Сканирование на уязвимости и безопасная разработка. Часть 1
В рамках профессиональной деятельности разработчикам, пентестерам, безопасникам приходится сталкиваться с такими процессами, как Vulnerability Management (VM), (Secure) SDLC.
Под этими словосочетаниями скрываются различные наборы практик и используемых инструментов, которые переплетены между собой, хотя их потребители различаются.
Технический прогресс пока не дошёл до того, чтобы одним инструментом заменить человека для проведения анализа защищённости инфраструктуры и ПО.
Интересно понять, почему это так, и с какими проблемами приходится сталкиваться.
Процессы
Процесс Vulnerability Management («управление уязвимостями») предназначен для непрерывного мониторинга защищённости инфраструктуры и патч-менеджмента.
Процесс Secure SDLC («цикл безопасной разработки») предназначен для поддержки защищённости приложения в ходе разработки и эксплуатации.
Схожей частью этих процессов является процесс Vulnerability Assessment — оценки на уязвимости, сканирования на уязвимости.
Основное различие в сканировании в рамках VM и SDLC в том, что в первом случае целью является обнаружить известные уязвимости в стороннем ПО или в конфигурации. Например, устаревшую версию Windows или community-строку по умолчанию для SNMP.
Во втором же случае целью является обнаружить уязвимости не только в сторонних компонентах (зависимостях), но в первую очередь в коде нового продукта.
Это порождает различия в инструментах и подходах. На мой взгляд, задача поиска новых уязвимостей в приложении значительно интереснее, поскольку не сводится к фингерпринтингу версий, сбору баннеров, перебору паролей и т.д.
Для качественного автоматизированного сканирования уязвимостей приложений необходимы алгоритмы, учитывающие семантику приложения, его предназначение, специфичные угрозы.
Инфраструктурный же сканер зачастую можно заменить таймером, как выразился avleonov. Смысл в том, что чисто статистически вы можете считать вашу инфраструктуру уязвимой, если вы её не обновляли, скажем, месяц.
Инструменты
Сканирование, как и анализ защищённости, можно выполнять как чёрным ящиком, так и белым ящиком.
Black Box
При blackbox-сканировании инструмент должен уметь работать с сервисом через те же интерфейсы, через которые с ним работают пользователи.
Сканеры инфраструктуры (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose и т.д.) ищут открытые сетевые порты, собирают «баннеры», определяют версии установленного ПО и ищут в своей базе знаний информацию об уязвимостях в этих версиях. Также пытаются обнаружить ошибки конфигурации, такие как пароли по умолчанию или открытый доступ к данным, слабые шифры SSL и т.д.
Сканеры веб-приложений (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, и т.д.) тоже умеют определять известные компоненты и их версии (например, CMS, фреймворки, JS-библиотеки). Основные шаги сканера — это краулинг и фаззинг.
В ходе краулинга сканер собирает информацию о существующих интерфейсах приложения, HTTP-параметрах. В ходе фаззинга во все обнаруженные параметры подставляются мутированные или сгенерированные данные с целью спровоцировать ошибку и обнаружить уязвимость.
Такие сканеры приложений относятся к классам DAST и IAST — соответственно Dynamic и Interactive Application Security Testing.
White Box
При whitebox-сканировании различий больше.
В рамках процесса VM сканерам (Vulners, Incsecurity Couch, Vuls, Tenable Nessus и т.д.) зачастую дают доступ к системам, проводя аутентифицированный скан. Таким образом, сканер может выгрузить установленные версии пакетов и конфигурационные параметры прямо из системы, не угадывая их по баннерам сетевых сервисов.
Скан получается точнее и полнее.
Если же говорить о whitebox-сканировании (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs и т.д.) приложений, то речь обычно идёт о статическом анализе кода и использовании соответствуюбщих инструментов класса SAST — Static Application Security Testing.
Проблемы
Проблем со сканированием возникает множество! С большинством из них мне приходится сталкиваться лично в рамках предоставления сервиса по построению процессов сканирования и безопасной разработки, а также при проведении работ по анализу защищённости.
Выделю 3 основные группы проблем, которые подтверждаются и беседами с инженерами и руководителями служб ИБ в самых разных компаниях.
