИТ-активах за счёт сканирования, использования агентов, пассивного мониторинга, облачных коннекторов и интеграции с базами данных управления конфигурациями (CMDB).
• Комбинирование сведений об уязвимостях с киберразведкой (Threat Intelligence) и исследованием данных (Data Science) для более простой оценки рисков и понимания того, какие уязвимости следует исправлять в первую очередь.
• Группировка обнаруженных уязвимостей по приоритетам.
• Широкие возможности по работе с отчётами и архивными данными.
• Высокоскоростное сканирование с минимальным количеством ложных срабатываний.
• База Tenable.io содержит данные о порядка 60 000 уязвимостей.

В лицензию Tenable.io также входит безлимитное количество сканеров Nessus Professional.

Рисунок 13. Окно мониторинга уязвимостей в Tenable.io

Образно говоря, Tenable.io представляет собой разноплановый набор сенсоров, который автоматически собирает и анализирует данные о безопасности и уязвимостях, тем самым показывая полную информацию об атаке для любого актива на любой вычислительной платформе.

Также в компании Tenable есть несколько смежных продуктов, построенных на платформе Tenable.io, например специализированный инструмент для проведения сканирования в соответствии с требованиями PCI DSS, сканер для обнаружения уязвимостей в контейнерах, средство проверки веб-приложений и сервисов.

Ранее мы уже рассматривали разработки этого вендора в статье «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры». Также полная информация о данном сканере размещена на сайте разработчика.

Tripwire IP360

Tripwire IP360 позиционируется как продукт корпоративного уровня («enterprise») для управления уязвимостями и рисками. Сканер построен на модульной архитектуре, что позволяет легко масштабировать данную систему. Возможна поставка версий для локального (on-premise), облачного или гибридного развёртывания. Также IP360 позволяет размещать на узлах агенты для более эффективного мониторинга сети и выявления уязвимостей.

Помимо этого сканер обладает следующими возможностями:

• Проведение инвентаризации в сети для выявления и идентификации всех ИТ-активов, включая локальные, облачные и контейнерные.
• Отслеживание изменений в активах.
• Ранжирование уязвимостей на основе их степени воздействия и возраста.
• Управление временем запуска сканирования через планировщик.
• Аудит безопасности в контейнерных средах с поддержкой инструментальных средств DevOps.
• Централизованное управление через веб-интерфейс для администрирования, настройки, получения отчётов, распоряжения задачами.

Рисунок 14. Окно процесса сканирования в IP360

IP360 поставляется в виде программного или аппаратного обеспечения, причём для увеличения производительности и надёжности работы системы возможна её установка в кластере. Сканер также доступен на торговых площадках AWS и Azurе.

Tripwire IP360 предоставляет возможности интеграции со сторонними системами, такими как комплексы технической поддержки (helpdesk / service desk), решения по управлению активами, SIEM, IDS / IPS и другие средства обеспечения информационной безопасности, посредством API-модуля.

Больше сведений о Tripwire IP360 можно получить на сайте разработчика.

Vulnerability Control

Система Skybox Vulnerability Control позволяет автоматизировать различные процессы управления уязвимостями на единой платформе. Продукт способен собирать данные из различных систем с учётом особенностей сети и выявлять наиболее опасные угрозы.

Vulnerability Control обладает следующими возможностями:

Анализ данных из систем инвентаризации и патч-менеджмента, а также ряда других позволяет собирать сведения в недоступных для сканирования областях.

Получение сведений об уязвимостях из различных источников, таких как сетевые устройства, IPS / IDS, публичные и частные облака (Amazon Web Services, Microsoft Azure, Cisco ACI и VMware NSX), средства безопасности конечных точек (EDR), комплексы патч-менеджмента, системы управления конфигурацией баз данных (CMDB), сканеры уязвимостей и приложений, веб-сканеры.

Проведение имитации атак на динамической модели сети для выявления уязвимостей, которые доступны для эксплуатации на критически важных активах. Также это позволяет понять эффективность текущих настроек компонентов сети.

Функция моделирования сети позволяет определять альтернативные методы борьбы с угрозами, включая изменения правил доступа или сигнатур систем предотвращения вторжений (IPS).

Использование скоринговой модели, учитывающей различные критерии (уязвимости, активы, бизнес-сегменты), в том числе уникальные параметры и атрибуты, применяемые в конкретной инфраструктуре.

Выявление очерёдности установки патчей и других компенсирующих мер по устранению уязвимостей на основе уровня угроз и ранжирования их по степени опасности.

Рисунок 15. Окно с информацией об уязвимостях в Skybox Vulnerability Control

Vulnerability Control реализует гибкий подход к анализу уязвимостей, позволяющий лучше понять возможные последствия. Помимо основных данных собираются разнообразные дополнительные сведения: настройки и условия использования ОС и других приложений, материалы из национальной базы данных уязвимостей США (NVD), CVSS, бюллетени поставщиков, итоги анализа брешей и рисков из других источников (IBM X-Force, прочие сканеры уязвимостей и т. д.), история изменений уязвимости в зависимости от степени серьёзности, эксплуатации, доступных патчей, обновлений и т. д.

Skybox Vulnerability Control может интегрироваться с более чем 140 различными ИТ- и ИБ-системами, такими как инструменты поиска уязвимостей, сетевые устройства, ОС, средства сетевой защиты, SIEM и другие.

Более подробная информация о продукте находится на сайте разработчика.

Обзор сканеров уязвимостей с открытым исходным кодом

Помимо рынка с коммерческими проприетарными версиями продуктов есть также небольшая ниша сканеров с открытым исходным кодом (Open Source). Они являются полностью бесплатными для пользователей при соблюдении требований лицензии.

Наиболее заметными представителями данного сектора являются инструменты Nikto и OpenVAS, которые мы и рассмотрим далее.

Nikto

Сканер уязвимостей Nikto распространяется по лицензии GNU General Public License (GNU GPL). Отличительной особенностью данного инструмента является отсутствие графического интерфейса. Управление сканером осуществляется через интерфейс командной строки.

Nikto позволяет выполнять комплексное сканирование на веб-серверах, охватывая более 6700 потенциально опасных файлов и программ. Сканер проверяет устаревшие версии серверов (1250 единиц) и ищет проблемы, связанные с конкретными версиями (270 единиц), а также проверяет элементы конфигурации, такие как наличие нескольких файлов индекса или параметры HTTP-сервера, и пытается идентифицировать установленные веб-серверы и программное обеспечение. Компоненты Nikto и плагины часто обновляются; новые их версии могут устанавливаться автоматически. Также обеспечивается поддержка методов LibWhisker anti-IDS на случай проверки IDS-системы.

Рисунок 16. Окно с интерфейсом командной строки Nikto с результатами проверки

Отметим следующие возможности сканера:

• Проверка на наличие устаревших серверных компонентов.
• Самостоятельное создание шаблонов отчётов.
• Сканирование нескольких портов на сервере или нескольких серверах с помощью файла ввода (input file).
• Определение установленного программного обеспечения с помощью заголовков, значков (favicons) и файлов.
• Возможность аутентификации хостов с помощью Basic и NTLM.
• Поиск поддоменов.
• Установление имён пользователей Apache и cgiwrap.
• Проверка паролей на стойкость и выявление паролей по умолчанию.
• Возможность интеграции с Metasploit.

Более подробная информация о Nikto находится на сайте разработчика.

OpenVAS

Этот сканер уязвимостей с открытым кодом является разработкой компании Greenbone, которая постоянно его дорабатывает и поддерживает с 2009 г. OpenVAS тоже доступен по лицензии GNU General Public License (GNU GPL).

OpenVAS позволяет осуществлять тестирование с аутентификационными данными и без них, проводить анализ различных высокоуровневых и низкоуровневых сетевых и промышленных протоколов, настройку производительности для крупномасштабного сканирования; имеется широкофункциональный внутренний язык программирования для реализации любого типа тестирования уязвимостей.

OpenVAS реализует активный мониторинг: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки, получает доступ к консоли управления и выполняет там команды. Далее сканер анализирует собранные данные и делает выводы о наличии каких-либо брешей, чаще всего обусловленных наличием на узле необновлённого или небезопасно настроенного ПО.

Сканер использует большую ежедневно пополняемую базу уязвимостей (более 50 000), а также подключение к базе CVE, описывающей известные проблемы безопасности.

Рисунок 17. Окно со списком задач для поиска уязвимостей в OpenVAS

Greenbone разрабатывает OpenVAS как часть своего коммерческого семейства продуктов для управления уязвимостями Greenbone Security Manager (GSM). OpenVAS — это один из элементов более крупной архитектуры. В сочетании с дополнительными модулями с открытым исходным кодом он образует решение Greenbone Vulnerability Management.

Более подробная информация о сканере находится на сайте разработчика.

Выводы

Рассмотренные сканеры уязвимостей, как российские, так и зарубежные, обладают некоторыми сходствами — в частности, поддерживают большинство популярных операционных систем, умеют проводить инвентаризацию ИТ-ресурсов и сканирование сетевых портов, сервисов и веб-приложений, выявляют недостаточно стойкие и установленные по умолчанию пароли, ведут поиск уязвимостей с использованием баз cve.mitre.org и стандарта OVAL, решают задачи по соответствию требованиям стандарта PCI DSS, а также обеспечивают интеграцию с SIEM.

Тем не менее стоит отметить различия между зарубежными и отечественными продуктами: например, российские сканеры дополнительно обеспечивают поиск уязвимостей из Банка данных угроз безопасности информации ФСТЭК России, имеют сертификаты соответствия требованиям отечественного регулятора, позволяют проверять некоторые средства защиты и не поставляются в качестве облачного сервиса.

В свою очередь, зарубежные системы дают возможность обеспечивать защиту конечных точек за счёт использования локальных агентов и облачной платформы. Этот вариант помимо прочего позволяет лучше и оперативнее отслеживать изменения в ИТ-инфраструктуре и вовремя реагировать на новые уязвимости или атаки: ведь при такой схеме узлы сети начинают играть роль сетевых сканеров для мониторинга трафика. Также зарубежные продукты предлагают больше возможностей для интеграции со сторонними системами, такими как IDS / IPS, межсетевые экраны, средства патч-менеджмента, комплексы технической поддержки (service desk) или инструменты для пентестов.

Что касается продуктов с открытым исходным кодом, то нужно сказать, что они также предлагают достаточные для выявления уязвимостей функции, но при этом приходится мириться с не очень удобным интерфейсом и некоторыми ограничениями в части возможностей.

По итогам хочется сказать, что представленные в обзоре сканеры позволят при регулярном их использовании своевременно обнаруживать уязвимости и недостатки в безопасности ИТ-инфраструктуры. Но необходимо отметить, что данный класс средств защиты стремительно развивается и постепенно сканеры превращаются в более масштабные системы, решающие большее количество задач.

что это, функции, принципы работы

#Software
#Информационная безопасность

Сканер уязвимостей (Vulnerability scanner) — программное или аппаратное комплексное решение для сканирования информационной инфраструктуры в реальном времени. Сканер используется для обнаружения брешей в сетевой защите, операционной системе, базах данных, приложениях и т. д. Главная задача — оценивать безопасность, выявлять уязвимости и выводить отчеты.

Администратор при помощи сканера уязвимостей может находить «дыры», которыми пользуются хакеры для получения несанкционированного доступа к конфиденциальным данным в сети компании. Также сканер уязвимостей может контролировать запущенные процессы, службы и сканировать используемые порты.

Аудит информационной безопасности

Основные функции

Сканер уязвимостей имеет следующий функционал:

• ищет различные типы уязвимостей сети и анализирует их в режиме реального времени;
• проверяет ресурсы сети, операционные системы, подключенные устройства, порты;
• анализирует все активные процессы, поведение запущенных приложений;
• создает отчеты, в которых прописывает тип уязвимости

Принцип работы сканера

• Зондирование. Самый эффективный, но медленный метод активного анализа. Суть его заключается в том, что сканер сам проводит попытки эксплуатации найденных уязвимостей и мониторит сеть, определяя, где могут пройти угрозы. В процессе зондирования администратор может подтвердить свои догадки относительно «дыр» и принять меры по их закрытию.
• Сканирование. В таком режиме сканер работает максимально быстро, но проводит анализ лишь на поверхностном уровне. То есть «смотрит» на явные «дыры» и анализирует общую безопасность инфраструктуры. Отличие этого механизма от предыдущего в том, что сканер уязвимостей не подтверждает наличие уязвимости, а лишь предупреждает о ней администратора.

Работа сканера базируется на косвенных признаках уязвимостей. К примеру, если сканер анализирует протоколы прикладного уровня или API, то он определяет их параметры и сравнивает с приемлемыми значениями, заданными администратором. Если он обнаружит расхождение значений, администратор получит уведомление о потенциальной уязвимости. После этого нужно проверить найденные потенциальные угрозы каким-либо другими инструментами.

Какие действия выполняет сканер уязвимостей

• Собирает информацию со всей инфраструктуры: активные процессы, запущенные приложения, работающие порты и устройства, службы и т. д.
• Ищет потенциальные уязвимости. Методом сканирования (использует косвенные признаки уязвимости без подтверждения ее наличия) и зондирования (запускает имитации атак).
• Использует специальные методы моделирования атак, чтобы подтвердить или опровергнуть присутствие уязвимости (функция доступна не в каждом сканере).
• Формирует подробный отчет с информацией о найденных уязвимостях.

Сканеры могут быть «дружественными» или «агрессивными». Первый тип просто собирает информацию и не моделирует атаку. Второй пользуется уязвимостью, чтобы вызвать сбой в работе программного обеспечения.

Сканирование уязвимостей. Глава из книги «Kali Linux. Тестирование на проникновение и безопасность»

Содержание статьи

Сканирование уязвимостей — процесс выявления и анализа критических недостатков безопасности в целевой среде. Иногда эту операцию называют оценкой уязвимости. Сканирование уязвимостей — одна из основных задач программы выявления и устранения этих недостатков. С его помощью можно проанализировать все элементы управления безопасностью ИТ-инфраструктуры.

О книге

Перед тобой — шестая глава из книги «Kali Linux. Тестирование на проникновение и безопасность», которую мы публикуем по договоренности с издательством «Питер». Коллектив авторов этой книги структурировал информацию о пентестах — от подготовки исследовательской лаборатории до составления отчетов о проделанной работе. Давай пройдемся по ее оглавлению, чтобы ты мог составить лучшее представление о содержимом.

Главы 1 и 2. Установка и настройка Kali Linux, создание испытательной лаборатории. В первых двух главах описано, как обустроить свою тестовую лабораторию, точнее — компьютер с VirtualBox. Авторы в числе прочего рассказывают, какие дистрибутивы лучше использовать в качестве целевых уязвимых систем.

Глава 3. Методология тестирования на проникновение. Здесь дается теоретический минимум обо всех этапах взлома, добыче информации и заметании следов. Дальнейшее повествование будет следовать приведенному в этой главе эталонному плану атаки.

Глава 4. Получение отпечатка и сбор информации. Здесь описан первый этап пентеста — сбор данных об исследуемой системе: имена хостов, IP-адреса, конфигурации оборудования, имена сотрудников компании и другие сведения. Также разбираются утилиты Kali, которые служат для автоматизации разведки.

Глава 5. Методы сканирования и уклонения. В ней рассказано, как идентифицировать машины, находящиеся в локальной сети организации, и определить их ОС. Существуют утилиты для создания «отпечатков операционных систем», о них рассказано во второй части главы.

Глава 6. Сканирование уязвимостей. Шестая глава, которую мы опубликовали целиком, повествует об обнаружении дыр в безопасности.

Глава 7. Социальная инженерия. Эта глава посвящена социальной инженерии. Здесь эта тема раскрыта не так полно, как в книге Кевина Митника «Искусство обмана», но в достаточной для понимания вопроса степени. Для простоты запоминания авторы выделяют шесть методов психологической атаки: подражание, взаимный обмен, влияние авторитета, использование жадности, налаживание социальных взаимоотношений, сила любопытства. Также здесь описано создание флешки для скрытного получения данных с компьютера.

Глава 8. Целевая эксплуатация. Здесь дается описание эксплоитов, приведены ссылки на ресурсы, где их можно найти, подробно рассказано о Metasploit и показано, как создать свой эксплоит с применением этого популярного фреймворка.

Глава 9. Повышение привилегий и поддержание доступа. Помимо вопросов эскалации привилегий, в этой главе рассмотрено создание бэкдора в скомпрометированной системе. И в качестве бонуса приводятся инструменты подбора пароля.

Глава 10. Тестирование веб-приложений. В десятой главе рассказывается о включенных в стандартную поставку Kali Linux инструментах тестирования веб-приложений: nikto, OWASP ZAP, Burp Suite, Paros и прочих.

Глава 11. Тестирование беспроводных сетей на проникновение. При пентестах беспроводных сетей задача атакующего — определить целевую сеть, захватить трафик во время аутентификации и провести атаку на хеш грубой силой. У всех этих шагов есть масса подводных камней, которые и рассмотрены в этой главе.

Глава 12. Мобильное тестирование на проникновение с Kali NetHunter. Не всегда удобно проводить пентесты на ноутбуке. Для таких экстремальных случаев был создан Kali NetHunter — его устанавливают на некоторые смартфоны поверх Android.

Глава 13. PCI DSS: сканирование и тестирование на проникновение. Эта глава посвящена стандарту безопасности данных индустрии платежных карт (PCI DSS). В ней рассказывается, какие требования предъявляются к этому стандарту, кто и как проводит тестирование организаций, систем и процессов, подлежащих стандарту.

Глава 14. Инструменты для создания отчетов о тестировании на проникновение. Составление отчета — самое скучное занятие. Но и об этом позаботились создатели дистрибутива Kali Linux! Они включили в его состав фреймворк Draids, предназначенный для составления отчетности по пентестам. В последней главе книги подробно обсуждаются документация, предоставление и проверка результатов тестирования, типы отчетов, подготовка презентации, а также действия, которые необходимо предпринять после тестирования.

Сканирование уязвимостей производится после того, как мы обнаружили, собрали и перечислили информацию об инфраструктуре целевой системы. Информация, полученная после сканирования системы на уязвимости, может привести к компрометации целевой системы, нарушению ее целостности и конфиденциальности.

В этой главе мы обсудим два общих типа уязвимостей и представим различные стандарты для их классификации. Мы также рассмотрим некоторые известные инструменты оценки уязвимости, предоставляемые в рамках операционной системы Кали Linux. В этой главе излагаются следующие темы.

• Понятия двух общих типов уязвимостей: локальные и удаленные.
• Классификация уязвимостей, указывающая на отраслевой стандарт, который может быть использован для систематизации любой уязвимости и распределения в соответствии с определенными признаками.
• Знакомство с несколькими инструментами для поиска и анализа уязвимостей, присутствующих в целевой среде. Представленные инструменты распределены в соответствии с их основными функциями, связанными с оценкой безопасности. Это такие инструменты, как Nessus, Cisco, SMB, SNMP и средства анализа веб-приложений.

Обратите внимание, что независимо от того, тестируем мы внешнюю или внутреннюю сеть, ручные и автоматизированные процедуры оценки уязвимостей должны использоваться поровну. Если задействовать только автоматический режим, можно получить большое количество ложных срабатываний и отрицаний. Кроме того, очень важна теоретическая подготовка испытателя на проникновение, а также то, насколько хорошо он знает инструменты, с помощью которых будет выполняться тест. Аудитору постоянно нужно совершенствовать свои знания и навыки.

И еще один очень важный момент: автоматизированная оценка уязвимости не является окончательным решением. Бывают ситуации, когда автоматизированные средства не могут определить логические ошибки, скрытые уязвимости, неопубликованные уязвимости программного обеспечения и человеческий фактор, влияющий на безопасность. Поэтому рекомендуется использовать комплексный подход, предусматривающий применение как автоматизированных, так и ручных методов оценки уязвимости. Это повысит успешность тестов на проникновение и предоставит наиболее объективную информацию для исправления уязвимостей.

Технические требования

Ноутбук или настольный компьютер с объемом оперативной памяти не менее 6 Гбайт, четырехъядерный процессор и 500 Гбайт места на жестком диске. В качестве операционной системы мы используем Kali Linux 2018.2 или 2018.3 (как виртуальную машину или систему, установленную на жестком диске, SD-карте или USB-накопителе).

Типы уязвимостей

Существует три основных категории уязвимостей, которые, в свою очередь, можно разделить на локальные и удаленные. Это уязвимости, допущенные при разработке программного обеспечения, ошибки при реализации программного обеспечения и уязвимости, обнаруживаемые при эксплуатации системы.

• Уязвимости при разработке — обнаруживаются из-за недостатков в технических требованиях к программному обеспечению.
• Уязвимости реализации — технические ошибки безопасности, найденные в коде системы.
• Эксплуатационные уязвимости — уязвимости, которые могут возникнуть из-за неправильной настройки и разворачивания системы в целевой среде.

На основе этих трех классов у нас есть два общих типа уязвимостей: локальные и удаленные, которые могут появиться в любой категории описанных уязвимостей.

Локальные уязвимости

Если злоумышленник получает доступ, выполняя часть кода, это называется локальной уязвимостью. Воспользовавшись данной уязвимостью, злоумышленник может повысить свои права доступа и получить неограниченный доступ к компьютеру.

Рассмотрим пример, в котором злоумышленник Боб имеет локальный доступ к системе, работающей под управлением Windows Server 2008 (32-разрядная платформа x86). Доступ ему был ограничен администратором при реализации политики безопасности, в результате чего Бобу стало недоступно определенное приложение. В экстремальных условиях Боб обнаружил, что с помощью вредоносного фрагмента кода он может получить доступ к компьютеру на уровне системы или ядра. Воспользовавшись хорошо известной уязвимостью (например, CVE-2013-0232, GP Trap Handler nt!KiTrap0D), он повысил свои права доступа, что позволило ему выполнять все административные задачи и получать неограниченный доступ к приложению. Это ясно показывает нам, как злоумышленник воспользовался уязвимостью для получения несанкционированного доступа к системе.

Удаленная уязвимость

Удаленная уязвимость — это состояние, при котором злоумышленник еще не имеет доступа, но может его получить, запустив вредоносную часть кода через сеть. Этот тип уязвимости позволяет злоумышленнику получить удаленный доступ к компьютеру без каких-либо физических или локальных барьеров.

Например, Боб и Алиса подключены к Интернету с разных устройств. У них разные IP-адреса, да и живут они в разных местах. Предположим, компьютер Алисы работает под управлением операционной системы Windows XP и содержит секретную биотехнологическую информацию, а Бобу известен IP-адрес машины Алисы и то, какая операционная система установлена на этом компьютере. Боб ищет решение, которое позволит ему получить удаленный доступ к компьютеру Алисы. Со временем он узнает, что уязвимость службы Windows Server MS08-067 может быть легко использована удаленно на компьютере под управлением операционной системы Windows XP. Затем он запускает эксплойт против компьютера Алисы и получает к машине полный доступ.

Систематизация уязвимостей

С увеличением количества доступных технологий за последние несколько лет предпринимались различные попытки ввести наиболее удобную классификацию, чтобы распределить по категориям все возможные уязвимости. Тем не менее не все распространенные ошибки кодирования, которые могут повлиять на безопасность системы, удалось классифицировать. Это связано с тем, что каждая уязвимость может относиться к нескольким категориям или классам. Кроме того, каждая системная платформа имеет собственную подключаемую базу уязвимостей, сложности с расширением и в результате — сложности взаимодействия с внешней средой.

В следующей таблице мы представляем вам стандарты таксономии (классификации и систематизации), которые помогут вам по возможности определить большинство распространенных сбоев безопасности. Обратите внимание: почти все из этих стандартов уже реализованы в ряде инструментов оценки безопасности. Данные инструменты позволяют изучать проблемы безопасности программного обеспечения в режиме реального времени.

WWW

Основная функция каждого из этих стандартов безопасности (таксономий) заключается в систематизации категорий и классов уязвимостей, которые могут использовать специалисты по безопасности и разработчики программного обеспечения для выявления конкретных ошибок. Обратите внимание: ни один такой стандарт безопасности не может считаться точным и полным.

Автоматическое сканирование уязвимостей

Испытатели на проникновение очень осторожно относятся к автоматическому сканированию уязвимостей и иногда говорят, что это просто мошенничество. Хотя, если мало времени, автоматические сканеры уязвимостей могут помочь получить большой объем информации о целевой сети.

Nessus 7

Tenable’s Nessus был разработан два десятилетия назад и до сих пор остается очень популярным инструментом оценки уязвимостей. На Nessus можно подписаться на год. Однако хорошие люди в Tenable создали седьмую версию Nessus Professional и предлагают пробную версию всем, кто желает с нею ознакомиться.

Перед установкой вам необходимо узнать, какая версия Kali Linux установлена на вашем компьютере. Это поможет вам скачать ту версию Nessus, которая будет без сбоев работать с вашей операционной системой.

Введите в командную строку терминала команду uname --a (рис. 6.1).

Рис. 6.1. Проверка версии Kali Linux

На рис. 6.1 видно, что я использую 64-разрядную версию (amd64) Kali Linux на основе Debian. Таким образом, мне нужно будет загрузить 64-разрядную версию Nessus, предназначенную для сборок Debian.

Установка сканера уязвимостей Nessus. Чтобы установить Nessus в Kali Linux, откройте браузер и перейдите на страницу Nessus.

Ознакомительная версия поставляется со всеми функциями полной версии, за исключением ограничений 16-IP.

Чтобы получить пробную версию, вам потребуется зарегистрироваться в Tenable. По электронной почте вы получите код подтверждения. После получения письма с кодом подтверждения вы можете скачать нужную версию Nessus в Kali Linux (рис. 6.2).

Рис. 6.2. Предлагаемые для скачивания версии Nessus

Выберите версию Nessus, соответствующую вашей операционной системе. Чтобы согласиться с условиями использования, нажмите кнопку Accept (Принять). Далее в появившемся диалоговом окне нажмите кнопку Save File (Сохранить файл). Файл будет сохранен на вашем компьютере в папке Downloads. Мы для этого примера загрузили 64-битную версию Nessus (Nessus-7.1.3-debian6_amd64.deb).

После того как загрузка будет завершена, запустите новый терминал и перейдите в каталог загрузок. Для этого введите в командную строку команду cd Downloads. Далее просмотрите содержимое каталога, введя команду ls. С помощью этого действия вы можете убедиться, что файл действительно скачан и сохранен в целевой папке. Кроме того, вы можете скопировать имя установочного файла, чтобы вставить его в следующую команду. Далее, чтобы установить Nessus, введите команду dpkg --i Nessus-7.1.3-debian6_amd64.deb, как показано на рис. 6.3.

Рис. 6.3. Установка Nessus

INFO

Если будут доступны новые версии Nessus, для выполнения команды dpkg -i скопируйте имя скачанного файла загрузки и его версию.

Не выходя из каталога Downloads, запустите службу Nessus. Для этого введите команду service nessusd start. При появлении следующего запроса укажите пароль для Kali Linux (рис. 6.4).

Рис. 6.4. Запуск службы Nessus

Для работы с Nessus откройте браузер, введите в адресную строку https://localhost:8834 и нажмите клавишу Enter. Когда появится баннер с предупреждением об опасности, нажмите кнопку Advanced (Дополнительно), далее нажмите кнопку Add Exception (Добавить исключение) и в конце — кнопку Confirm Security Exception (Подтвердить исключение безопасности) (рис. 6.5).

Для продолжения запуска службы выполните следующие шаги.

1. Создайте сначала учетную запись, указав имя пользователя и свой аккаунт, после чего нажмите кнопку Continue (Продолжить).

Рис. 6.5. Добавление исключения

2. Оставьте предлагаемые по умолчанию настройки Home, Professional или Manager, введите в поле ввода Activation Code (Код активации) полученный по электронной почте код активации и нажмите кнопку Continue (Продолжить).

Если все пройдет удачно, Nessus начнет инициализацию, загрузит и скомпилирует необходимые плагины (рис. 6.6).

Рис. 6.6. Инициализация Nessus

INFO

В зависимости от скорости вашего соединения с Интернетом данная процедура может продлиться некоторое время. Пока будет происходить установка, можете зайти на сайт www.packtpub.com и посмотреть еще книги от Packt Publishing по Kali Linux и по тестированию на проникновение.

После завершения всех обновлений будет загружен интерфейс Nessus. Нажмите расположенную в правом верхнем углу кнопку New Scan (Новое сканирование), чтобы просмотреть все доступные типы сканирования (рис. 6.7).

Рис. 6.7. Доступные виды сканирования

Здесь предлагается для использования большое количество шаблонов сканирования. Есть несколько шаблонов, которые доступны только по платной подписке. Кроме обнаружения узлов и расширенного сканирования, Nessus проводит расширенное сканирование уязвимостей, в том числе следующих типов.

• Сканирование облачной инфраструктуры.
• Локальное и удаленное сканирование обнаруженных поврежденных оболочек.
• Сканирование внутренней сети PCI.
• Сканирование вредоносных программ Linux и Windows.
• Сканирование Meltdown и Spectre.
• Сканирование программ-вымогателей WannaCry.
• Сканирование веб-уязвимостей.

Некоторые из них показаны на рис. 6.8.

Чтобы продемонстрировать обнаружение уязвимостей, воспользуемся уязвимым веб-сервером Linux. В главе 2 мы рассказывали, как настроить Metasploitable 2, Metasploitable 3, очень уязвимую систему Linux и BadStore.

В окне сканера щелкните на шаблоне Advanced Scan (Расширенное сканирование) и в разделе BASIC (Основное) заполните поля ввода. В поле Targets (Цели) укажите IP-адрес целевой машины или диапазон IP-адресов целевых машин, которые должны быть просканированы с помощью шаблона расширенного сканирования (рис. 6.9).

Рис. 6.8. Некоторые из видов сканированияРис. 6.9. Указываем цели

Поскольку предлагается несколько различных настроек, изучите другие разделы левого столбца. Каждый из этих разделов позволяет настроить сканирование в соответствии с конкретными требованиями.

• DISCOVERY (Открытие). Nessus использует ряд различных методов для обнаружения действующих в данное время хостов. Здесь можно задать определенные параметры для их обнаружения.
• ASSESSMENT (Оценивание). Здесь вы можете задать тип и глубину сканирования.
• REPORTING (Отчетность). При подготовке отчета о тестировании на проникновение важно иметь подробную информацию о проверке уязвимостей. Эта функция позволяет задать параметры отчетов.
• ADVANCED (Дополнительно). Расширенные настройки позволяют изменять не только количество сканируемых хостов, но и другие параметры синхронизации.

После настройки сканирования можно выбрать команду Save (Сохранить) или Launch (Запустить). Вы увидите список My Scan (Мои сканирования).

Щелкните кнопкой мыши на значке Play (Воспроизведение), который расположен справа от имени шаблона сканирования. Будет запущено сканирование. Если щелкнуть на имени шаблона сканирования во время проведения теста, на экране вы увидите общую информацию о сканируемой целевой машине и об уязвимости (рис. 6.10).

Рис. 6.10. Общая информация о сканировании

Если щелкнете кнопкой мыши на сканируемом целевом компьютере, то увидите более подробный список обнаруженных уязвимостей. Уязвимости имеют цветовую маркировку:

• красный — критический уровень;
• оранжевый — высокий;
• желтый — средний;
• зеленый — низкий;
• синий — содержит информацию.

Как видно на рис. 6.11, при сканировании в общей сложности было обнаружено 70 уязвимостей, из которых шесть являются критическими и 17 — высокого уровня. Это значит, что машина очень уязвима.

Рис. 6.11. Отчет о найденных уязвимостях

Если щелкнуть кнопкой мыши на цветных категориях уязвимостей, обнаруженные уязвимости отобразятся в порядке от наиболее уязвимых (то есть критических) до наименее уязвимых (информационных) (рис. 6.12).

Рис. 6.12. Отображение найденных уязвимостей в порядке от критических до информационных

Полученная информация включает в себя сведения не только об уязвимости, но и об эксплойтах. Она позволяет испытателю запланировать и осуществить дополнительные атаки на эти уязвимости (рис. 6.13).

Рис. 6.13. Создание отчетности

Nessus — мощный инструмент с большим количеством функциональных возможностей, который можно использовать при тестировании на проникновение. Он предоставляет большой объем информации. К сожалению, в этом разделе мы не сможем рассмотреть весь функционал программы, но рекомендуем вам потратить некоторое время на самостоятельное изучение доступных функций. Обратите внимание, что Tenable предлагает бесплатно протестировать и домашнюю версию. Если же вы желаете протестировать внешние IP-адреса или применяете Nessus для клиента, вам придется воспользоваться платной версией.

OpenVAS

Open Vulnerability Assessment System (открытая система оценки уязвимостей, OpenVAS) — фреймворк, состоящий из нескольких сервисов и утилит. OpenVAS — это сканер с открытым исходным кодом. Он прост в установке и имеет удобный интерфейс, позволяющий выполнять активный мониторинг (с активными действиями в сети). Согласно сайту http://www.openvas.org/about.html при работе OpenVAS использует коллекцию уязвимостей, состоящую из 50 000 тестов (NVTs). OpenVAS является основой линейки профессиональных устройств Greenbone Secure Manager.

Чтобы установить OpenVAS, откройте терминал и введите команду apt-get install openvas (рис. 6.14).

Когда установка OpenVAS будет завершена, для запуска конфигурации введите в командную строку терминала команду openvas-setup. Процесс конфигурации займет некоторое время, в зависимости от загрузки сети и скорости подключения к Интернету (рис. 6.15).

Рис. 6.14. Установка OpenVASРис. 6.15. Конфигурация приложения

В конце процесса установки и настройки OpenVAS сгенерирует пароль, который потребуется при запуске OpenVAS (рис. 6.16).

Рис. 6.16. Пароль сгенерирован

Для запуска сервиса OpenVAS введите команду openvas-start. Далее запустите браузер и введите в адресную строку https://127.0.0.1:9392 или https://localhost:9392.

INFO

При повторном использовании OpenVAS откройте терминал и введите команду openvas-start. Новую установку запускать не следует.

Вам после ввода предыдущего URL-адреса снова придется добавить исключение безопасности. Для этого нажмите кнопку Advanced (Дополнительно), далее — кнопку Add Exception (Добавить исключение), а затем кнопку Confirm Security Exception (Подтвердить исключение безопасности) (рис. 6.17).

При появлении запроса войдите в систему, введя имя пользователя admin и пароль, сгенерированный в процессе установки. Убедитесь, что логин и пароль надежно сохранены, так как вам при работе с OpenVAS неоднократно потребуется входить в систему (рис. 6.18).