Проблемы сканирования веб-приложений
Проблемы сканирования исходного кода
Проблемы сканирования инфраструктуры
Подходы
Stay tuned and let’s disrupt the vulnerability scanning!
Сканеры уязвимостей — обзор мирового и российского рынков
Сканеры уязвимостей (или сканеры защищённости) давно стали обязательными инструментами специалистов по информационной безопасности. На сегодняшний день на рынке представлено значительное количество таких продуктов как российского, так и зарубежного производства. Попробуем разобраться в этом многообразии и сделать выводы.
Введение
Наличие уязвимостей в информационных системах, узлах инфраструктуры или элементах комплекса защиты информации является большой проблемой для подразделений ИТ и ИБ. Конечно, поиском брешей можно заниматься вручную, но это будет крайне трудозатратный процесс, который займёт много времени при высокой вероятности что-нибудь не заметить.
Поэтому лучше всего использовать автоматические средства для поиска уязвимостей и слабых мест в информационной инфраструктуре предприятия, такие как сканеры защищённости или сканеры уязвимостей. В настоящее время инструменты подобного класса позволяют решать задачи широкого профиля. Это — и сканирование сети, и перебор паролей, и поиск неустановленных патчей и небезопасных версий ПО, и обнаружение паролей и учётных записей, установленных по умолчанию, и поиск открытых портов и запущенных небезопасных служб, а также отслеживание других элементов, которые потенциально несут угрозу информационной безопасности. Также данные инструменты поддерживают большое количество операционных систем, средств защиты информации, сетевого оборудования и прочих объектов, чтобы максимально охватить инфраструктуру предприятия.
В настоящее время на рынке информационной безопасности представлено большое количество сканеров уязвимостей, представляющих собой как российские, так и зарубежные разработки. Также есть как коммерческие версии, так и бесплатные. Ранее мы уже вскользь касались этой темы в разных статьях, например «GFI LanGuard — виртуальный консультант по безопасности» или «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры».
Для чего нужны сканеры уязвимостей
Применение сканеров уязвимостей позволяет решать различные задачи. Такие инструменты используют не только для самостоятельной проверки на наличие брешей в инфраструктуре предприятия, но и для выполнения требований регуляторов — PCI SSC, ФСТЭК России и т. д.
Функциональность сканера уязвимостей даёт, например, возможность провести инвентаризацию ИТ-ресурсов и определить, какие приложения и какой версии установлены на рабочих станциях и серверах. При этом сканер покажет, какое ПО имеет уязвимости, и предложит установить патч, обновить версию или остановить те или иные службы и отключить протоколы, если они представляют собой угрозу информационной безопасности. Если присутствуют ошибки в скриптах, это будет также обнаружено сканером.
Также можно провести сканирование сети, составить её карту и определить, какие именно сетевые устройства в инфраструктуре предприятия используются. Будут также определены все поддомены. Сразу же можно выявить открытые порты, запущенные сетевые сервисы, которые представляют угрозу для безопасности. На сетевых устройствах будет произведён поиск уязвимостей, которые можно будет закрыть установкой патчей, обновлением или изменением конфигураций.
Кроме того, сканер позволяет проверить на стойкость используемые пароли на сервисах с доступной авторизацией, при этом будут выявлены пароли, установленные по умолчанию. Будет произведён и брутфорс (полный перебор возможных вариантов) с использованием актуальной базы паролей.
Сканеры уязвимостей позволяют также сканировать средства защиты информации и определять, когда можно установить новые патчи, обновить программное обеспечение, изменить конфигурацию и настройки, а также проверить актуальность баз сигнатур.
Современные сканеры уязвимостей поддерживают практически все современные операционные системы, как серверные, так и пользовательские. Также всё большую популярность начинают набирать облачные решения такого рода.
По результатам проверки все сканеры позволяют сформировать отчёты различного формата и назначения, где будет отображена вся картина по уязвимостям в инфраструктуре, а также даны рекомендации по их устранению. Каждой уязвимости будет сопоставлен номер из баз CVE (Common Vulnerabilities and Exposures), NVD (National Vulnerability Database) или Банка данных угроз безопасности информации (БДУ) ФСТЭК России. Некоторые из инструментов позволяют делать отчёты для предоставления руководству.