Чтобы запустить сканирование, щелкните на ярлыке вкладки Scans (Сканирования), а затем на строке Tasks (Задачи). Откроется информационное окно, в котором нужно выбрать мастер задач. Он представлен в виде фиолетового значка, расположенного в левом верхнем углу экрана (рис. 6.19).

Рис. 6.17. Подтверждение добавления исключения безопасностиРис. 6.18. Запуск OpenVASРис. 6.19. Запуск сканирования

В открывшемся меню щелкните на строке Advanced Task Wizard (Мастер расширенных задач). В появившихся полях введите соответствующую информацию (рис. 6.20). Обратите внимание: поле Scan Config (Конфигурация сканирования) имеет на выбор несколько типов сканирования, включая Discovery (Обнаружение), Full and fast (Полное и быстрое), Full and fast ultimate (Полное и быстрое окончательное) и Full and very deep ultimate (Полное и очень глубокое окончательное) (наиболее трудоемкий и затратный по времени вариант).

Рис. 6.20. Создаем новую задачу

Параметр Start time (Время начала) позволяет испытателю на проникновение запланировать сканирование. Это очень полезная функция. Сканирование может нарушать работу сети, поэтому его лучше выполнять тогда, когда сеть не сильно загружена, то есть в нерабочее время или в выходные дни.

После того как все поля будут заполнены, прокрутите страницу вниз и нажмите кнопку Create (Создать). В результате запустится сканирование и на экране появится сводка сведений о сканировании и состоянии (рис. 6.21).

Рис. 6.21. Сканирование запущено

Чтобы просмотреть дополнительные сведения о задаче, в поле Name (Имя) щелкните на имени задачи (рис. 6.22).

Рис. 6.22. Дополнительные сведения о задаче

По завершении сканирования нажмите кнопку Done (Готово). При этом будет создан отчет со списком обнаруженных уязвимостей и оценкой степени угрозы для каждой из них (рис. 6.23).

Рис. 6.23. Отчет о сканировании

Если щелкнуть кнопкой мыши на любой из перечисленных уязвимостей, отобразятся дополнительные сведения, такие как Summary (Сводка), Impact (Влияние), Solution (Решение), Affected Software/OS (Уязвимое программное обеспечение) и др. (рис. 6.24).

Рис. 6.24. Дополнительные сведения

Сканирование уязвимостей Linux с помощью Lynis

Разработанное компанией Cisofy (www.cisofy.com) приложение Lynis — это инструмент проверки безопасности, который управляется из командной строки Kali Linux. Это бесплатная программа, но доступна и корпоративная версия. Lynis используется для автоматизированной оценки безопасности и сканирования уязвимостей в различных версиях операционных систем Linux, macOS X и Unix.

В отличие от других приложений такого типа Lynis специализируется на проверке безопасности законодательных актов о передаче и защите сведений учреждений здравоохранения (HIPAA), защите стандарта безопасности платежных карт PCI DSS, систем внутреннего контроля SOX и GLBA. Это приложение позволит предприятиям, использующим различные стандарты, обеспечить безопасность своих систем.

Lynis можно загрузить и установить самостоятельно. Установка приложения в целевой системе сэкономит трафик, по сравнению с установкой на удаленном компьютере.

Для запуска Lynis в Kali выберите команду меню ApplicationsVulnerability AnalysisLynis (ПриложенияАнализ уязвимостейLynis). Для запуска приложения из командной строки введите в терминале команду lynis. Она отобразит установленную версию Lynis (в данном случае 2.6.2) и инициализирует программу. Вы также увидите список всех параметров команды (рис. 6.25).

Рис. 6.25. Список параметров команды Lynix

Если вы подзабыли нужную команду, введите lynis show commands (рис. 6.26).

Lynis — полностью механизированный инструмент проверки безопасности, у которого есть минимальный набор команд. Чтобы проверить вашу машину Kali Linux, просто введите lynis audit system. Время, которое займет проверка, зависит от характеристик проверяемой машины Kali Linux. Обычно проверка длится от 15 до 30 минут. Результат проверки показан на рис. 6.27.

Рис. 6.26. Отображение команд LynixРис. 6.27. Результат проверки машины Kali Linux

Результаты проверки включают в себя сведения:

• о версии Debian;
• загрузке и службах;
• ядре;
• памяти и процессоре;
• пользователях, группах и проверке подлинности;
• оболочке;
• файловой системе;
• USB-устройствах;
• сети и брандмауэрах;
• портах и принтерах;
• надежности ядра.

Рис. 6.28. Сведения, полученные с помощью Lynix

На рис. 6.29 показан фрагмент результатов проверки Lynis с четырьмя предупреждениями и 40 предложениями.

Рис. 6.29. Фрагмент результатов проверки

Прокрутив результаты теста до конца, мы увидим общую сводку по проверке (рис. 6.30).

Рис. 6.30. Общая сводка по проверке компьютера

Сканирование и перечисление уязвимостей с помощью SPARTA

SPARTA — это инструмент с пользовательским интерфейсом для тестирования на проникновение сети. Авторы приложения — Антонио Кин (Antonio Quina) и Леонидас Ставлиотис (Leonidas Stavliotis) из компании SECFORCE. SPARTA — стандартное приложение Kali Linux. В рамках одного инструмента оно автоматизирует процессы сканирования, перечисления и оценки уязвимостей. Кроме функций сканирования и перечисления, в SPARTA также встроено средство для взлома паролей с помощью грубой силы.

WWW

Последние версии SPARTA можно загрузить из GitHub и клонировать на локальную машину. Для этого достаточно ввести команду git clone https://github.com/secforce/sparta.git.

Для запуска SPARTA в Kali Linux 2018 выберите команду меню Applications → Vulnerability Analysis → SPARTA (Приложения → Анализ уязвимостей → SPARTA). Чтобы добавить в область проверки целевую машину или группу целевых машин, в графическом интерфейсе SPARTA 1.0.3 щелкните кнопкой мыши на левой панели. Далее добавьте в поле ввода IP Range (IP-диапазон) диапазон проверяемых IP-адресов (рис. 6.31).

Рис. 6.31. Диапазон IP-адресов для проверки введен

После того как IP адреса узлов сети будут добавлены, нажмите кнопку Add to scope (Добавить в область). Начнется поэтапное сканирование целевых объектов (рис. 6.32).

Рис. 6.32. Процесс сканирования узла сети

После завершения сканирования карты сети в основном окне SPARTA появятся следующие вкладки: Services (Службы), Scripts (Сценарии), Information (Информация), Notes (Заметки), Nikto и Screenshot (Скриншоты), на которых вы найдете очень полезную информацию.

По умолчанию сначала откроется вкладка Services (Службы) со списком открытых портов и служб (рис. 6.33).

Рис. 6.33. Вкладка Services (Службы) со списком открытых портов и служб

Если откроете вкладку Information (Информация), то увидите собранную информацию о целевой машине. Там будет указан IP, количество открытых, закрытых и отфильтрованных портов (если таковые имеются), а также операционная система вместе с ее версией и значение точности определения информации (рис. 6.34).

Рис. 6.34. Вкладка Information (Информация)

Поскольку в нашем случае целевой машиной был выбран Linux-сервер, применен инструмент сканирования Nikto. Чтобы просмотреть список найденных уязвимостей, откройте вкладку nikto (80/tcp) (рис. 6.35).

Рис. 6.35. Вкладка nikto (80/tcp)

Многие из обнаруженных уязвимостей имеют префикс OSVBD, который указывает на то, что информацию о них можно искать в базах данных сайтов Common Vulnerabilites and Exposures (CVE) и Open Source Vulnerabilities Database (OSVDB).

Для получения подробной информации испытатель на проникновение может воспользоваться простым поиском Google, введя в поисковую строку название уязвимости, например OSVDB-3268, которая была выявлена при предыдущем сканировании. Впоследствии выявленные уязвимости могут быть использованы, например, инструментом Metasploit. Но об этом поговорим в следующих главах.

Теперь посмотрим на другую сканируемую машину под управлением операционной системы Windows. В области Hosts (Хосты) слева найдите IP-адрес 10.10.22.217 и щелкните на нем кнопкой мыши. Далее откройте вкладку Services (Службы) (рис. 6.36). Здесь вы увидите список открытых портов.

Рис. 6.36. Вкладка Services (Службы) с информацией о портах машины 10.10.22.217

Из этой информации видно, что исследуемая нами машина работает под управлением Windows. Для обследования портов данной машины в SPARTA был запущен инструмент smbenum. С его помощью мы проверили наличие нулевых сессий и просмотрели этот компьютер. В ходе этих операций мы, в частности, искали сведения о пользователях и общих ресурсах (рис. 6.37).

SPARTA осуществляет сканирование, перечисление и оценку уязвимости, позволяя испытателю выполнять различные функции тестирования на проникновение в сеть. Для этого на вкладке Services (Сервисы) щелкните правой кнопкой мыши на любом из открытых портов и выберите в появившемся меню нужную команду.

На рис. 6.38 вы видите контекстное меню, появившееся после того, как мы щелкнули правой кнопкой мыши на строке open port 3306. Используя команды этого контекстного меню, вы можете попробовать открыть порт с помощью Telnet, Netcat, или клиента MySQL. Для клиента MySQL вам потребуются права root. Вы также можете попытаться взломать пароли с применением грубой силы.

Рис. 6.37. Отчет об исследовании с помощью инструмента smbenum (445/tcp)Рис. 6.38. Контекстное меню для порта 3306

Если в контекстном меню выбрать команду Send to Brute (Отправить в Brute), то через выбранный порт будет предпринята попытка атаки с помощью инструмента взлома пароля THC Hydra. Наряду с другими вариантами для получения нужных данных можно применять списки с именами пользователей и паролей. Указав необходимые параметры, нажмите кнопку Run (Выполнить), чтобы предпринять попытку атаки.

Рис. 6.39. Вкладка инструмента Brute

Это далеко не единственные инструменты, доступные в SPARTA. Если, допустим, щелкнуть правой кнопкой мыши на open port 445 компьютера под управлением операционной системы Windows, вы увидите большой список инструментов (рис. 6.40).

Рис. 6.40. Список команд контекстного меню для компьютера под управлением Windows

Резюме

В этой главе мы обсудили, как с помощью нескольких инструментов Kali Linux выявить и проанализировать критические уязвимости системы безопасности. Мы также рассмотрели три основных класса уязвимостей: проектирование, реализацию и эксплуатацию — и разобрались, как их можно распределить по двум общим типам уязвимостей: локальных и удаленных. Затем мы обсудили несколько таксономий уязвимостей, которыми можно воспользоваться при проверке безопасности, и классифицировали их по схожести шаблонов.

Далее мы познакомили вас с несколькими инструментами, с помощью которых можно провести автоматическое сканирование системы и выявить имеющиеся уязвимости. Это такие инструменты, как Nessus, OpenVAS, Lynis и SPARTA.

В следующей главе мы обсудим искусство обмана и поговорим о том, как можно воспользоваться человеческими слабостями, чтобы достичь своей цели. Во многих случаях к этой процедуре можно и не прибегать. Но когда у нас нет информации, позволяющей использовать целевую инфраструктуру, такие методы могут быть очень полезными.

Вопросы

1. Какова связь между уязвимостью и эксплойтом?
2. Уязвимости какого класса считаются наиболее опасными?
3. Каково определение удаленной уязвимости?
4. Какой инструмент может выполнять внутреннее и внешнее сканирование PCI DSS?
5. Какой инструмент был создан специально для аудита Linux-систем?
6. Какой инструмент интегрирован в SPARTA для выполнения сканирования сайта?

WWW

Страница не найдена – Information Security Squad

Страница не найдена – Information Security Squad

Сканер уязвимостей Nessus Vulnerability Scanner от Tenable: инструкция по применению!

Как правило, тест на проникновение начинается со сканирования на уязвимости. Хороший сканер содержит в себе всегда актуальную базу известных уязвимостей и, сканируя вашу сеть, сообщает о наличии той или иной. Наша дальнейшая работа заключается в том, чтобы проверить, действительно ли каждая из найденных уязвимостей подвержена эксплуатации, т.к. сканеры уязвимостей часто дают ложные срабатывания.

Одним из наиболее популярных сканеров уязвимостей на рынке является Nessus Vulnerability Scanner. Он стал своего рода стандартом для сканеров уязвимостей. Изначально он стартовал как проект с открытым кодом. Далее его приобрела компания Tenable, и теперь он является коммерческим продуктом (версия Professional). Несмотря на это, у Nessus Scanner по-прежнему есть «Home» версия, которая распространяется бесплатно, но имеет ограничение в 16 IP адресов. Именно эту версию мы и будем рассматривать в данной инструкции по применению.

Будучи «хакером», после сканирования получаем полный список уязвимостей, для которых необходимо только найти эксплойты. К сожалению, сканеры уязвимостей очень «шумные» и бдительные администраторы могут обнаружить их работу. Тем не менее, далеко не все организации имеют таких администраторов.

Не стоит забывать важные моменты касательно сканеров уязвимостей. Они не могут обнаружить уязвимости 0-day. Как и антивирусные программные продукты, их базы должны обновляться каждый день, чтобы быть эффективными.

Любой уважающий себя пентестер, должен быть знаком с Nessus Scanner. Многие достаточно крупные организаций по всему миру используют его в комплексе информационной безопасности.

С недавнего времени даже правительство США начало его использовать для сканирования уязвимостей. Почти каждый федеральный офис и военная база США во всем мире теперь применяет Nessus.

Давайте рассмотрим, что представляет собой эта программа в работе!

Шаг 1. Скачать Nessus Scanner бесплатно

Найти бесплатную домашнюю версию Nessus Home на сайте Tenable непросто. Поэтому мы для вас подготовили прямую ссылку.

Для получения бесплатной версии требуется регистрация, поэтому вам нужно будет указать свой email адрес для получения кода активации.

Далее вам будет предложено выбрать тип и разрядность вашей системы, поддерживаются Windows Server, MaxOS X, Linux, FreeBSD, GPG Keys.

И далее начинается сама загрузка дистрибутива. После скачивания запускаем установщик и проходим все шаги. Процесс интуитивно понятный, поэтому не будем его описывать.

Шаг 2. Запуск Nessus

После завершения установки, откроется браузер по умолчанию с сообщением, как показано ниже. Nessus построен на клиент-серверной архитектуре. Вы установили сервер на localhost, а в роли клиента выступает браузер.

Вы, скорее всего, получите сообщение, в котором говорится: «Your connection is not secure». Нажмите «Advanced».

Затем добавьте исключения для подключения Nessus по 8834 порту.

Шаг 3. Настройка Nessus Home

Практически все готово для поиска уязвимостей!

Вам необходимо создать учетную запись. Именно ее нужно будет указывать для входа в Nessus.

После ввода вашего логина и пароля будет необходимо активировать продукт. Находим письмо с кодом активации у себя в почте и вводим его в соответствующее поле на странице вашего Nessus.

Когда это будет сделано, Nessus начнет загружать все актуальные обновления и плагины, необходимые для поиска уязвимостей в вашей сети. Процесс может занять некоторое время.

Шаг 4. Запуск сканирования уязвимостей

Когда Nessus завершит обновление, вас встретит вот такой экран, как показано ниже. Нажмите «New Scan».

Это откроет новую страницу, на которой вы сможете выбрать тип сканирования. Обратите внимания, там всегда содержаться самые актуальные на сегодняшний день модели угроз.

Давайте нажмем на «Basic Network Scan».

Откроется страница, наподобие приведенной ниже, на которой вас попросят указать имя вашего сканирования (можно указать любое понятное для вас, например, First Scan). Также необходимо будет указать узлы, которые будем сканировать. Можно указать всю подсеть IP адресов 192.168.1.0/24. Нажимаем «Save».

Теперь нажимаем кнопку «Launch», чтобы запустить сканирование уязвимостей.

Шаг 5. Просмотр результатов сканирования

По результатам сканирования мы получаем список с IP адресами и связанные с ними риски. Риски имеют цветовую кодировку.

Нажимаем «vulnerabilities» в верхнем меню, чтобы отобразить все уязвимости, обнаруженные в сети.

Если кликнуть по  конкретной уязвимости, то мы получим более детальную информацию. Ниже приведен пример уязвимости «CodeMeter».

Важно отметить, что помимо описания уязвимости, в отчете присутствует также и способ ее исправления и закрытия (раздел Solution).

Результаты сканирования можно сохранить в различных форматах. Откройте вкладку «Экспорт» выберите формат файла отчета:

Заключение

Nessus Vulnerability Scanner от компании Tenable даже в бесплатной Home версии представляет собой достаточно простой в использовании, но в то же время мощный сканер уязвимостей. Главным его достоинством является то, что в нем всегда можно найти актуальные модели угроз, на возможность эксплуатации которых он быстро и качественно проверит вашу сеть.

Помните, что успех качественной информационной безопасности — это регулярный аудит!

Но не забывайте, что сканирование чужих сетей, может иметь последствия в виде проблем с законом!

Вечный параноик, Антон Кочуков.

Делитесь нашими статьями в соцсетях и задавайте вопросы в комментариях!

См. также:

Методы сканирования уязвимостей

При сканировании уязвимостей осуществляется проверка на наличие ПО для обеспечения
безопасности на хостах, а также может выполняться установка клиента OfficeScan на
незащищенных хостах.

Существует несколько способов запуска сканирования уязвимостей.

Методы сканирования уязвимостей

После запуска сканер уязвимостей отображает состояние клиента OfficeScan на целевых
хостах. Возможны следующие варианты состояния:

• Обычное. Клиент OfficeScan запущен и работает надлежащим образом.

• Нештатное. Службы клиента OfficeScan не выполняются, или клиент не обеспечен защитой в режиме
  реального времени.

• Не установлено. Отсутствует служба TMListen, или клиент OfficeScan не установлен.

• Недоступно. Сканеру уязвимостей не удалось установить подключение к главному компьютеру и определить
  состояние клиента OfficeScan

Сканирование уязвимостей 101

Лучшие методы защиты от взлома данных

Этот пост содержит текст из Белой книги:

Сканирование уязвимостей 101 . Загрузите PDF ниже .

ВВЕДЕНИЕ

Требование 11.2 PCI DSS требует, чтобы организации, которые хранят, обрабатывают и / или передают данные о держателях карт в электронном виде, выполняли внутренние и внешние проверки уязвимостей.

Сканирование уязвимостей — один из самых простых способов предсказать, как хакеры могут проникнуть в вашу систему.Но сканирование уязвимостей — это не только поиск уязвимостей в вашей среде; речь идет об исправлении и изменении ваших процессов, чтобы обеспечить приоритетное устранение уязвимостей.

В этом техническом документе вы узнаете основы сканирования уязвимостей, как работают сканеры уязвимостей, как лучше всего выполнять сканирование уязвимостей, а также советы по управлению уязвимостями вашей сети.

ПОЧЕМУ НЕОБХОДИМО СКАНИРОВАНИЕ УЯЗВИМОСТИ?

На основе данных, собранных специалистами SecurityMetrics Forensic Investigators по прошлогодним взломам, с момента уязвимости организации злоумышленнику потребовалось в среднем 166 дней, чтобы скомпрометировать систему.После взлома злоумышленники имели доступ к конфиденциальным данным в среднем в течение 127 дней.

Эти компрометации системы могут и часто приводят к непоправимому ущербу для бренда и дорогостоящим штрафам за утечку данных для взломанных организаций. Многих из этих компромиссов можно было бы избежать, если бы они протестировали свою среду (например, сканирование уязвимостей).

Из-за присущей слабости безопасности систем или технологий некоторые организации имеют слабые места в системах, средах, программном обеспечении и / или веб-сайтах, которые могут быть использованы злоумышленниками с момента создания среды.

В других случаях организация становится уязвимой из-за того, что ей не удается применить исправление безопасности или внести изменения в систему без надлежащего обновления соответствующих протоколов безопасности.

Чтобы снизить риск и предотвратить утечку данных, необходимо постоянно выявлять критические уязвимости, определять их приоритетность и устранять их.

Без регулярного сканирования уязвимостей вероятность использования и взлома значительно возрастает. Это связано с тем, что ежедневно регистрируется в среднем 19 новых уязвимостей, которые затем можно использовать (например,г., Heartbleed, WannaCry, Петя).

Например, вот пять основных неудавшихся уязвимостей прошлого года, которые клиенты SecurityMetrics обнаружили после выполнения сканирования уязвимостей:

• Обнаружение протокола TLS версии 1.0 : существует, если удаленная служба принимает соединения с использованием шифрования TLS 1.0
• SSL-сертификат с неправильным именем хоста : происходит, когда SSL-сертификат для тестируемой службы предназначен для другого хоста
• Веб-приложение потенциально уязвимо для кликджекинга : возникает, если удаленный веб-сервер не устанавливает заголовок ответа X-Frame-Options во всех ответах содержимого
• Поддерживаемые наборы шифров SSL RC4 (т.е., атака бар-мицвы) : существует, когда алгоритм шифрования RC4 используется при передаче SSL / TLS
• Самоподписанный сертификат SSL : возникает, когда организации используют сертификат идентичности, который они создают, подписывают и удостоверяют, а не доверенный центр сертификации (CA)

Часто злоумышленники используют те же инструменты сканирования уязвимостей, которые организации должны использовать для обнаружения сетевых уязвимостей.

Чтобы опережать злоумышленников, вам необходимо быть в курсе возникающих уязвимостей, регулярно выполняя внутренние и внешние проверки уязвимостей.

ЧТО ДЕЛАЕТ ПРОВЕРКА УЯЗВИМОСТИ?

Сканирование уязвимостей — это автоматический высокоуровневый тест, который ищет и сообщает о потенциальных известных уязвимостях. Например, при сканировании уязвимостей можно выявить более 50 000 уникальных внешних и / или внутренних слабых мест (т. Е. Различных способов или методов, которыми хакеры могут использовать вашу сеть).

PCI DSS требует двух независимых методов сканирования PCI: внутреннего и внешнего сканирования. Сканирование внешних уязвимостей выполняется за пределами вашей сети (например,g., на периметре вашей сети), и выявляет известные слабые места в сетевых структурах. В вашей сети выполняется сканирование внутренних уязвимостей, и оно проверяет другие узлы в той же сети для выявления внутренних уязвимостей.

Думайте о своем окружении как о доме. Сканирование внешних уязвимостей похоже на проверку того, заперты ли двери и окна, в то время как внутреннее сканирование уязвимостей похоже на проверку того, заперты ли двери спальни и ванной комнаты.

Обычно сканирование уязвимостей генерирует подробный отчет об обнаруженных уязвимостях и дает ссылки для дальнейшего исследования этих уязвимостей.Некоторые даже предлагают инструкции, как решить проблему.

Вопреки мнению многих компаний, сканирования недостаточно. Вы не должны просто сканировать и сидеть в отчете. Оперативно устраняйте любые обнаруженные уязвимости, чтобы убедиться, что дыры в безопасности устранены, а затем повторите сканирование, чтобы убедиться, что уязвимости были успешно устранены.

Сканирование уязвимостей определяет потенциальные вредоносные уязвимости, чтобы вы могли исправить процессы для обеспечения безопасности сети.

Очень высокоуровневый анализ возможных уязвимостей

Ложные срабатывания

СКАНИРОВАНИЕ УЯЗВИМОСТИ VS.ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ

Некоторые ошибочно полагают, что сканирование уязвимостей — это то же самое, что и профессиональный тест на проникновение.

Вот разница: сканирование уязвимостей автоматизировано, а тест на проникновение включает живого человека, который действительно копается в сложностях вашей сети.

Сканирование уязвимостей выявляет только уязвимости, в то время как тестер на проникновение копает глубже, чтобы определить основную причину уязвимости, которая позволяет получить доступ к защищенным системам или хранимым конфиденциальным данным.

Сканирование уязвимостей и тесты на проникновение работают вместе для повышения безопасности сети. Сканирование уязвимостей дает возможность еженедельно, ежемесячно или ежеквартально анализировать вашу сетевую безопасность, а тесты на проникновение предлагают более тщательное изучение вашей сетевой безопасности.

КАК РАБОТАЮТ СКАНЕРЫ УЯЗВИМОСТИ?

В отличие от антивирусного ПО, сканер уязвимостей не проверяет все сетевые файлы. Ваш сканер должен быть настроен для сканирования определенных интерфейсов, таких как внутренние или внешние IP-адреса (например,g., порты и сервисы), на наличие уязвимостей.

Технология сканирования уязвимостей включает в себя различные инструменты и сценарии, предназначенные для проверки уязвимостей. Эти инструменты могут включать в себя инструменты, управляемые утвержденным поставщиком сканирования PCI (ASV), сценарии командной строки, интерфейсы GYI, технологии с открытым исходным кодом и инструменты сканирования (например, Nessus).

Инструменты сканирования запускают серию сценариев «если-то» в ваших системах (т. Е. Сканирование уязвимостей), выполнение которых обычно занимает 1-3 часа.

Эти сценарии «если-то» должны определять системные настройки или действия, которые могут привести к эксплуатации системы.Например, если при сканировании проверяются устаревшие версии операционной системы и обнаруживается операционная система Windows XP на рабочей станции, она помечается как уязвимая.

Сканирование уязвимостей разработано так, чтобы быть ненавязчивым, подобно тому, как специалист по безопасности проверяет, открыта ли ваша входная дверь, и сообщает вам, открыта ли она (не входя в вашу среду). Сканирование уязвимостей выполняет поиск в вашей сети и предоставляет записанную сводку предупреждений, которую вы можете предпринять. В отличие от тестирования на проникновение, сканирование уязвимостей не использует уязвимости в вашей сети.

Просматривая результаты сканирования, вы можете заметить общие числа уязвимостей и уязвимостей (CVE) в своих предупреждениях или отчете. Если у вас есть вопросы об этих записях CVE, посетите Национальную базу данных уязвимостей, чтобы помочь вам определить и определить приоритеты ваших рисков, если ваш продукт / поставщик не предлагает это для вас.

7 СОВЕТОВ ПО УПРАВЛЕНИЮ УЯЗВИМОСТЬМИ

При управлении сетевой безопасностью план управления уязвимостями жизненно важен для обеспечения безопасности и соблюдения нормативных требований вашей организации.Следуйте этим 7 советам, чтобы лучше всего обнаружить существующие и потенциальные слабые места в вашей сети.

1. ПОДТВЕРДИТЕ ВАШУ ОБЛАСТЬ ПРИМЕНЕНИЯ

PCI DSS требует, чтобы вы выполняли сканирование уязвимостей в сетях, процессах и системах в рамках проверки. Охватываемые системы напрямую участвуют в среде данных о держателях карт (CDE), что означает, что компонент системы хранит, обрабатывает или передает данные о держателях карт. Система также может находиться в том же сегменте сети, что и системы, работающие с данными держателей карт.

Все эти типы систем являются частью CDE, и они должны соответствовать всем применимым требованиям PCI DSS для защиты данных о держателях карт.

Примеры систем, рассматриваемых в рамках:

• POS-устройства
• Серверы, содержащие данные карты
• Межсетевые экраны, обеспечивающие сегментацию CDE

При определении области действия PCI DSS вам следует проконсультироваться со специалистом по безопасности, например PCI DSS Квалифицированные оценщики безопасности (QSA). Если вы неправильно определите масштаб своей среды, при сканировании могут быть пропущены важные сети и то, что необходимо сканировать, чтобы подтвердить соответствие требованиям PCI.

Большинству небольших организаций не нужно беспокоиться об этой проблеме, потому что они обычно создают плоскую сеть (т.е.е., где все внутри сети может подключаться ко всему остальному). Когда в организациях есть плоские сети, необходимо сканировать всю их сеть.

Сложные сети, использующие сегментацию для уменьшения области действия стандарта PCI DSS, должны обращать внимание на то, как и если их область действия изменяется в течение года, а затем соответствующим образом корректировать сканирование уязвимостей.

2. ЗАПУСК СКАНИРОВАНИЯ ВНЕШНЕЙ УЯЗВИМОСТИ

Внешнее сканирование должно выполняться поставщиком сканирования, утвержденным PCI (ASV), для проверки соответствия требованиям PCI.

ASV должен проходить тщательный ежегодный процесс повторной сертификации, во время которого каждый ASV запускает свой инструмент сканирования PCI на одобренных Советом PCI сайтах, пронизанных уязвимостями, чтобы проверить, какие уязвимости инструмент находит и / или пропускает.

Но только то, что ASV выполняет сканирование внешних уязвимостей, не означает, что ваша организация в безопасности. После получения отчета о сканировании вы несете ответственность за исправление всех обнаруженных уязвимостей, а затем повторное сканирование до тех пор, пока уязвимости не будут должным образом устранены.

3. ЗАПУСКАТЬ СКАНИРОВАНИЕ ВНУТРЕННЕЙ УЯЗВИМОСТИ

Одно из самых больших заблуждений при сканировании уязвимостей заключается в том, что думают: «Если мой ASV выполняет сканирование PCI, это должно означать, что я соблюдаю требования». Если ваш ASV в настоящее время выполняет внешнее ежеквартальное сканирование, имейте в виду, что он, скорее всего, не обрабатывает ваше внутреннее ежеквартальное сканирование уязвимостей.

У вас может быть инструмент или устройство внутреннего сканирования уязвимостей (например, SecurityMetrics ’Vision), настроенное в вашей сети с помощью ASV, но есть вероятность, что они не обрабатывают и не отслеживают ваши внутренние требования к сканированию уязвимостей.Убедитесь, что ваше внутреннее сканирование уязвимостей действительно выполняется в обычном порядке.

Существует множество инструментов, которые помогут вам выполнить внутренние требования к сканированию уязвимостей. Например, вы можете:

• Приобрести инструмент сканирования внутренних уязвимостей у вашего ASV или другого поставщика услуг
• Загрузить инструмент сканирования внутренних уязвимостей с открытым исходным кодом

Имейте в виду, что инструмент, который вы используете, по-прежнему должен быть настроен специалист по безопасности после покупки или загрузки.Если вы приобретаете инструмент / устройство для сканирования уязвимостей, услуга ИТ-поддержки обычно включается. Если вы загружаете инструменты сканирования, найдите время, чтобы изучить и внедрить передовые методы настройки.

Помните, ваша организация отвечает за внутреннее сканирование уязвимостей от начальной загрузки / покупки, настройки, фактического сканирования, анализа предупреждений до управления уязвимостями.

4. НЕЗАВИСИМОЕ И КВАЛИФИЦИРОВАННОЕ ТЕСТИРОВАНИЕ

Сканеры внутренних уязвимостей должны обрабатываться только квалифицированным лицом, независимо от просканированной цели (например,г., устройство, компонент, сеть).

По сути, человек, управляющий вашим сканером уязвимостей, должен быть отдельным от человека, управляющего и / или устраняющего любые обнаруженные уязвимости.

Например, если запустить внутреннее сканирование ваших брандмауэров, вы можете выбрать квалифицированного специалиста по безопасности (например, ваш ASV) или квалифицированного сотрудника, который не отвечает за администрирование брандмауэра. Обычно, если сотрудник не является независимым от сканируемой системы, он не может запустить сканирование.

Неважно, если у вас всего один ИТ-сотрудник, который выполняет работу 15 сотрудников. Если они не являются независимыми от управления системой, им не следует проводить сканирование.

5. РЕГУЛЯРНО ВЫПОЛНЯЙТЕ СКАНИРОВАНИЕ УЯЗВИМОСТИ

Каждая организация должна проводить ежеквартальное внутреннее и внешнее сканирование. Если бы у вас была только одна цель, это было бы восемь полных сканирований в год (то есть одно внутреннее и одно внешнее сканирование в квартал).

Многие организации регулярно проводят ежеквартальное сканирование внешних уязвимостей, но часто упускают из виду проведение внутреннего сканирования уязвимостей.Другие считают, что сканирование уязвимостей — это случайная выборочная проверка, направленная на устранение неотложных проблем (например, программы-вымогателя WannaCry).

Помните, что Требование 11.2 требует, чтобы вы выполняли не менее четырех прохождений сканирования внешних уязвимостей в год (т. Е. По одному в квартал) и четыре прохождения сканирования внутренних уязвимостей в год (т. Е. По одному в квартал), и все ваши сканирования должны находиться в преходящем состоянии.

Многие поставщики допускают неограниченное сканирование уязвимостей для одной цели, поэтому, если первое сканирование завершится неудачно, обязательно устраните уязвимости своей сети, а затем повторите сканирование до тех пор, пока не пройдете проверку.Скорее всего, помимо ежеквартальных проверок уязвимостей, вам потребуется выполнить дополнительное сканирование.

В среднем клиентам SecurityMetrics потребовалось 1,68 сканирования и 11 дней, чтобы пройти сканирование.

6. ЗАПУСКАТЬ СКАНИРОВАНИЕ ПОСЛЕ ЗНАЧИТЕЛЬНЫХ ИЗМЕНЕНИЙ СЕТИ

Помимо ежеквартального сканирования уязвимостей, сканирование необходимо запускать после любого значительного изменения.

Что определяет существенное изменение? Значительное изменение зависит от того, как настроена ваша среда.Но в целом, «если обновление или модификация может позволить получить доступ к данным о держателях карт или повлиять на безопасность среды данных о держателях карт, то это можно считать значительным».

Сканирование после значительных изменений означает, что это должно произойти в разумные сроки. Если вы вносите существенные изменения в свою систему на следующий день после ежеквартального внутреннего или внешнего сканирования, проверьте свои изменения и просканируйте на этой неделе.

Вот несколько примеров значительных изменений:

• Добавление новых серверов или компонентов системы
• Изменение правил брандмауэра
• Изменение сетевых структур
• Изменение интерфейсов
• Перенос данных держателя карты на новый сервер
• Обновление продуктов
• Изменение вашего продукт брандмауэра
• Добавление промежуточного программного обеспечения (например,g., JBOSS)
• Удаление / установка новых систем, хранящих данные о держателях карт
• Добавление приложений шифрования

Вот несколько примеров несущественных изменений:

• Переключение продуктов контроля целостности файлов
• Смена антивирусных продуктов
• Удаление уволили административных сотрудников из конфигураций

7. УСТАНОВИТЕ ПЕРВЫЙ ПОДХОД

Когда дело доходит до получения поддержки со стороны руководства, ИТ-отделы часто сталкиваются с проблемами при обеспечении соблюдения политик и процедур, связанных с безопасностью.

Ваша ИТ-группа должна получить одобрение и поддержку со стороны руководства для регулярного сканирования уязвимостей и внесения необходимых организационных изменений при обнаружении уязвимостей.

Помните, что вашей ИТ-группе потребуется значительное количество времени для исправления и восстановления после эксплуатации уязвимости (т. Е. Утечки данных), что окажет гораздо большее влияние на вашу организацию, чем время, необходимое для регулярного поиска и исправить уязвимости.