Мировой рынок сканеров уязвимостей
Мировой рынок сканеров уязвимостей (Vulnerability Management / Assessment) активно развивается. Данные инструменты стали полноценными системами для управления уязвимостями, которые можно вести как проекты. В свою очередь проекты по отслеживанию уязвимостей превращаются в процессы, в которых участвуют представители различных подразделений. Также производители сканеров предлагают интеграцию с системами управления рисками или патч-менеджмента, платформами по управлению инцидентами (Incident Response Platform), процессами безопасной разработки (Security Development), не говоря уже о SIEM.
Ещё одной важной особенностью является использование сканеров для соответствия требованиям PCI DSS. Некоторые вендоры, например Tenable, Qualys или Rapid7, являются разрешёнными поставщиками услуг сканирования (ASV) PCI SSC.
Также стоит отметить, что в последние годы наметилась явная тенденция к использованию облачных сканеров уязвимостей. Для некоторых заказчиков данный вариант становится предпочтительным, поскольку исчезает необходимость выделять ресурсы под размещение сканера в своей инфраструктуре.
Производители предлагают как коммерческие версии своих продуктов, так и бесплатные. Последние обычно предоставляются с сильно ограниченными функциональными возможностями и в виде облачного сервиса.
Исследовательская компания IDC провела анализ рынка систем управления уязвимостями за 2019 год и опубликовала свои выводы в материале «Worldwide Device Vulnerability Management Market Shares, 2019: Finding the Transitional Elements Between Device Assessment Scanning and Risk-Based Remediation». На диаграмме (рис. 1) из этой статьи можно увидеть распределение долей мирового рынка среди различных производителей.
Рисунок 1. Рынок управления уязвимостями устройств в 2019 году
По результатам исследования, проведённого компанией GeoActive Group, объём рынка Vulnerability Management / Assessment достигнет 2,1 млрд долларов в 2020 году.
Согласно аналитическому отчёту Gartner «Market Guide for Vulnerability Assessment», тремя доминирующими вендорами по разработке сканеров безопасности являются Tenable (около 30 000 заказчиков), Qualys (около 16 000 заказчиков) и Rapid7 (чуть больше 9 000 заказчиков). На этих игроков приходится большая часть прибыли в отрасли. В том же отчёте было отмечено, что среди заметных вендоров на этом рынке также присутствуют F-Secure, Positive Technologies, Tripwire и Greenbone Networks.
Ещё одним разработчиком, на наш взгляд заслуживающим внимания, является GFI Languard, один из лидеров сегмента малого и среднего бизнеса, в том числе на российском рынке.
В данном обзоре мы рассмотрим следующие продукты вендоров, представляющих мировой рынок сканеров уязвимостей:
Российский рынок сканеров уязвимостей
В отличие от мирового основной особенностью российского рынка сканеров уязвимостей является соответствие требованиям регуляторов: ряд нормативных актов в области информационной безопасности (приказы ФСТЭК России № 17, № 21, № 239, № 31, постановление Правительства РФ № 79 и т. д.) предписывают заказчикам обязательно иметь сканер уязвимостей, а сам продукт должен обладать сертификатом по требованиям безопасности ФСТЭК России. Некоторые сканеры уязвимостей позволяют проводить проверки на соответствие требованиям PCI DSS и других зарубежных нормативных актов.
Также стоит отметить, что российские производители предлагают свои продукты в основном в локальном исполнении (on-premise) для установки в инфраструктуре заказчика. Все отечественные вендоры поставляют только коммерческие версии своих продуктов, за исключением сканера ScanOVAL, который является «детищем» ФСТЭК России.
Наиболее заметными на российском рынке сканеров являются следующие продукты:
Обзор отечественных сканеров уязвимостей
MaxPatrol 8
Система контроля защищённости и соответствия стандартам MaxPatrol 8 — продукт корпоративного класса (enterprise) с внушительными функциональными возможностями для крупных заказчиков с неограниченно большим количеством узлов в сетевой инфраструктуре.
Сканер проводит комплексный анализ на наличие уязвимостей в сложных системах, включая платформы Windows, Linux, Unix, сетевое оборудование Cisco, Juniper, Huawei, Check Point, системы виртуализации Hyper-V, VMware, веб-серверы Microsoft IIS, Apache HTTP Server, Nginx, серверы веб-приложений IBM WebSphere, Oracle WebLogic, Apache Tomcat, а также ERP-системы SAP и 1C.