ЗАКЛЮЧЕНИЕ

Поскольку киберпреступники ежедневно открывают новые и творческие способы взлома предприятий, важно часто сканировать вашу сеть.

Помните, что сканирование уязвимостей — это не только поиск уязвимостей и сообщение о них. Речь также идет о создании повторяемого и надежного процесса устранения проблем.

После завершения сканирования уязвимостей крайне важно исправить все обнаруженные уязвимости в приоритетном порядке. Начните с расстановки приоритетов уязвимостей на основе риска и требуемых усилий; затем запускайте сканирование, пока результаты не будут чистыми.

О СИСТЕМАХ БЕЗОПАСНОСТИ

Мы помогаем клиентам закрыть пробелы в безопасности и соблюдении нормативных требований, чтобы избежать утечки данных.Наши группы судебной экспертизы, тестирования на проникновение и аудита выявляют передовые методы обеспечения безопасности и упрощают выполнение требований (PCI DSS, HIPAA, HITRUST, GDPR). В качестве утвержденного поставщика сканирования, квалифицированного эксперта по оценке безопасности, сертифицированного судебного следователя мы протестировали более 1 миллиона систем на безопасность.

https://www.securitymetrics.com/pci-audit

Что нужно знать о сканерах уязвимостей и инструментах сканирования

Что такое сканеры уязвимостей

Сканер уязвимостей — это автоматизированный инструмент, который идентифицирует и создает реестр всех ИТ-активов (включая серверы, настольные компьютеры, ноутбуки, виртуальные машины, контейнеры, межсетевые экраны, коммутаторы и принтеры), подключенных к сети.Для каждого актива он также пытается идентифицировать рабочие детали, такие как операционная система, которую он запускает, и установленное на нем программное обеспечение, а также другие атрибуты, такие как открытые порты и учетные записи пользователей. Сканер уязвимостей позволяет организациям отслеживать свои сети, системы и приложения на предмет уязвимостей безопасности.

Большинство групп безопасности используют сканеры уязвимостей, чтобы выявить уязвимости в своих компьютерных системах, сетях, приложениях и процедурах.Существует множество инструментов сканирования уязвимостей, каждый из которых предлагает уникальное сочетание возможностей.

Ведущие сканеры уязвимостей предоставляют пользователям информацию о:

1. Слабые места в их среде
2. Анализ степени риска каждой уязвимости
3. Рекомендации по устранению уязвимости

Перед покупкой инструмента сканирования уязвимостей важно точно понять, как сканирование будет способствовать вашей более широкой стратегии управления уязвимостями и безопасности.Традиционные инструменты сканирования уязвимостей могут сыграть важную роль в выявлении распространенных CVE, если сканирование проводится часто. Компании обычно проводят сканирование уязвимостей в своих сетях и устройствах последовательно, потому что по мере того, как их технологии, программное обеспечение и т. Д. Продолжают развиваться и претерпевать изменения, существует более высокий риск появления угроз.

Пять типов сканеров уязвимостей

Сканеры уязвимостей

можно разделить на 5 типов в зависимости от типа сканируемых активов.

Подробная информация о пяти типах сканеров оценки уязвимостей — 1. Сетевые сканеры 2. Сканеры хост-баз 3. Беспроводные сканеры 4. Сканеры приложений и 5. Сканеры баз данных

1. Сетевые сканеры

Сканеры сетевых уязвимостей выявляют возможные атаки на сетевую безопасность и уязвимые системы в проводных или беспроводных сетях. Сетевые сканеры обнаруживают неизвестные или неавторизованные устройства и системы в сети, помогают определить, есть ли в сети неизвестные точки периметра, такие как неавторизованные серверы удаленного доступа или подключения к незащищенным сетям деловых партнеров.

2. Хост-сканеры

Сканеры уязвимостей на основе хоста

используются для обнаружения и выявления уязвимостей на серверах, рабочих станциях или других сетевых узлах, а также для обеспечения большей наглядности настроек конфигурации и истории исправлений сканируемых систем. Инструменты оценки уязвимости на основе хоста также могут дать представление о потенциальном ущербе, который могут быть нанесены инсайдерами и посторонними после предоставления или принятия определенного уровня доступа к системе.

3.Беспроводные сканеры

Сканеры уязвимостей беспроводных сетей

используются для выявления несанкционированных точек доступа, а также для проверки того, что сеть компании надежно настроена.

4. Сканеры приложений

Сканеры уязвимостей приложений

тестируют веб-сайты, чтобы обнаружить известные уязвимости программного обеспечения и ошибочные конфигурации в сети или веб-приложениях.

5. Сканеры баз данных

Сканеры уязвимостей базы данных выявляют слабые места в базе данных, чтобы предотвратить злонамеренные атаки

Внешнее и внутреннее сканирование уязвимостей

Сканирование внешних уязвимостей может помочь организациям выявить и исправить уязвимости системы безопасности, которые злоумышленник может использовать для получения доступа к своей сети.Сканирование внешних уязвимостей выполняется извне сети организации и нацелено на ИТ-инфраструктуру, доступную в Интернете, включая веб-приложения, порты, сети и т. Д.

Внешнее сканирование может обнаружить уязвимости в защите периметра, такие как: —

• Открытые порты в сетевом брандмауэре
• Специализированный брандмауэр веб-приложений.

Сканирование внутренней уязвимости выполняется изнутри корпоративной сети.Это сканирование позволяет укрепить и защитить приложения и системы, не охваченные внешним сканированием. Внутреннее сканирование уязвимостей может обнаружить такие проблемы, как: —

1. Уязвимости, которые может использовать противник, прорвавший оборону периметра
2. Угроза, исходящая от вредоносного ПО, проникшего внутрь сети
3. Выявить «внутренние угрозы», исходящие от недовольных сотрудников или подрядчиков

Сканирование уязвимостей с проверкой подлинности и без проверки подлинности

Чтобы убедиться, что сканирование уязвимостей не прекращается, рекомендуется проводить сканирование уязвимостей как с проверкой подлинности, так и без проверки подлинности.В то время как сканирование с проверкой подлинности позволяет тестировщику войти в систему как пользователь и увидеть уязвимости с точки зрения доверенного пользователя, сканирование с проверкой подлинности делает обратное и предлагает точку зрения злоумышленника. Сканирование при любых обстоятельствах, опять же, гарантирует, что даже с постоянно развивающимися технологиями компании защищены от угроз.

Выходя за рамки сканирования с Balbix

Хотя использование многочисленных типов сканирования является важным шагом для снижения риска, эффективная программа оценки уязвимостей выйдет за рамки периодического сканирования.

Balbix постоянно и автоматически идентифицирует и создает инвентарь всех ИТ-активов, включая серверы, ноутбуки, настольные компьютеры, мобильные устройства, Интернет вещей и т. Д., А также анализирует и обнаруживает уязвимости на всей поверхности атаки предприятия. Он определяет и устанавливает приоритеты, какие уязвимости наиболее критичны для вашего бизнеса, на основе важности активов и их восприимчивости к более чем 100 векторам атак. Уязвимости распределяются по приоритетам на основе 5 факторов: серьезность, угрозы, подверженность активам, критичность бизнеса и меры безопасности, а затем отправляются владельцам рисков для автоматического или контролируемого смягчения.

В то время как сканеры уязвимостей предоставляют только снимок экрана риска с определенного момента времени, Balbix обеспечивает постоянный анализ всей поверхности атаки компании непрерывно и в режиме реального времени.

Что такое сканирование сетевых уязвимостей?

Сканирование уязвимостей — это проверка потенциальных точек использования уязвимостей на компьютере или в сети для выявления дыр в безопасности.

Сканирование уязвимостей обнаруживает и классифицирует слабые места системы в компьютерах, сетях и коммуникационном оборудовании и прогнозирует эффективность контрмер.Сканирование может выполняться ИТ-отделом организации или службой безопасности, возможно, в качестве условия, установленного каким-либо органом. Например, утвержденный поставщик сканирования (ASV) — это поставщик услуг, который сертифицирован и уполномочен Индустрией платежных карт (PCI) для сканирования сетей платежных карт. Сканирование уязвимостей также используется злоумышленниками для поиска точек входа.

Сканер уязвимостей запускается с конечной точки человека, проверяющего рассматриваемую поверхность атаки.Программное обеспечение сравнивает детали о целевой поверхности атаки с базой данных информации об известных дырах в безопасности в сервисах и портах, аномалиях в построении пакетов и потенциальных путях к уязвимым программам или скриптам. Программное обеспечение сканера пытается использовать каждую обнаруженную уязвимость.

Выполнение сканирования уязвимостей может быть сопряжено с определенными рисками, поскольку оно по своей сути нарушает работающий код целевой машины. В результате сканирование может вызывать такие проблемы, как ошибки и перезагрузки, что снижает производительность.

Существует два подхода к сканированию уязвимостей: сканирование с проверкой подлинности и сканирование без проверки подлинности. В методе без аутентификации тестер выполняет сканирование, как это сделал бы злоумышленник, без надежного доступа к сети. Такое сканирование выявляет уязвимости, к которым можно получить доступ без входа в сеть. При сканировании с аутентификацией тестировщик входит в систему как сетевой пользователь, обнаруживая уязвимости, доступные доверенному пользователю, или злоумышленнику, получившему доступ как доверенный пользователь.

По словам консультанта по безопасности Кевина Бивера, лучший план — провести оба типа сканирования: «Пока вы не протестируете свои системы со всех возможных сторон, вы просто не сможете с достаточной уверенностью сказать, где обстоят дела с безопасностью».

Посмотрите видео о том, как использовать TripWire SecureScan, бесплатный инструмент для поиска уязвимостей:

Что такое сканеры уязвимостей и как они работают?

Определение сканера уязвимостей

Сканеры уязвимостей — это автоматизированные инструменты, которые позволяют организациям проверять наличие слабых мест в безопасности их сетей, систем и приложений, которые могут подвергнуть их атакам.Сканирование уязвимостей является распространенной практикой в ​​корпоративных сетях и часто требуется отраслевыми стандартами и государственными постановлениями для улучшения состояния безопасности организации.

В области сканирования уязвимостей есть множество инструментов и продуктов, которые охватывают различные типы активов и предлагают дополнительные функции, которые помогают компаниям реализовать полную программу управления уязвимостями — комбинированные процессы, связанные с идентификацией, классификацией и устранением уязвимостей.

Сканирование внешних и внутренних уязвимостей

Сканирование уязвимостей может выполняться извне или внутри сети или оцениваемого сегмента сети. Организации могут запускать внешнее сканирование из-за пределов своего сетевого периметра, чтобы определить подверженность атакам серверов и приложений, доступных непосредственно из Интернета. Между тем, внутреннее сканирование уязвимостей направлено на выявление недостатков, которые хакеры могут использовать для латерального перехода к другим системам и серверам, если они получат доступ к локальной сети.

Простота получения доступа к частям внутренней сети зависит от того, как сеть настроена и, что более важно, сегментирована. По этой причине любую программу управления уязвимостями следует начинать с сопоставления и инвентаризации систем организации и классификации их важности на основе предоставляемого доступа и имеющихся данных.

Некоторые отраслевые стандарты, такие как Стандарт безопасности данных индустрии платежных карт (PCI-DSS), требуют от организаций ежеквартально выполнять сканирование как внешних, так и внутренних уязвимостей, а также каждый раз, когда устанавливаются новые системы или компоненты, изменяется топология сети, изменены правила брандмауэра или обновлены различные программные продукты.Внешнее сканирование должно выполняться с использованием инструментов от поставщика сканирования, утвержденного PCI (ASV).

В связи с повсеместным распространением облачной инфраструктуры в последние годы процедуры сканирования уязвимостей должны быть адаптированы для включения также размещенных в облаке активов. Внешнее сканирование особенно важно в этом контексте, поскольку неправильно настроенное и небезопасное развертывание баз данных и других служб в облаке было обычным явлением.

Сканирование уязвимостей следует дополнить тестированием на проникновение.Это разные процессы, которые разделяют цель выявления и оценки слабых мест в системе безопасности. Сканирование уязвимостей — это автоматизированное действие, основанное на базе данных известных уязвимостей, таких как CVE / NVD (поставщики сканирования поддерживают более полные базы данных), но обычно не включает использование выявленных уязвимостей. Между тем, тестирование на проникновение — это более сложный процесс, который включает ручное зондирование и использование специалистом по безопасности для моделирования действий настоящего злоумышленника.Это приводит к более точной оценке риска, создаваемого различными уязвимостями.

Сканирование уязвимостей с проверкой подлинности и без проверки подлинности

Сканирование уязвимостей может выполняться с проверкой подлинности и без проверки подлинности или с учетными данными и без них. Сканирование без учетных данных обнаруживает службы, которые открыты на компьютере по сети, и отправляет пакеты на их открытые порты, чтобы определить версию операционной системы, версию программного обеспечения, стоящего за этими службами, наличие открытых общих файловых ресурсов и т. Д. информация, доступная без аутентификации.На основе этих данных сканер выполняет поиск в базе данных уязвимостей и перечисляет уязвимости, которые могут существовать в этих системах.

При сканировании с проверкой подлинности используются учетные данные для входа в систему для сбора более подробной и точной информации об операционной системе и программном обеспечении, установленном на сканируемых машинах. Некоторые программы могут быть недоступны по сети, но все же могут иметь уязвимости, которые подвержены другим векторам атак, например открытию вредоносных файлов или доступу к вредоносным веб-страницам.Некоторые решения для оценки уязвимостей используют легкие программные агенты, развернутые на компьютерах, в дополнение к сетевым сканерам, чтобы получить лучшее представление о состоянии безопасности различных систем в организации.

Хотя сканирование с проверкой подлинности позволяет собирать более точную информацию и, следовательно, может обнаружить больше уязвимостей, чем сканирование без проверки подлинности, сканирование уязвимостей в целом дает некоторые ложноположительные результаты. Это связано с тем, что могут существовать уязвимости, которые были устранены с помощью различных обходных путей или средств управления безопасностью без установки исправлений и обновления версии уязвимого приложения.

В некоторых случаях сканирование уязвимостей может вызвать перегрузку сети или замедлить работу систем, поэтому они часто выполняются в нерабочее время, когда они с меньшей вероятностью могут вызвать сбои.

Уязвимости, обнаруженные сканерами, должны быть проверены, упорядочены и исследованы группами безопасности, и во многих случаях сканеры уязвимостей являются частью более крупных решений, которые предназначены для помощи во всем процессе управления уязвимостями.

Команды безопасности могут использовать тестирование на проникновение для проверки недостатков и более точного определения фактического риска, не полагаясь просто на оценки серьезности, указанные в базах данных уязвимостей.Тестирование на проникновение также проверяет эффективность других средств защиты, которые, возможно, уже существуют и могут помешать использованию проблемы безопасности. По словам поставщика управления уязвимостями Rapid7, вот некоторые из вопросов, которые группы безопасности должны задавать при оценке результатов сканирования уязвимостей:

• Является ли эта уязвимость истинным или ложным положительным результатом?
• Может ли кто-нибудь воспользоваться этой уязвимостью напрямую из Интернета?
• Насколько сложно использовать эту уязвимость?
• Есть ли известный опубликованный код эксплойта для этой уязвимости?
• Каким будет влияние на бизнес, если использовать эту уязвимость?
• Существуют ли какие-либо другие меры безопасности, которые снижают вероятность и / или влияние использования этой уязвимости?
• Сколько лет уязвимости / сколько времени она существует в сети?

Сканеры уязвимостей веб-приложений

Сканеры уязвимостей веб-приложений — это специализированные инструменты, которые могут обнаруживать уязвимости в веб-сайтах и ​​других веб-приложениях.В то время как сканер сетевых уязвимостей сканирует сам веб-сервер, включая его операционную систему, демон веб-сервера и различные другие открытые службы, такие как службы баз данных, работающие в той же системе, сканеры веб-приложений сосредотачиваются на коде приложения.

В отличие от сканеров сетевых уязвимостей, которые используют базу данных известных уязвимостей и неправильных конфигураций, сканеры веб-приложений ищут распространенные типы веб-недостатков, такие как межсайтовые сценарии (XSS), внедрение SQL, внедрение команд и обход пути.Таким образом, они могут найти ранее неизвестные уязвимости, которые могут быть уникальными для тестируемого приложения. Это также известно как динамическое тестирование безопасности приложений (DAST) и часто используется тестировщиками на проникновение.

Сканеры веб-приложений используются вместе со средствами статического тестирования безопасности приложений (SAST), которые анализируют фактический исходный код веб-приложений на этапе разработки в рамках жизненных циклов безопасной разработки (SDLC). Open Web Application Security Project (OWASP) поддерживает список инструментов DAST и SAST и запускает для них проект тестирования.

В зависимости от того, как они настроены, сканирование уязвимостей внешних веб-приложений может генерировать большой трафик, который может перегрузить сервер и привести к отказу в обслуживании и другим проблемам. По этой причине тестирование уязвимостей обычно интегрируется в процессы DevOps и QA с помощью так называемых инструментов интерактивного тестирования безопасности приложений (IAST), которые дополняют SAST и DAST. Это помогает выявлять уязвимости и небезопасные конфигурации до того, как приложения будут запущены в производство.

Непрерывное управление уязвимостями

При ежемесячном или ежеквартальном сканировании уязвимостей предоставляется только моментальный снимок во времени и не отражается состояние безопасности тестируемых систем между сканированиями. Это может привести к появлению значительных слепых зон, и именно поэтому индустрия безопасности рекомендует увеличивать частоту сканирования уязвимостей в рамках подхода, называемого постоянным управлением уязвимостями.

Центр интернет-безопасности (CIS), который поддерживает популярные системы контроля CIS, рекомендует еженедельное или более частое сканирование, но для повышения частоты сканирования необходимо увеличивать частоту установки исправлений.CIS рекомендует организациям внедрять инструменты и политики автоматического обновления программного обеспечения, чтобы их системы и приложения получали последние исправления безопасности как можно быстрее.

Некоторые поставщики также предлагают пассивные сканеры или датчики, которые непрерывно контролируют сеть, чтобы идентифицировать любые новые системы или приложения, добавляемые в среду. Это позволяет предприятиям немедленно сканировать эти активы и убедиться, что они не содержат уязвимостей, прежде чем будет запланировано их следующее сканирование в масштабе всей сети.

Несколько организаций выпустили руководство по сканированию уязвимостей и управлению ими, включая NIST, US-CERT, Институт SANS и NCSC Великобритании.

Copyright © 2020 IDG Communications, Inc.

Сравнение сканирования уязвимостей и тестирования на проникновение: в чем разница?

Меня поражает, сколько людей путают важность сканирования уязвимостей с тестированием на проникновение. Сканирование уязвимостей не может заменить важность тестирования на проникновение, а тестирование на проникновение само по себе не может защитить всю сеть.Оба они важны на своих уровнях, необходимы для анализа киберрисков и требуются такими стандартами, как PCI, HIPAA, ISO 27001 и т. Д.

Сравнение сканирования уязвимостей и тестирования на проникновение

Тестирование на проникновение использует уязвимость в архитектуре вашей системы, в то время как сканирование (или оценка) уязвимостей проверяет известные уязвимости и создает отчет о подверженности рискам.

Тестирование на проникновение или сканирование уязвимостей в основном зависит от трех факторов:

1. Объем
2. Риск и критичность активов
3. Стоимость и время

Тестирование на проникновение

Объем тестирования на проникновение является целевым, и в нем всегда присутствует человеческий фактор.Автоматического тестирования на проникновение не существует — тестирование на проникновение требует использования инструментов, а иногда и множества инструментов. Но для проведения тестирования на проникновение также требуется очень опытный человек. Хороший тестер на проникновение всегда в какой-то момент во время своего тестирования создает сценарий, изменяет параметры атаки или настраивает параметры инструментов, которые он или она может использовать.

Это может быть уровень приложения или сети, но зависит от функции, отдела или количества активов. Можно включить всю инфраструктуру и все приложения, но в реальном мире это непрактично из-за затрат и времени.Вы определяете свою область действия по ряду факторов, которые в основном основаны на риске и важности актива.

Тратить много денег на активы с низким уровнем риска, использование которых может занять несколько дней, нецелесообразно. Тестирование на проникновение требует высококвалифицированных знаний и поэтому стоит дорого. Тестировщики часто используют новую уязвимость или обнаруживают уязвимости, которые не известны обычным бизнес-процессам. Тестирование на проникновение обычно может занимать от нескольких дней до нескольких недель, оно часто проводится раз в год, а отчеты краткие и по существу.Вероятность выхода из строя у него выше среднего.

Сканирование уязвимостей

С другой стороны, сканирование уязвимостей — это процесс выявления потенциальных уязвимостей в сетевых устройствах, таких как межсетевые экраны, маршрутизаторы, коммутаторы, серверы и приложения. Он автоматизирован и ориентирован на поиск потенциальных и известных уязвимостей в сети или на уровне приложений. Он не использует уязвимости. Сканеры уязвимостей выявляют только потенциальные уязвимости; они не используют уязвимости.Следовательно, они не созданы для поиска эксплойтов нулевого дня. Возможности сканирования уязвимостей охватывают весь бизнес, поэтому для управления большим количеством активов требуются автоматизированные инструменты. Он шире по масштабам, чем тестирование на проникновение. Для эффективного использования продукта сканирования уязвимостей необходимы специальные знания о продуктах. Обычно им управляют администраторы или сотрудники службы безопасности, обладающие хорошими знаниями в области сетевых технологий.

Сканирование уязвимостей можно часто запускать на любом количестве ресурсов, чтобы убедиться, что известные уязвимости обнаружены и исправлены.Таким образом, вы можете быстро устранить более серьезные уязвимости для своих ценных ресурсов. Эффективный способ устранения уязвимостей — следить за жизненным циклом управления уязвимостями. Стоимость сканирования уязвимостей от низкой до умеренной по сравнению с тестированием на проникновение, и это детективный контроль, в отличие от превентивного тестирования, такого как тестирование на проникновение.

Управление уязвимостями может быть передано в управление исправлениями для эффективного исправления. Перед внедрением в производственную среду исправления необходимо протестировать на тестовой системе.

Органы управления и стандарты

Средства контроля и стандарты безопасности подчеркивают важность сканирования уязвимостей. Например, Центр контроля безопасности Интернета (CIS) № 3, «Непрерывное управление уязвимостями», призывает специалистов по безопасности «постоянно собирать, оценивать и принимать меры в отношении новой информации, чтобы выявлять уязвимости, устранять и минимизировать окно. возможностей для злоумышленников ».

Требование

11.2 Стандарта безопасности данных индустрии платежных карт (PCI DSS) касается сканирования.В нем указано, что вам необходимо «запускать сканирование внутренней и внешней сети на уязвимости не реже одного раза в квартал и после любых значительных изменений в сети».

Заключение

Как сканирование уязвимостей, так и тестирование на проникновение могут использоваться в процессе анализа киберрисков и помогать определять средства контроля, наиболее подходящие для бизнеса, отдела или практики. Все они должны работать вместе, чтобы снизить риск кибербезопасности. Очень важно знать разницу; каждый из них важен и имеет разные цели и результаты.

Обучение также важно, поскольку предоставление инструмента (ов) вашим сотрудникам службы безопасности не означает, что среда безопасна. Отсутствие знаний об использовании инструмента (ов) фактически представляет больший риск для безопасности. Глубокие знания инструментов безопасности позволят вашим командам повысить рентабельность инвестиций с точки зрения качества, получить хорошее представление о состоянии безопасности организации и сократить затраты и время, затрачиваемые на устранение ненужных неполадок.

Полное руководство по сканированию уязвимостей

назад к руководствам

В современном мире гиперподключений сообщения о кибератаках и утечках данных являются обычным явлением.В любую неделю года вы можете рассчитывать на то, что будете видеть сообщения о последних киберинцидентах. Учитывая, что средняя общая стоимость утечки данных составляет поразительные 3,92 миллиона долларов (согласно последнему анализу IBM), вы можете понять, почему кибербезопасность вызывает растущую озабоченность компаний во всем мире.

Сканирование уязвимостей — фундаментальный компонент всех хороших стратегий кибербезопасности, но он может быть сложным, и его сложно реализовать. Независимо от того, только ли ваша организация начинает свой путь к повышению безопасности или вы хотите улучшить существующие меры безопасности и узнать больше о передовых методах сканирования уязвимостей, в этом руководстве есть что-то для вас.

В этом руководстве вы узнаете: что такое сканирование уязвимостей, различные типы доступных сканеров уязвимостей, рекомендации по частоте сканирования уязвимостей, как выбрать сканер уязвимостей и как приступить к работе с выбранным вами продуктом. Итак, приступим.

У вас нет времени прочитать все руководство прямо сейчас?

Получите копию на свой почтовый ящик и прочтите ее, когда вам будет удобно. Просто сообщите нам, куда его отправить (это займет всего несколько секунд).

Что такое сканирование уязвимостей?

Сканирование уязвимостей — это, на простейшем уровне, использование программных инструментов для выявления и сообщения о проблемах безопасности (известных как уязвимости), которые влияют на ваши системы.

Сканеры уязвимостей часто имеют в своем распоряжении многие тысячи автоматизированных тестов, и, исследуя и собирая информацию о ваших системах, могут выявлять бреши в безопасности, которые могут быть использованы хакерами для кражи конфиденциальной информации, получения несанкционированного доступа к системам или для общего нарушение вашего бизнеса.

Вооружившись этими знаниями, организация, стремящаяся защитить себя, может предпринять действия по устранению обнаруженных слабых мест в системе безопасности. Этот общий непрерывный процесс выявления и устранения ваших слабых мест известен как Vulnerability Management .

Для кого нужны инструменты сканирования уязвимостей?

Заголовки новостей, как правило, сосредотачиваются на самых серьезных нарушениях безопасности, которые обычно затрагивают крупные организации. Так что вас простят за то, что вы думаете, что кибербезопасность — это проблема «большой компании».Однако, когда дело доходит до кибербезопасности, к сожалению, малость не означает безопасность.

В Великобритании недавний опрос, проведенный Ipsos Mori от имени правительства Великобритании, показал, что почти две трети (61%) средних и крупных предприятий выявили по крайней мере одну атаку или нарушение кибербезопасности за последние 12 месяцев. Тем не менее, более мелкие предприятия не являются исключением, из которых (32%) сообщили об атаке или взломе. Эти результаты показывают, что предприятия любого размера должны учитывать существующие угрозы и разрабатывать стратегию безопасности, которая им противостоит.

Возможно, вы не думаете, что у вас есть что-нибудь, что стоит взламывать. Но в 2020 году очень редко бизнес любого размера не полагается на технологии для работы. Будь то доставка маркетингового контента или контента блога через веб-сайт, работа с приложениями или услугами, доступными в Интернете, или просто ноутбуки, которые ваши сотрудники используют для работы; почти всегда существует ряд систем, которые можно атаковать. Все эти системы представляют собой поверхность для атак хакеров. Успешные нарушения затем приводят к атакам программ-вымогателей или даже к компрометации менее конфиденциальных данных (таких как имена и адреса), что может привести к исходу клиентов к конкурентам или огромному штрафу GDPR.

Разработка комплексной стратегии безопасности для смягчения этих угроз — это процесс, на который уйдут годы, и он должен постоянно меняться и адаптироваться по мере роста организации и развития ландшафта угроз. Сканеры уязвимостей предлагают отличную отправную точку, позволяя организации выявлять наиболее серьезные и наиболее явные технические недостатки, чтобы они могли отреагировать до того, как злоумышленник воспользуется преимуществом.

Короче говоря, каждый бизнес должен понимать свои слабые места в киберпространстве и устранять их.

Сканирование уязвимостей или тестирование на проникновение?

Сканирование уязвимостей — не единственный способ обнаружить уязвимости, которые влияют на системы вашей организации. Ручное тестирование на проникновение также является распространенным способом проверки ваших систем на наличие уязвимостей. Тем не менее, эти два метода довольно существенно различаются по тому, что они могут предложить и сколько они стоят, поэтому разумно задать вопрос, какие из них подходят для вашей организации и как часто их следует выполнять.

У каждого сканирования уязвимостей и тестирования на проникновение есть свои плюсы и минусы. Сканирование уязвимостей имеет то преимущество, что оно может выполняться автоматически и непрерывно с меньшими затратами, так что новые проблемы безопасности могут быть обнаружены вскоре после их появления. Между тем, тестирование на проникновение обычно выполняется на консультационной основе, и оно сопряжено с накладными расходами по времени и расходам, которые могут замедлить работу над проектами или оказаться непомерно высокими с точки зрения частоты выполнения тестирования. Однако ручное тестирование на проникновение, выполняемое опытными и квалифицированными специалистами, может выявить более сложные или специфические для бизнеса проблемы безопасности, для обнаружения которых требуется человеческий уровень понимания.

У каждого свое место, и, если позволяет бюджет, безусловно, лучше всего использовать и то, и другое. Однако организациям, которые впервые хотят начать защищать свой бизнес, мы рекомендуем сначала настроить сканер уязвимостей и регулярно тестировать открытую для вас поверхность атаки. Такой способ начала работы имеет наибольший смысл, поскольку тестеры на проникновение также используют сканеры уязвимостей как часть своего предложения, и нет особого смысла платить профессионалу за то, что он скажет вам то, что вы могли бы узнать сами.Что еще более важно, если вы можете позволить себе запускать тест на проникновение только один раз в год, вы останетесь подвержены ошибкам конфигурации и новым уязвимостям в течение всего времени между тестами.

Если вам интересно узнать больше об этой дискуссии, мы написали статью, в которой более подробно обсуждаются различия между тестированием на проникновение и сканированием уязвимостей.

Начало работы со сканированием уязвимостей

Определение области

Чтобы использовать сканер уязвимостей, вам сначала нужно знать, на что вы собираетесь его указывать.Это может показаться простым, но если вы новичок в сканировании уязвимостей, вы можете обнаружить, что не существует централизованного учета систем, за которые отвечает ваша организация. Если это так, пора начать отслеживать — если вы не знаете, что у вас есть, вы не сможете это защитить!

Управление активами

Хорошей практикой для организаций является ведение централизованного учета систем, которыми они управляют (обычно называемые Asset Management ).Очень важно идти в ногу с вашей организацией по мере ее роста или изменений. По мере того, как новые системы запускаются или существующие меняют свои IP-адреса или домены, поддержание вашей документации в актуальном состоянии поможет убедиться, что системы не упадут в пробелы и не упустят всю тяжелую работу, которую ваш сканер вкладывает в идентификацию. ваши слабые места в безопасности.

Если вы используете современные облачные системы для некоторых из своих объектов, это может в некоторой степени помочь, и современные сканеры уязвимостей смогут подключиться к вашим облачным учетным записям, чтобы упростить этот процесс.Тем не менее, у вас, несомненно, будут некоторые системы, которые находятся за пределами этого (по крайней мере, устройства сотрудников, граничные маршрутизаторы и брандмауэры), поэтому вести реестр активов все же неплохо.

Стратегии определения объема

Теперь вы знаете, что у вас есть, как вы решаете, что сканировать?

Организации обычно развертывают ряд систем, от ноутбуков и рабочих станций в офисе или дома до систем на облачных платформах, таких как AWS, Azure и Google Cloud. Решить, что включить в сканирование, может быть нелегко, но есть несколько способов решить эту проблему.Здесь мы представляем три стратегии: на основе воздействия, на основе чувствительности и на основе покрытия:

На основе воздействия

Любая из ваших систем, которые общедоступны через Интернет, эффективно доступны для атак 24 часа в сутки. В результате злоумышленники постоянно сканируют эти системы на наличие уязвимостей. Фактически, даже неквалифицированные злоумышленники могут автоматически сканировать весь Интернет на предмет слабых мест, используя бесплатно загружаемые инструменты.

Допустим, ваша компания является технологическим стартапом и предлагает своим клиентам услуги через Интернет.Это может быть веб-сайт, веб-приложение или что-то еще, размещенное в Интернете. Хотя при нормальных обстоятельствах доступ к этим приложениям может быть защищен, всего одна слабость или ошибка, возникающая в одной из этих систем, может привести к немедленной утечке данных. Поскольку именно эти системы изо дня в день сканируются злоумышленниками, в идеале вам нужно делать то же самое, чтобы найти эти проблемы с безопасностью до того, как они это сделают.

Серьезные уязвимости в общедоступных системах обычно используются очень быстро.Чтобы представить это в перспективе, давайте взглянем на недавнюю атаку, основанную на уязвимости Citrix, обнаруженной в декабре 2019 года. Уязвимость (CVE-2019-19781) была использована для атаки на валютную компанию Travelex в канун Нового года, нацеленную на служба VPN с выходом в Интернет. Злоумышленники добились успеха и нанесли серьезный ущерб компании, включая шифрование их систем с помощью вредоносных программ и требование выкупа. Вызывает тревогу то, что атаки произошли всего через двенадцать дней с момента публичного раскрытия уязвимости.Этот громкий пример служит напоминанием о том, насколько важно регулярное сканирование внешних уязвимостей и как в одночасье могут возникнуть слабые места, которых раньше не было, с далеко идущими последствиями.

На основе чувствительности

Возможно, у вашей компании не так много конфиденциальных данных в Интернете. Может случиться так, что ваш основной веб-сайт содержит только маркетинговую информацию, но вся ваша конфиденциальная информация о клиентах хранится в центральном хранилище, где-то за брандмауэром (будь то портативный компьютер человека или сетевой файловый ресурс).Если ущерб репутации, причиненный повреждением веб-сайта, вас не беспокоит, то в этом случае вы можете решить, что имеет смысл выполнить сканирование уязвимостей в системах, в которых хранятся конфиденциальные данные, чтобы убедиться, что они максимально защищены. против нападений.

На основе покрытия

После рассмотрения того, что находится в Интернете и где хранятся ваши наиболее конфиденциальные данные, стоит учесть, что системы других компаний все еще готовы для взлома.Уязвимости могут существовать в любой из ваших систем, и как только злоумышленник взламывает одну систему, его следующий шаг часто заключается в использовании этой позиции в качестве плацдарма для запуска новых атак.

Например, хакеры могут взломать портативный компьютер сотрудников, отправив электронные письма, содержащие вредоносные файлы (или ссылки на вредоносные веб-сайты), которые используют уязвимости в системе, в которой они открыты. Если устройство успешно взломано, его можно использовать для сканирования других систем в той же сети, чтобы использовать уязвимости и в них.В качестве альтернативы информация или доступ к другим системам, полученные с портативного компьютера, могут быть использованы в дальнейших атаках.

По этой причине часто имеет смысл попытаться охватить как можно больше систем, особенно там, где получение доступа к одной системе может привести к взлому других.