MaxPatrol 8 анализирует безопасность веб-приложений и позволяет обнаружить большинство уязвимостей в них: внедрение SQL-кода, межсайтовое выполнение сценариев (XSS), запуск произвольных программ.
Сканер проверяет СУБД, такие как Microsoft SQL, Oracle, PostgreSQL, MySQL, MongoDB, Elastic. MaxPatrol 8 также анализирует сетевые настройки, парольную политику (включая поиск паролей по умолчанию), права и привилегии пользователей, позволяет управлять обновлениями.
Рисунок 2. Окно настройки задач по сканированию в MaxPatrol 8
Кроме того, продукт проверяет инфраструктуру на соответствие техническим стандартам безопасности CIS, SAP и VMware, предписаниям PCI DSS и ISO/IEC 27001, собственным стандартам Positive Technologies.
MaxPatrol 8 имеет действующий сертификат соответствия требованиям безопасности ФСТЭК России (№ 2922 до 08.07.2024).
Более подробно о продукте можно узнать в посвящённом ему разделе сайта производителя.
RedCheck
Сканер уязвимостей RedCheck от вендора «АЛТЭКС-СОФТ» предлагает комплексный подход к анализу защищённости инфраструктуры предприятия. Данный продукт обладает следующими характерными особенностями:
Рисунок 3. Схема работы сканера защищённости RedCheck
Ещё одной ключевой особенностью сканера RedCheck является его работа с унифицированным SCAP-контентом (обновления, уязвимости, конфигурации, политики безопасности), получаемым из собственного репозитория OVALdb. Это — один из крупнейших международных банков контента по безопасности, позволяющий формировать оценку защищённости информационных систем.
Также RedCheck имеет API-модуль для интеграции с различными системами управления ИБ, включая HP ArcSight, Splunk, MaxPatrol SIEM, NeuroDAT SIEM, R-Vision IRP, ePlat4m Security GRC.
Сканер представлен в нескольких редакциях, включая вариант «Enterprise». Модульная компоновка позволяет масштабировать систему и использовать её в территориально распределённых сетях и ЦОД.
RedCheck имеет сертификат соответствия требованиям безопасности ФСТЭК России (№ 3172 до 23.06.2020), который на момент публикации находится на продлении. Техническая поддержка оказывается до 23.06.2025.
Больше сведений о данном сканере можно найти на сайте RedCheck.
ScanOVAL
Программное средство ScanOVAL, разработанное по инициативе ФСТЭК России и при непосредственном участии «АЛТЭКС-СОФТ», предназначено для автоматизированного обнаружения уязвимостей в программном обеспечении на узлах (рабочих станциях и серверах), функционирующих под управлением операционных систем семейства Microsoft Windows (клиентских — 7 / 8 / 8.1 / 10 — или серверных: 2008 / 2008 R2 / 2012 / 2012 R2 / 2016).
Была выпущена и версия сканера ScanOVAL для Linux, позволяющая проводить сканирование и поиск уязвимостей в ОС Astra Linux 1.6 SE, а также проверку общесистемного и прикладного ПО, входящего в состав этого дистрибутива.
Рисунок 4. Окно со списком обнаруженных уязвимостей в ScanOVAL для Linux
Обе версии сканера осуществляют анализ защищённости ОС и прикладного ПО на наличие уязвимостей, сведения о которых содержатся в Банке данных угроз безопасности информации ФСТЭК России и бюллетенях разработчиков.
Выявление уязвимостей производится следующим образом: состояние системных параметров сканируемого программного обеспечения (системного и прикладного) сравнивается с базой уязвимостей, представленной в виде описаний, которые разработаны в соответствии со спецификацией OVAL. Сканер позволяет выявлять одиночные и множественные бреши.
Полная информация об этом сканере размещена в соответствующем разделе сайта ФСТЭК России.
XSpider
Сканер защищённости XSpider компании Positive Technologies впервые появился на рынке ещё в 2002 году — причём в это же время была основана сама компания.