Какой из этих подходов подходит вам, будет зависеть от ваших бизнес-ресурсов, а также от того, где и как хранятся ваши наиболее конфиденциальные данные — часто правильным ответом будет сочетание всех трех.

Различные типы сканирования уязвимостей

Существует множество типов сканеров уязвимостей, которые выполняют различные задачи безопасности и охватывают ряд различных сценариев атак.Например, злоумышленник может проникнуть в вашу внутреннюю сеть через уязвимость на открытом веб-сервере или через непропатченное программное обеспечение на рабочей станции сотрудника. Выявление этих различных векторов атак требует разных сценариев использования сканеров уязвимостей, и каждый из них не всегда поддерживается, поэтому стоит учесть риски для вашего бизнеса и найти подходящий сканер. В этом разделе более подробно рассматриваются различные варианты использования.

Основные типы

Основные типы сканеров уязвимостей, которые вы увидите:

• Сетевые сканеры уязвимостей
• Агентные сканеры уязвимостей
• Сканеры уязвимостей веб-приложений

Сетевые сканеры уязвимостей

Сканеры сетевых уязвимостей

называются так потому, что они сканируют ваши системы по сети, отправляя зонды для поиска открытых портов и служб, а затем исследуя каждую службу дополнительно для получения дополнительной информации, слабых мест конфигурации или известных уязвимостей.То, как это работает, может быть разным: вы можете установить аппаратное устройство внутри своей сети или развернуть виртуальное устройство на виртуальной машине, а затем запустить сканирование с этой машины по отношению ко всем остальным в сети.

Одним из очевидных преимуществ сканеров сетевых уязвимостей является то, что их можно быстро настроить, просто установите сканер и приступайте к сканированию. Однако они могут быстро усложняться, когда дело доходит до обслуживания, поддержания устройств в актуальном состоянии и обеспечения их согласованности с изменениями в вашей сети.Это особенно верно по мере того, как ваши сети становятся более сложными и количество сканеров, необходимых вам, увеличивается для покрытия каждого сегмента сети.

Внутренние и внешние

Сетевые сканеры часто настраиваются либо на сканирование «внутренних» сетей, либо «внешних» сетей.

Как правило, чем больше и сложнее становятся ваши частные сети, тем важнее также рассмотреть возможность использования внутреннего сетевого сканера, который может проверить ваши внутренние системы на наличие слабых мест, которые могут привести к компрометации одной система превращается в более широкую брешь.

Небольшие организации с гораздо более современными цифровыми технологиями, возможно, не решат внедрять внутреннее сканирование на раннем этапе, например, те, у которых все серверы находятся в облаке и простая частная сеть только для доступа в Интернет. Тем не менее, эти организации по-прежнему выиграют от внутреннего сканирования на основе агентов, так что уязвимости на устройствах сотрудников могут быть обнаружены для исправления.

Сканирование внешней сети

Сканирование внешних уязвимостей — это просто сканирование ваших систем извне.На самом деле это означает, что зонды сканера поступают с ненадежного интернет-адреса, который находится за пределами частных сетей вашей организации. Они имитируют действия удаленного злоумышленника, смотрящего на то, какие системы и услуги предлагаются через Интернет, и начинают с поиска уязвимостей в ваших уязвимых системах.

Хотя объем информации, который может быть обнаружен с помощью этих сканирований, может быть ограничен по сравнению с другими типами, описанными ниже, они также могут быть очень полезными для понимания того, что могут увидеть злоумышленники.Это потому, что, если злоумышленник видит слабое место, весьма вероятно, что он воспользуется им.

Некоторые сканеры уязвимостей хорошо настроены, чтобы справиться с этой ситуацией, и имеют готовые сканеры в облаке, поэтому развертывание или управление вашими собственными системами не требуется. Их можно просто указать и щелкнуть. Другим может потребоваться настроить собственное сканирующее устройство и управлять им на постоянной основе. Хотя такие услуги могут быть дешевле, накладные расходы иногда могут не оправдать разницы в стоимости.

Сканирование внутренней сети

Сканирование внутренней сети на уязвимости предназначено для поиска слабых мест в системах, которые не открывают порты или службы для доступа в Интернет. Этот вид сканирования уязвимостей помогает скрыть ряд сценариев атак, которые не могут быть отсканированы внешними сканерами уязвимостей. Например, если на корпоративном ноутбуке используется устаревшая версия браузера Firefox, компьютер может быть уязвим для атак, если пользователя убедят посетить вредоносный веб-сайт.Точно так же могут быть уязвимости в портах или службах, которые устройство предоставляет в частной сети (например, слабые места в службе SMB), которые также не могут быть обнаружены внешним сканером.

Внутренние сетевые сканеры в целом работают так же, как и внешние сетевые сканеры, за исключением того, что сканирующее устройство находится во внутренней сети, поэтому можно оценивать службы и устройства, которые открывают себя только в частной сети.

Внутреннее сканирование может быть полезно для выявления потенциально уязвимых устройств, о которых не было известно заранее, поскольку они могут сканировать весь диапазон сети.Однако они могут быть крайне неэффективными при предоставлении подробной информации, если им не предоставлены учетные данные для входа в систему и запроса конкретных данных исправлений и конфигурации. Это известно как «сканирование с проверкой подлинности».

Сканирование с проверкой подлинности может предоставить гораздо более подробную информацию об уязвимостях, но его сложно настроить и поддерживать. По этой причине популярной альтернативой является запуск «агентных» сканеров.

Сканеры на основе агентов

Сканирование на основе агентов выполняется путем установки облегченных программных сканеров на каждом покрываемом устройстве, которые могут запускать локальное сканирование уязвимостей и сообщать результаты на центральный сервер.

Так же, как и сканирование сети с проверкой подлинности, этот тип сканера может обнаруживать широкий спектр уязвимостей, включая слабые места в программном обеспечении, которое вообще не предоставляет порты или службы для удаленного доступа (например, уязвимая версия Firefox) . Хотя установка агентов в вашей цифровой недвижимости может занять немного больше времени, у них есть то преимущество, что после установки они могут сообщать об этом, даже если они удалены из сети (например, ноутбуки, взятые для работы на дому).

Оба типа внутреннего сканера имеют свои ограничения и преимущества. Для современных организаций с простыми внутренними сетями и большей частью инфраструктуры в облаке логичным выбором будет агентный сканер. Для организаций со сложными внутренними сетями выбор того, какой тип использовать, немного сложнее, а для наиболее зрелых организаций — и там, где позволяет бюджет — следует рассмотреть возможность развертывания комбинации обоих типов сканеров. Для полного обсуждения преимуществ и недостатков агентных и сетевых сканеров мы написали статью, в которой содержится более подробное описание.

Контекстно-зависимые сканеры

Некоторые сканеры можно использовать для проверки слабых мест как с внешней, так и с внутренней точки зрения, но не все могут сообщать о проблемах в контексте того, где была обнаружена уязвимость. Многие сканеры, оборудованные для выполнения внутреннего и внешнего сканирования, не обращают внимания на проблемы безопасности, возникающие из-за технологий, которые обычно не должны подвергаться внешнему воздействию.

Например, хорошо известная программа-вымогатель WannaCry распространялась с использованием служб SMB, подключенных к Интернету (служба, разработанная для локальных сетей).Это пример службы, которая никогда не должна быть доступна в Интернете, но многие ведущие сканеры уязвимостей не выделяют это как проблему безопасности, поскольку они не добавляют контекст к результатам в зависимости от того, было ли сканирование с внутренней или внешней точки зрения. .

Если у вас есть специалисты по безопасности, которые могут проанализировать результаты ваших сканирований, это может не вызывать беспокойства, но вы также должны помнить, что это может быть повторяющаяся работа, и их время может быть лучше потрачено в другом месте.

Сканеры веб-приложений

Сканеры уязвимостей веб-приложений — это специализированный тип сканера уязвимостей, который фокусируется на обнаружении слабых мест в веб-приложениях и веб-сайтах. Традиционно они работают, «просматривая» сайт или приложение аналогично поисковой системе, отправляя ряд зондов на каждую страницу или форму, которые она находит, для поиска слабых мест.

Многие сканеры уязвимостей включают сканирование веб-приложений как часть своего предложения, хотя его можно лицензировать отдельно.Другие предназначены исключительно для сканирования веб-приложений, в то время как некоторые поставщики включают его вместе с рядом других проверок.

Возможно, вам стоит обратить внимание на то, может ли сканер выполнять сканирование веб-приложений с проверкой подлинности или нет. Сканирование с аутентификацией — это сканирование приложения за страницей входа в систему с точки зрения злоумышленника или злоумышленника с учетными данными для входа в приложение.

Из-за большого объема бизнес-логики и сложности, которые входят в создание веб-приложений, даже самые лучшие сканеры уязвимостей, представленные сегодня на рынке, не могут эффективно выявлять некоторые недостатки приложений, и они, к сожалению, не могут приблизиться к специалистам-людям. на огрехи вручную.Важно понимать, в чем они хороши, а с чем борются.

Как правило, они хорошо выявляют очевидные слабые места (например, простые SQL-инъекции и недостатки межсайтового скриптинга). Недостатки, которые менее легко использовать, не могут быть надежно обнаружены, в частности:

• Слабые стороны контроля доступа (например, несанкционированный доступ к информации, для которой требуется учетная запись с более высокими привилегиями)
• Раскрытие конфиденциальной информации (сканеры часто могут обнаружить эту информацию, но не всегда можно сказать, что это чувствительно!)
• Недостатки многоэтапных рабочих процессов (например, многостраничных форм).
• Слабые стороны, связанные с хранением полезной нагрузки, которая выполняется где-то еще (например, постоянное межсайтовое выполнение сценариев)
• Слабости на основе сеанса (слабые места в механизмах, используемых для управления аутентификацией пользователей)

Десять лучших по OWASP

Проект OWASP имеет давно стали популярным ресурсом по уязвимостям веб-приложений, и каждые несколько лет они публикуют «Десять самых распространенных недостатков» веб-приложений. Из 10 проблем, перечисленных OWASP в последней версии документа, многие либо плохо обнаруживаются сканерами веб-приложений, либо могут быть надежно обнаружены только определенные типы недостатков.

Одностраничные приложения

Современные одностраничные приложения сложны для автоматизированных сканеров, поскольку они не могут должным образом обнаруживать и генерировать законные запросы приложений для выполнения своих тестов.

Ложные срабатывания

Проверка того, являются ли уязвимости ложными срабатываниями, является сложной задачей для автоматического сканера, и большинство из них не пытается это сделать. В результате вы можете пролистать длинные списки не связанных с проблемами проблем, которые могут быстро превратиться в трудоемкий процесс.

Автоматические сканеры, безусловно, способны обнаруживать подлинные проблемы безопасности веб-приложений, но они вряд ли смогут обнаружить все и не должны быть единственной применяемой защитой. Мы рекомендуем регулярно проверять веб-приложения на проникновение, в том числе там, где есть сканер веб-приложений. Эта стратегия — более надежный способ обнаружения широкого спектра слабых мест, и, если позволяет бюджет, это лучшая практика.

Выбор сканера уязвимостей

Выбор подходящего сканера уязвимостей может быть трудным, а диапазон качества продуктов для сканирования уязвимостей является значительным и не всегда прозрачным.Вы будете полагаться на выбранный вами сканер, чтобы ежедневно предотвращать атаки, так как вы узнаете, что оцениваемый вами сканер эффективен, и как вы должны сравнивать один с другим? Ниже мы приводим несколько советов по комплексной проверке и передовых методов.

Попробуй

Большинство сканеров уязвимостей предлагают ограниченные бесплатные пробные версии, чтобы дать пользователю возможность привыкнуть к тому, как это работает, и к каким функциям. Это отличный способ познакомиться с продуктом, его функциями и удобством использования.Следующим логическим шагом будет запустить сканирование некоторых ваших собственных систем и посмотреть, что вернется. Если вы сравниваете несколько сканеров, неплохо было бы запустить их оба в одной и той же системе и посмотреть, что будет обнаружено. К сожалению, сопоставимое сравнение двух или более сканеров не всегда дает четкое представление о том, как они сравниваются. Например, один из проверяемых вами сканеров может возвращать больше проблем с безопасностью, которые являются ложными срабатываниями (проблемы, которые сканер ошибочно определил как проблему безопасности).Если в вашей команде нет возможности проверить, является ли проблема безопасности актуальной, этого упражнения может быть недостаточно.

Также стоит отметить, что в настоящее время с вашими системами может быть все в порядке, что снижает ценность проведения такого типа сравнения сканеров. Если системы, которые вы сканируете, не имеют большого количества проблем с безопасностью (о которых вы уже знаете), будет сложно оценить, насколько хорош сканер. Более того, многие сканеры уязвимостей заполняют свои результаты «информационными» проблемами, которые на самом деле не являются проблемами безопасности.Следите за ними и помните, что простое сравнение количества проблем, обнаруженных каждым сканером, не дает смысла. Вероятно, вам будет интересно узнать, какой сканер может найти наиболее серьезные проблемы с безопасностью, и лучший способ сделать это — просканировать известные уязвимые системы. Если у вас уже есть какие-либо системы с известными проблемами, они будут хорошими кандидатами для вашего тестового сканирования.

Узнайте, что может проверить сканер

Большинство сканеров уязвимостей предлагают список проблем безопасности, которые проверяет сканер.Это может быть хорошим способом помочь вам решить, какой сканер вам подходит. Изучив документацию сканера, вы можете убедиться, что он способен проверять наличие проблем с безопасностью в диапазоне программного обеспечения и приложений, составляющих цифровое имущество вашей организации. Ниже мы перечислили некоторые широкие классы уязвимостей, которые должен уметь проверять комплексный сканер уязвимостей, с некоторыми примерами:

Уязвимое программное обеспечение — Этот класс уязвимостей является самой большой категорией, поскольку он включает проверки известных слабых мест в все виды программного и аппаратного обеспечения сторонних производителей.Это слабые места, обнаруженные исследователями безопасности в определенных версиях конкретной технологии. Некоторыми примерами этого могут быть слабая версия веб-сервера Nginx, уязвимая служба FTP или слабые места в маршрутизаторе Cisco или VPN.

Уязвимости веб-приложений — это слабые места в ваших веб-приложениях. Существует множество уязвимых мест, которые можно использовать для получения несанкционированного доступа к информации, взлома веб-сервера или атаки на пользователей веб-приложений.Некоторыми примерами этого могут быть слабые места, такие как SQL-инъекция, межсайтовые сценарии и недостатки обхода каталогов.

Распространенные ошибки и неправильная конфигурация — это класс слабых мест, который включает определение программного обеспечения, которое было неправильно настроено, часто допускаемых ошибок и несоблюдения передовых методов безопасности. Некоторыми примерами из них могут быть открытые репозитории SVN / git, открытые ретрансляторы электронной почты и / или веб-сервер, настроенный для раскрытия конфиденциальной информации.

Слабые стороны шифрования — Сканеры уязвимостей могут выявить широкий спектр слабых мест в конфигурациях шифрования, используемых для защиты данных, передаваемых между вашими пользователями и серверами. Они должны включать проверки на наличие слабых мест в реализациях SSL / TLS, таких как использование слабых шифров шифрования, слабых протоколов шифрования, неправильная конфигурация сертификатов SSL и использование незашифрованных сервисов, таких как FTP.

Уменьшение поверхности атаки — Некоторые сканеры могут обнаруживать области, где вы можете уменьшить поверхность атаки.Это принцип публичного раскрытия только основных сервисов, которые вам абсолютно необходимы. Внешние сканеры уязвимостей могут идентифицировать порты и службы, которые могут представлять угрозу безопасности, оставляя их доступными для Интернета. Вот некоторые из них: открытые базы данных, административные интерфейсы и конфиденциальные службы, такие как SMB.

Утечка информации — Этот класс проверок сообщает об областях, в которых ваши системы передают информацию конечным пользователям, которая должна оставаться конфиденциальной.

Не все сканеры уязвимостей включают проверки для всех вышеперечисленных категорий, и в каждой категории количество и качество проверок также различаются. Некоторые сканеры ориентированы на один конкретный класс уязвимостей — например, уязвимости веб-приложений. Сканер, ориентированный на веб-приложения, не обязательно будет проверять недостатки уровня инфраструктуры, такие как известные уязвимости в используемом веб-сервере. Если вы используете только один сканер уязвимостей, безусловно, стоит убедиться, что он может обрабатывать все вышеперечисленное, чтобы в вашей системе безопасности не было пробелов.

Проверить основные функции

Диапазон сканеров уязвимостей, представленных на рынке, очень разнообразен, и каждый предлагает уникальный набор функций, которые предлагают различные основные функции, и «полезные вещи», которые являются несущественными, разработанными облегчить себе жизнь.

Перед тем, как выбрать сканер, стоит спросить себя, какие функции вам необходимы, а какие нет. Вооружившись этими знаниями, вам будет легче решить, какой продукт выбрать.Ниже мы перечислили некоторые функции сканера, которые вы, возможно, захотите рассмотреть:

• Планирование — можете ли вы запланировать сканирование в нерабочее время или в поддерживаемое время?
• Частота — как часто можно запускать сканирование?
• Отчетность — легко ли читать отчет и можете ли вы передать его заказчику?
• API — можете ли вы программно запустить сканирование после цикла разработки?
• Соответствие — соответствует ли сканер вашим требованиям?
• Облачные интеграции — интегрируется ли сканер с вашим облачным провайдером
• Профилактическое сканирование — Может ли сканер автоматически проверять ваши системы на наличие новейших угроз?

Отчетность

Отчетность — важный фактор, который необходимо учитывать самостоятельно.Отчет о безопасности, создаваемый сканером уязвимостей, может использоваться в двух основных случаях: ваши разработчики и инженеры по безопасности будут использовать его для устранения слабых мест в системе безопасности, и вам также может потребоваться использовать его для передачи вашим партнерам и клиентам в качестве доказательства ваших методов обеспечения безопасности.

Важно, чтобы проблемы безопасности, подробно описанные в отчете, содержали советы по исправлению ситуации на понятном языке, который можно было бы легко использовать для решения проблемы. Некоторые отчеты о сканировании уязвимостей трудны для чтения и понимания, в то время как другие представляют собой четкое и краткое описание проблемы безопасности вместе с простыми инструкциями о том, как установить исправление.

Потенциальные клиенты или партнеры часто просят предоставить доказательства безопасности. Передавая отчет о безопасности третьей стороне, вы должны убедиться, что можете легко передать хорошо отформатированный документ, который четко описывает все оставшиеся уязвимости и дает читателю хорошее представление о том, что было проверено. Большинство сканеров уязвимостей позволяют вам загрузить отчет в течение пробного периода, так что не забудьте взглянуть.

Цена

Цена и доступный бюджет всегда будут главными факторами при выборе сканера уязвимостей.Бюджеты кибербезопасности часто ограничены, и существует широкий спектр продуктов безопасности и других затрат, которые конкурируют за тот же бюджет, который будет потрачен на сканер уязвимостей. К счастью, большинство сканеров уязвимостей на рынке имеют справедливую цену по сравнению с тем, что они предлагают, так что в целом вы получаете то, за что платите. Тем не менее, некоторые сканеры уязвимостей дешевле, потому что они предлагают урезанный набор функций, которые могут вам не понадобиться, поэтому некоторые покупки, чтобы опробовать несколько разных сканеров, — это потраченное время не зря.

Сравнение цен на сканеры уязвимостей — это область, в которой тоже стоит действовать осторожно. Диапазон программного обеспечения, которое можно классифицировать как «сканер уязвимостей», огромен, а качество и диапазон предлагаемых ими проверок также сильно различаются. Если один из вариантов, который вы рассматриваете, значительно дешевле других, может потребоваться дополнительная комплексная проверка, чтобы убедиться, что он способен выполнять такой же диапазон проверок безопасности, что и другие, с которыми вы его сравниваете.

Лицензирование и сканирование на обнаружение

Большинство современных сканеров уязвимостей имеют модель ценообразования, которая зависит от количества систем, которые вы хотите охватить. Цена будет зависеть от типа сканера, который вы используете, и от того, какие функции вам требуются, но в целом с вас будет взиматься плата в зависимости от размера вашей цифровой недвижимости и количества сканируемых систем.

Как мы уже говорили в разделе «Определение объема» выше, у некоторых организаций могут возникнуть трудности с ответом на вопрос «сколько лицензий нам нужно?» на этом этапе, поскольку они могут не знать точно, за сколько живых систем они несут ответственность.Это может быть проблемой, тем более что ответ на этот вопрос может существенно повлиять на стоимость сканера. Многие сканеры могут помочь с этой проблемой, используя так называемое «обнаружительное сканирование». Обнаружение сканирования — это сканирование легким касанием, предназначенное для обнаружения, какие системы работают, а какие нет. Например, у вас может быть диапазон общедоступных IP-адресов, например 1.2.3.4/24, что соответствует 256 IP-адресам. Скорее всего, не все из них используются, и вы можете сэкономить на расходах, заплатив только за лицензии на сканирование уязвимостей для активных систем.

Здесь может быть полезно сканирование на обнаружение. Вы можете запустить простое сканирование своего диапазона IP-адресов, чтобы определить, какие из них отвечают — те, которые не отвечают на зонды на каком-либо порту, либо неактивны, либо не видны сканеру, поэтому вам не понадобятся лицензии для них. Некоторые современные сканеры могут сохранять для вас лицензии автоматически, выполняя сканирование с обнаружением и используя лицензии только в действующих системах. Эта функция может сэкономить как время, так и деньги, поскольку вы можете ввести все свои известные IP-адреса, а сканер будет взимать плату только за те, которые они в настоящее время используют.

Как часто сканировать ваши системы

Теперь, когда вы определились, какие системы должны входить в сферу охвата и какой тип сканера вам нужен, вы готовы приступить к сканированию. Итак, как часто в идеале следует проводить сканирование уязвимостей?

Это частично зависит от того, что вы сканируете и почему вы это делаете. Вот три стратегии, которые следует учитывать:

На основе изменений

Быстро развивающиеся технологические компании часто ежедневно вносят изменения в код или инфраструктуру, в то время как другие организации могут иметь относительно статичную настройку и не вносить регулярных изменений в какие-либо свои системы. .Новые уязвимости могут быть легко внесены в любую новую разработку, о которой вы захотите узнать. Это могло произойти из-за ошибки конфигурации или развертывания новых служб, содержащих неизвестные уязвимости. По этой причине запуск сканирования уязвимостей после внесения в ваши системы даже незначительных изменений является разумным подходом.

На основе гигиены

Даже если вы не вносите регулярные изменения в свои системы, все равно есть невероятно важная причина для регулярного сканирования ваших систем, которая иногда упускается из виду организациями, плохо знакомыми со сканированием уязвимостей: исследователи безопасности регулярно обнаруживать новые уязвимости в программном обеспечении всех видов, а открытый код эксплойта, упрощающий их эксплуатацию, может быть публично раскрыт в любое время.

Новые уязвимости обнаруживаются каждый день, поэтому, даже если в ваши системы не вносятся изменения, они могут стать уязвимыми в одночасье.

Ни одно программное обеспечение не освобождается от этого практического правила. Будь то ваш веб-сервер, операционная система, конкретная среда разработки, которую вы используете, ваш удаленно работающий VPN или брандмауэр.

Печально известная кибератака WannaCry показывает нам, что сроки в таких ситуациях могут быть сжатыми, и организации, которые не реагируют в разумные сроки для обнаружения и устранения своих проблем с безопасностью, подвергают себя риску.Microsoft выпустила патч для уязвимости, которую WannaCry использовала для распространения, всего за 59 дней до атаки. Более того, злоумышленники смогли создать эксплойт и начать компрометировать машины только через 28 дней после утечки публичного эксплойта. Также имейте в виду, что это пример сервиса, в который не производились разработки или изменения.

Если посмотреть на временные рамки только в этом случае, становится ясно, что отказ от сканирования уязвимостей и устранения проблем в течение 30–60-дневного периода сопряжен с большим риском.Использование сканера уязвимостей хотя бы раз в месяц позволяет избежать этих неприятных сюрпризов.

На основе соответствия

Если вы проводите сканирование уязвимостей в целях соответствия, то в конкретных нормативных актах часто прямо указывается, как часто следует выполнять сканирование уязвимостей. Например, PCI DSS требует ежеквартального внешнего сканирования систем, входящих в его объем. Тем не менее, Intruder рекомендует тщательно продумать стратегию сканирования, поскольку нормативные правила представляют собой универсальное руководство, которое может не подходить для вашего бизнеса.Простое сравнение этого 90-дневного регламента со сроками, показанными в приведенном выше примере WannaCry, показывает нам, что такие правила не всегда помогают избавиться от горчицы.

Подводя итог, можно сказать, что Intruder рекомендует проводить полное сканирование уязвимостей как минимум раз в месяц. Кроме того, важно запускать инкрементное сканирование при появлении новых изменений или разработок, а также при обнаружении новых серьезных уязвимостей.

Хотя большая часть этого может быть автоматизирована, ресурсы, необходимые для того, чтобы быть в курсе новостей безопасности и последних уязвимостей, могут быть недопустимыми для эффективного управления уязвимостями.Выбор сканера уязвимостей, который может автоматически проверять ваши системы на наличие новейших угроз, поможет снизить рабочую нагрузку и сделает вашу стратегию безопасности эффективной даже в условиях ограниченных ресурсов.

Запуск первых сканирований

Итак, допустим, вы выбрали, какой сканер использовать — отлично!

Вот несколько заключительных указаний, которые важно учесть, прежде чем вы зарегистрируетесь и начнете свое первое сканирование:

Доступны ли ваши системы для сканера?

Это может показаться очевидным, но это может быть простой ошибкой! Когда вы запускаете сканирование, сканер уязвимостей ничего не знает о ваших системах, поэтому, если он не обнаруживает какие-либо открытые порты или службы, он может сообщить об этом с чистого листа — никаких проблем.Если ваш брандмауэр блокирует сканер или сканируемые системы по иным причинам недоступны для сканера, то он не сможет обнаружить какие-либо проблемы с безопасностью. Когда вы проверяете результаты сканирования, это может быть не сразу очевидно, поэтому стоит подумать.

Системы предотвращения вторжений

Защищены ли какие-либо из ваших систем системой предотвращения вторжений (IPS / IDS) или брандмауэром веб-приложений (WAF)?

Некоторые технологии безопасности предназначены для защиты ваших систем, но вместо этого могут мешать вам максимально эффективно использовать сканер уязвимостей.Эти системы являются отличным дополнением к вашему пакету безопасности, но при неправильной настройке они могут повлиять на результаты сканирования и, возможно, даже незаметно заблокировать работу сканера уязвимостей. Эти системы предназначены для защиты от злоумышленников, но нет смысла позволять им блокировать попытки сканера уязвимостей выполнять свою работу, поэтому убедитесь, что вы настроили программное обеспечение безопасности, чтобы занести свой сканер в белый список. Внесение сканера уязвимостей в белый список может показаться нереальным (поскольку настоящие злоумышленники не включены в белый список), но на самом деле это наиболее надежный способ защиты ваших систем.

Рассмотрим ситуацию в будущем, когда в вашем WAF будет обнаружена уязвимость, которая позволит злоумышленнику обойти ее. Или, возможно, хакер уже скомпрометировал другую систему, которая уже внесена в белый список. Для защиты от этих типов атак ваш сканер уязвимостей должен иметь возможность сканировать под защитными слоями, чтобы вы могли почувствовать, как эти системы будут работать, если эти средства защиты не сработают.

Внесение сканера в белый список для обеспечения беспрепятственного доступа к вашим системам увеличит ваши шансы на успешное обнаружение проблем безопасности, которые в противном случае были бы заблокированы.Важно отметить, что системы IPS и другие защитные технологии, такие как WAF, являются хорошей дополнительной мерой, но на них не следует полагаться как на единственную защиту от атак. Хотя они, как правило, хорошо блокируют ряд атак, они не безупречны. Часто обнаруживаются способы обхода их защиты, и хакеры могут использовать методы, которые делают их атаки необнаруживаемыми для этих систем.

Наконец

Мы надеемся, что вы нашли полезную информацию о передовых методах сканирования уязвимостей в этом вводном руководстве от Intruder.Intruder предлагает бесплатную пробную версию нашего продукта для непрерывного мониторинга уязвимостей, поэтому, если вы хотите испытать наш продукт, вы можете начать здесь. Если у вас есть какие-либо вопросы о передовых методах сканирования уязвимостей или вы хотите узнать больше о комплексном сканере уязвимостей Intruder, свяжитесь с командой по адресу [email protected].

О Intruder

Intruder — это международная компания, занимающаяся кибербезопасностью, которая помогает организациям снизить их уязвимость в киберпространстве, предоставляя простое решение для сканирования уязвимостей.Облачный сканер уязвимостей Intruder обнаруживает слабые места в безопасности вашей цифровой недвижимости. Предлагая ведущие в отрасли проверки безопасности, непрерывный мониторинг и простую в использовании платформу, Intruder защищает предприятия любого размера от хакеров.

Компания Intruder, основанная в 2015 году, была удостоена ряда наград и наград, включая участие в программе Cyber ​​Accelerator от GCHQ. Intruder предоставляет высококачественные услуги кибербезопасности организациям всех форм и размеров, делая кибербезопасность простой и удобной в использовании без ущерба для сложности и глубины охвата.Благодаря включенному внешнему сканеру уязвимостей и внутреннему сканеру уязвимостей на основе агентов сканировать системы на всей вашей цифровой территории стало проще, чем когда-либо.

Обзоры и характеристики можно найти на G2 , или вы можете прочитать больше о Intruder здесь .

Автор:

Дэниел Эндрю

Что такое сканирование уязвимостей и как оно работает?

Если вы храните данные в сети своей организации, вы хотите, чтобы сеть была как можно более безопасной, без каких-либо уязвимостей, которые могут быть использованы злоумышленниками; следовательно, вам необходимо определить дыры и слабые места в вашей сети.

Сканирование уязвимостей, сопровождающее тестирование на проникновение и используемое для оценки, помогает выявить эти слабые места.

Что такое сканирование уязвимостей?

Сканирование уязвимостей, также известное как «сканирование уязвимостей», — это автоматизированный процесс упреждающего выявления уязвимостей сети, приложений и безопасности. Сканирование уязвимостей обычно выполняется ИТ-отделом организации или сторонним поставщиком услуг безопасности. Это сканирование также выполняется злоумышленниками, которые пытаются найти точки входа в вашу сеть.

Процесс сканирования включает в себя обнаружение и классификацию слабых мест системы в сетях, коммуникационном оборудовании и компьютерах. Помимо выявления дыр в безопасности, сканирование уязвимостей также предсказывает, насколько эффективны контрмеры в случае угрозы или атаки.

Служба сканирования уязвимостей использует часть программного обеспечения, работающего с точки зрения человека или организации, проверяющей рассматриваемую поверхность атаки. Сканер уязвимостей использует базу данных для сравнения деталей о целевой поверхности атаки.

База данных ссылается на известные недостатки, ошибки кодирования, аномалии построения пакетов, конфигурации по умолчанию и потенциальные пути к конфиденциальным данным, которые могут быть использованы злоумышленниками.

После того, как программное обеспечение проверяет возможные уязвимости в любых устройствах в рамках задания, сканирование генерирует отчет. Затем результаты отчета можно проанализировать и интерпретировать, чтобы выявить возможности для организации улучшить свою безопасность.

Категории сканирования сетевых уязвимостей

Сканирование сетевых уязвимостей можно разделить на категории в зависимости от сценариев использования:

• Интрузивные и ненавязчивые методы
• Сканирование внешних уязвимостей
• Сканирование внутренних уязвимостей
• Сканирование окружающей среды
• Методы сканирования

Мы различаем два метода сканирования: неинтрузивных сканирований уязвимостей и интрузивных оценок уязвимостей .Ненавязчивый метод выявляет уязвимость и генерирует отчет для пользователя, чтобы исправить ее. Если используется ненавязчивый метод сканирования, фактическая эксплуатация уязвимостей в ходе этого процесса не происходит: сканер пытается определить вероятность возникновения уязвимости в данных условиях. Однако при навязчивой оценке предпринимаются попытки использовать уязвимости после того, как они обнаруживаются во время сканирования и создается план атаки.

Основное преимущество интрузивного метода заключается в том, что при сканировании выявляется угроза безопасности, а также влияние эксплуатируемой уязвимости.С другой стороны, это сканирование может нарушить процессы и операционные системы в сети, что может вызвать проблемы как для клиентов, так и для сотрудников организации; поэтому интрузивное сканирование следует использовать с осторожностью.

Типы сканирования

Внешняя уязвимость сканирований нацелены на области ИТ-экосистемы, которые доступны в Интернете или не ограничены для внутреннего использования. Эти области могут включать приложения, порты, веб-сайты, службы, сети и системы, к которым имеют доступ внешние клиенты или пользователи.

При сканирований внутренних уязвимостей основной целью программного обеспечения является внутренняя корпоративная сеть. Как только агент угрозы проходит через брешь в безопасности, агент угрозы может сделать корпоративные системы уязвимыми. Эти сканирования ищут и идентифицируют уязвимости внутри сети, чтобы избежать повреждений, а также позволить организациям защитить и усилить безопасность систем и приложений, которые не обнаруживаются при внешнем сканировании.

Сканирование уязвимости окружающей среды основано на конкретной среде технологических операций предприятия.Эти сканирования уязвимостей являются специализированными и доступны для развертывания для различных технологий, таких как устройства Интернета вещей, веб-сайты, облачные службы и мобильные устройства.

Как работает сканирование уязвимостей?

В зависимости от типа сканирования, используемого платформой уязвимостей, будут использоваться различные методы и тактики для получения ответа от устройств в целевой области. На основе реакций устройств сканер попытается сопоставить результаты с базой данных и присвоить рейтинги риска (уровни серьезности) на основе этих реакций.

Сканеры уязвимостей

можно настроить на сканирование всех сетевых портов, обнаружение и идентификацию взломов паролей, а также подозрительных приложений и служб. Служба сканирования сообщает об исправлениях безопасности или отсутствующих пакетах обновления, выявляет вредоносные программы, а также любые недостатки кода и отслеживает удаленный доступ.

Ваш первый шаг

Сканирование уязвимостей — важный первый шаг для любой организации, которая хочет определить лучший путь к усилению защиты.Сканирование и анализ предоставляют информацию и обнаружение уязвимостей, которые могут помочь в точной настройке теста на проникновение, обеспечивая максимальную окупаемость инвестиций в тестирование безопасности.

Хотите больше? Прочтите о передовых методах сканирования уязвимостей или о том, как читать отчет об оценке уязвимостей.