XSpider предназначен для компаний с количеством узлов до 10 000. Он позволяет сканировать сеть на наличие уязвимостей (в том числе в сервисах SMB, RDP, HTTP, SNMP, FTP, SSH), проводить тесты на проникновение, проверять веб-приложения сторонней и внутренней разработки на возможность внедрения SQL-кода, запуска произвольных программ, получения файлов, межсайтового выполнения сценариев (XSS), расщепления HTTP-ответов. Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию.
Ещё данный сканер может проводить инвентаризацию узлов сети (с получением базовой информации о системах), выявлять открытые порты TCP / UDP, идентифицировать серверные приложения.
Рисунок 5. Окно с установкой параметров сканирования в XSpider
XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies.
Продукт имеет действующий сертификат соответствия требованиям ФСТЭК России (№ 3247 до 24.10.2025).
Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя.
«Ревизор сети»
Сканер уязвимостей «Ревизор сети 3.0», разработанный ООО «Профиль Защиты», позволяет осуществлять тестирование сетевых устройств и операционных систем семейств Windows и Linux, поддерживающих стек протоколов TCP/IP.
«Ревизор сети» способен искать уязвимости, включённые в Банк данных угроз безопасности информации ФСТЭК России, в операционных системах семейств Windows и Linux. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com и других.
Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах.
Основными особенностями «Ревизора сети» являются:
Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3.0»
«Ревизор сети 3.0» поддерживает установку на следующие операционные системы производства Microsoft: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016.
Сканер уязвимости «Ревизор сети» версии 3.0 имеет сертификат соответствия требованиям ФСТЭК России № 3413, действительный до 2 июня 2023 г.
С более подробной информацией о сканере можно ознакомиться на странице разработчика.
«Сканер-ВС»
Продукт «Сканер-ВС» является разработкой НПО «Эшелон» и представляет собой систему комплексного анализа защищённости, позволяющую обеспечить выявление уязвимостей в ИТ-инфраструктуре организаций любого масштаба. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. «Сканер-ВС» включает в себя базу, содержащую более 64 000 проверок, которая обновляется еженедельно. Обеспечивается полная совместимость с БДУ ФСТЭК России.
Рисунок 7. Главное меню системы «Сканер-ВС»
Помимо этого можно отметить наличие следующих возможностей:
Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.
Из дополнительных функций можно отметить поиск остаточной информации, гарантированную очистку путём многократного затирания файлов по стандартам ГОСТ, BSI, FIPS, DoD. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам.
«Сканер-ВС» имеет действующие сертификаты соответствия от ФСТЭК России (№ 2204) и Минобороны России (№3872).
Больше информации о данном сканере размещено на сайте данного продукта.
Обзор зарубежных сканеров уязвимостей
F-Secure Radar
Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux.
F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Также доступны инструменты для подготовки отчётов о рисках и о соблюдении требований — например, соответствии предписаниям PCI и GDPR.
Рисунок 8. Окно центра управления в F-Secure Radar
Помимо этого Radar предлагает следующие возможности:
Больше информации о данном сканере размещено на сайте разработчика.
GFI LanGuard
Сетевой сканер безопасности GFI LanGuard от GFI Software позволяет сканировать сеть предприятия для обнаружения, выявления и устранения уязвимостей.
В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует.
GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Сканер анализирует не только саму ОС, но и популярное ПО, уязвимости которого обычно используются для взлома: Adobe Acrobat / Reader, Flash Player, Skype, Outlook, браузеры, мессенджеры и т. д.
Рисунок 9. Окно мониторинга уязвимостей в GFI LanGuard
LanGuard проводит каждое сканирование после обновления данных об уязвимостях. Источниками информации об угрозах являются сами вендоры ПО, а также хорошо зарекомендовавшие себя списки SANS и OVAL.
Обеспечивается поддержка всех популярных ОС для рабочих станций и серверов (Windows, macOS, дистрибутивы Linux и Unix), а также iOS и Android для смартфонов. GFI LanGuard позволяет установить отдельные пары «логин-пароль» для доступа, а также файл ключа для связи по SSH.
LanGuard способен создавать отчёты в соответствии с требованиями PCI DSS, HIPAA, SOX, GLB / GLBA и PSN CoCo. Также можно добавлять собственные шаблоны в планировщик.
Больше сведений о GFI LanGuard можно почерпнуть на сайте разработчика.
Nessus Professional
Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке.
Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии:
Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus
Nessus Professional характеризуется следующими особенностями:
Больше информации о Nessus размещено на сайте разработчика.
Nexpose Vulnerability Scanner
Nexpose Vulnerability Scanner от Rapid7 предлагается в исполнении «on-premise» для локальной установки на территории заказчика. Облачная версия доступна в редакции Rapid7 InsightVM, предлагающей расширенные функциональные возможности за ту же стоимость.
Данный продукт вычисляет показатель реального риска по шкале от 1 до 1000, где оценка CVSS является лишь одной из составляющих, что даёт более полезную информацию. При этом учитываются такие параметры, как значимость узла, срок уязвимости, наличие общедоступных эксплойтов / готовых вредоносных объектов и др. Nexpose предоставляет контекстную бизнес-аналитику, акцентируя внимание на самых значимых рисках для бизнеса, посредством автоматизированной классификации активов и рисков.
Отметим следующие возможности Nexpose:
Функция Adaptive Security позволяет автоматически обнаруживать и оценивать новые устройства и уязвимости в режиме реального времени. В сочетании с подключениями к VMware и AWS, а также интеграцией с исследовательским проектом Sonar сканер Nexpose обеспечивает постоянный мониторинг изменяющейся среды в ИТ-инфраструктуре.
Также Nexpose позволяет проводить аудит политик и конфигураций. Сканер анализирует политики на соответствие требованиям и рекомендациям популярных стандартов. Отчёты об уязвимостях содержат пошаговые инструкции о том, какие действия следует предпринять, чтобы устранить бреши и повысить уровень безопасности.
Рисунок 11. Окно мониторинга в Nexpose Vulnerability Scanner
Nexpose предлагает большие возможности по интеграции, в том числе двусторонней, с инструментом для проведения пентестов Metasploit, а также с другими технологиями и системами безопасности, в том числе посредством OpenAPI: SIEM, межсетевыми экранами, системами управления патчами или системами сервисных запросов (тикетов), комплексами технической поддержки (service desk) и т. д.
Помимо этого Nexpose позволяет решать задачи по соответствию требованиям различных стандартов, в частности — PCI DSS, NERC CIP, FISMA (USGCB / FDCC), HIPAA / HITECH, Top 20 CSC, DISA STIGS, а также стандартов CIS по оценке рисков.
Полная информация о данном сканере расположена на сайте разработчика.
Qualys Vulnerability Management
Особенностью продукта Qualys является разделение процессов сбора и обработки информации:
Отдельно стоит отметить, что крупным заказчикам доступна возможность развёртывания облака Qualys в локальной сети.
Облачные агенты Qualys обеспечивают непрерывный сбор данных и их передачу на облачную платформу, которая является своего рода аналитическим центром, где информация коррелируется и распределяется по приоритетам для обеспечения видимости всего того, что происходит на конечных точках и в сети компании, в режиме реального времени.
Рисунок 12. Окно мониторинга уязвимостей и ИТ-активов в Qualys Vulnerability Management
Также заслуживают упоминания следующие возможности платформы:
Больше сведений о данном сканере можно почерпнуть на сайте производителя.
Tenable.io
В отличие от Nessus Professional другой продукт того же вендора — Tenable.io — имеет только облачное исполнение. В части функциональных возможностей есть сходство с Nessus. Тем не менее Tenable.io вполне самодостаточен, особенно в части управления всеми данными об активах и уязвимостях. Продукт предлагает следующие возможности:
В лицензию Tenable.io также входит безлимитное количество сканеров Nessus Professional.
Рисунок 13. Окно мониторинга уязвимостей в Tenable.io
Образно говоря, Tenable.io представляет собой разноплановый набор сенсоров, который автоматически собирает и анализирует данные о безопасности и уязвимостях, тем самым показывая полную информацию об атаке для любого актива на любой вычислительной платформе.
Также в компании Tenable есть несколько смежных продуктов, построенных на платформе Tenable.io, например специализированный инструмент для проведения сканирования в соответствии с требованиями PCI DSS, сканер для обнаружения уязвимостей в контейнерах, средство проверки веб-приложений и сервисов.
Ранее мы уже рассматривали разработки этого вендора в статье «Обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры». Также полная информация о данном сканере размещена на сайте разработчика.
Tripwire IP360
Tripwire IP360 позиционируется как продукт корпоративного уровня («enterprise») для управления уязвимостями и рисками. Сканер построен на модульной архитектуре, что позволяет легко масштабировать данную систему. Возможна поставка версий для локального (on-premise), облачного или гибридного развёртывания. Также IP360 позволяет размещать на узлах агенты для более эффективного мониторинга сети и выявления уязвимостей.
Помимо этого сканер обладает следующими возможностями:
Рисунок 14. Окно процесса сканирования в IP360
IP360 поставляется в виде программного или аппаратного обеспечения, причём для увеличения производительности и надёжности работы системы возможна её установка в кластере. Сканер также доступен на торговых площадках AWS и Azurе.
Tripwire IP360 предоставляет возможности интеграции со сторонними системами, такими как комплексы технической поддержки (helpdesk / service desk), решения по управлению активами, SIEM, IDS / IPS и другие средства обеспечения информационной безопасности, посредством API-модуля.
Больше сведений о Tripwire IP360 можно получить на сайте разработчика.
Vulnerability Control
Система Skybox Vulnerability Control позволяет автоматизировать различные процессы управления уязвимостями на единой платформе. Продукт способен собирать данные из различных систем с учётом особенностей сети и выявлять наиболее опасные угрозы.
Vulnerability Control обладает следующими возможностями:
Анализ данных из систем инвентаризации и патч-менеджмента, а также ряда других позволяет собирать сведения в недоступных для сканирования областях.
Получение сведений об уязвимостях из различных источников, таких как сетевые устройства, IPS / IDS, публичные и частные облака (Amazon Web Services, Microsoft Azure, Cisco ACI и VMware NSX), средства безопасности конечных точек (EDR), комплексы патч-менеджмента, системы управления конфигурацией баз данных (CMDB), сканеры уязвимостей и приложений, веб-сканеры.
Проведение имитации атак на динамической модели сети для выявления уязвимостей, которые доступны для эксплуатации на критически важных активах. Также это позволяет понять эффективность текущих настроек компонентов сети.
Функция моделирования сети позволяет определять альтернативные методы борьбы с угрозами, включая изменения правил доступа или сигнатур систем предотвращения вторжений (IPS).
Использование скоринговой модели, учитывающей различные критерии (уязвимости, активы, бизнес-сегменты), в том числе уникальные параметры и атрибуты, применяемые в конкретной инфраструктуре.
Выявление очерёдности установки патчей и других компенсирующих мер по устранению уязвимостей на основе уровня угроз и ранжирования их по степени опасности.
Рисунок 15. Окно с информацией об уязвимостях в Skybox Vulnerability Control
Vulnerability Control реализует гибкий подход к анализу уязвимостей, позволяющий лучше понять возможные последствия. Помимо основных данных собираются разнообразные дополнительные сведения: настройки и условия использования ОС и других приложений, материалы из национальной базы данных уязвимостей США (NVD), CVSS, бюллетени поставщиков, итоги анализа брешей и рисков из других источников (IBM X-Force, прочие сканеры уязвимостей и т. д.), история изменений уязвимости в зависимости от степени серьёзности, эксплуатации, доступных патчей, обновлений и т. д.
Skybox Vulnerability Control может интегрироваться с более чем 140 различными ИТ- и ИБ-системами, такими как инструменты поиска уязвимостей, сетевые устройства, ОС, средства сетевой защиты, SIEM и другие.
Более подробная информация о продукте находится на сайте разработчика.
Обзор сканеров уязвимостей с открытым исходным кодом
Помимо рынка с коммерческими проприетарными версиями продуктов есть также небольшая ниша сканеров с открытым исходным кодом (Open Source). Они являются полностью бесплатными для пользователей при соблюдении требований лицензии.
Наиболее заметными представителями данного сектора являются инструменты Nikto и OpenVAS, которые мы и рассмотрим далее.
Nikto
Сканер уязвимостей Nikto распространяется по лицензии GNU General Public License (GNU GPL). Отличительной особенностью данного инструмента является отсутствие графического интерфейса. Управление сканером осуществляется через интерфейс командной строки.
Nikto позволяет выполнять комплексное сканирование на веб-серверах, охватывая более 6700 потенциально опасных файлов и программ. Сканер проверяет устаревшие версии серверов (1250 единиц) и ищет проблемы, связанные с конкретными версиями (270 единиц), а также проверяет элементы конфигурации, такие как наличие нескольких файлов индекса или параметры HTTP-сервера, и пытается идентифицировать установленные веб-серверы и программное обеспечение. Компоненты Nikto и плагины часто обновляются; новые их версии могут устанавливаться автоматически. Также обеспечивается поддержка методов LibWhisker anti-IDS на случай проверки IDS-системы.
Рисунок 16. Окно с интерфейсом командной строки Nikto с результатами проверки
Отметим следующие возможности сканера:
Более подробная информация о Nikto находится на сайте разработчика.
OpenVAS
Этот сканер уязвимостей с открытым кодом является разработкой компании Greenbone, которая постоянно его дорабатывает и поддерживает с 2009 г. OpenVAS тоже доступен по лицензии GNU General Public License (GNU GPL).
OpenVAS позволяет осуществлять тестирование с аутентификационными данными и без них, проводить анализ различных высокоуровневых и низкоуровневых сетевых и промышленных протоколов, настройку производительности для крупномасштабного сканирования; имеется широкофункциональный внутренний язык программирования для реализации любого типа тестирования уязвимостей.
OpenVAS реализует активный мониторинг: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки, получает доступ к консоли управления и выполняет там команды. Далее сканер анализирует собранные данные и делает выводы о наличии каких-либо брешей, чаще всего обусловленных наличием на узле необновлённого или небезопасно настроенного ПО.
Сканер использует большую ежедневно пополняемую базу уязвимостей (более 50 000), а также подключение к базе CVE, описывающей известные проблемы безопасности.
Рисунок 17. Окно со списком задач для поиска уязвимостей в OpenVAS
Greenbone разрабатывает OpenVAS как часть своего коммерческого семейства продуктов для управления уязвимостями Greenbone Security Manager (GSM). OpenVAS — это один из элементов более крупной архитектуры. В сочетании с дополнительными модулями с открытым исходным кодом он образует решение Greenbone Vulnerability Management.
Более подробная информация о сканере находится на сайте разработчика.
Выводы
Рассмотренные сканеры уязвимостей, как российские, так и зарубежные, обладают некоторыми сходствами — в частности, поддерживают большинство популярных операционных систем, умеют проводить инвентаризацию ИТ-ресурсов и сканирование сетевых портов, сервисов и веб-приложений, выявляют недостаточно стойкие и установленные по умолчанию пароли, ведут поиск уязвимостей с использованием баз cve.mitre.org и стандарта OVAL, решают задачи по соответствию требованиям стандарта PCI DSS, а также обеспечивают интеграцию с SIEM.
Тем не менее стоит отметить различия между зарубежными и отечественными продуктами: например, российские сканеры дополнительно обеспечивают поиск уязвимостей из Банка данных угроз безопасности информации ФСТЭК России, имеют сертификаты соответствия требованиям отечественного регулятора, позволяют проверять некоторые средства защиты и не поставляются в качестве облачного сервиса.
В свою очередь, зарубежные системы дают возможность обеспечивать защиту конечных точек за счёт использования локальных агентов и облачной платформы. Этот вариант помимо прочего позволяет лучше и оперативнее отслеживать изменения в ИТ-инфраструктуре и вовремя реагировать на новые уязвимости или атаки: ведь при такой схеме узлы сети начинают играть роль сетевых сканеров для мониторинга трафика. Также зарубежные продукты предлагают больше возможностей для интеграции со сторонними системами, такими как IDS / IPS, межсетевые экраны, средства патч-менеджмента, комплексы технической поддержки (service desk) или инструменты для пентестов.
Что касается продуктов с открытым исходным кодом, то нужно сказать, что они также предлагают достаточные для выявления уязвимостей функции, но при этом приходится мириться с не очень удобным интерфейсом и некоторыми ограничениями в части возможностей.
По итогам хочется сказать, что представленные в обзоре сканеры позволят при регулярном их использовании своевременно обнаруживать уязвимости и недостатки в безопасности ИТ-инфраструктуры. Но необходимо отметить, что данный класс средств защиты стремительно развивается и постепенно сканеры превращаются в более масштабные системы, решающие большее количество задач.