Что такое сканер уязвимостей
Сканер уязвимостей — это программное или аппаратное решение, позволяющее проводить диагностику и мониторинг информационной инфраструктуры в настоящем времени с целью оценки безопасности и обнаружения брешей в защите. Проще говоря, это инструмент для проверки сети, он помогает выявить уязвимости и вовремя принять меры по их устранению. Такие сканеры прочно вошли в обиход специалистов по ИБ, но будут полезны также начинающим веб-мастерам и системным администраторам. В статье мы доступным языком объясним, что такое сканер уязвимостей: зачем его используют, как он работает, какие виды сканирований проводит, и расскажем о существующих на мировом и российском рынках программах.
Для чего нужны сканеры уязвимостей
Оценить безопасность, определить слабые места и указать на них администратору — в трех этих действиях и состоит назначение сканера уязвимостей (Vulnerability scanner). Важно, что он не исправляет найденные проблемы, а только сообщает об их наличии — фактическом или потенциальном. Впоследствии специалист сам решает, как «залатать дыры», чтобы злоумышленники не смогли ими воспользоваться.
Внутренний функционал сканера в разных продуктах может отличаться, но в общем смысле он выполняет одни и те же задачи:
- ищет и анализирует различные типы уязвимостей в системе в режиме реального времени;
- проверяет сетевые ресурсы, программное обеспечение, подключенные порты и устройства;
- обнаруживает запущенные приложения и изучает все активные процессы на предмет некорректного поведения;
- формирует отчеты об обнаруженных проблемах, иногда — с указанием их типовой принадлежности;
- опционально — эксплуатирует уязвимость.
В комплексе все эти функции позволяют специалистам идентифицировать потенциальные риски и свести их к минимуму. Например, сканер может провести инвентаризацию ПО: операционной системы, установленных на сервере программ и подключенных к нему сервисов, чтобы узнать их версии и оценить защищенность. Он покажет, какие из них имеют уязвимости, и предложит обновить версию, установить патч, отключить те или иные службы, сменить используемые протоколы и т. п.
Данные программные средства, очевидно, полезны для ИТ-инфраструктуры любого предприятия, но в некоторых случаях их применение и вовсе является отраслевым требованием, за выполнением которого следят регуляторы: ФСТЭК, PCI CCS и др. Компании из сферы финансов, медицины, обороны, науки, торговли, IT, государственные учреждения и любые организации, собирающие и обрабатывающие конфиденциальную информацию, обязаны обеспечивать высокое качество ее защиты. Без сканеров защищенности здесь не обойтись.
Принцип работы сканера
Выделяют два механизма, по которым может работать сканер уязвимостей: зондирование и сканирование. Разберем каждый отдельно.
При зондировании анализ проходит в активной фазе: сканер запускает эксплуатацию выявленных уязвимостей, т. е. имитирует атаки и проверяет, в каких участках системы возникают угрозы. В результате специалист получает (или не получает) подтверждение существования бреши, а также понимает, как можно от нее избавиться. Это медленный и рискованный метод, поскольку тестирование может вызвать реальный сбой, однако самый эффективный.
Сканирование подразумевает пассивный анализ. Он делается максимально быстро, но на поверхностном уровне, поэтому дает менее точные результаты, чем предыдущий метод. В процессе сканирования производится поиск уязвимостей по косвенным признакам, без фактического подтверждения. Например, находятся открытые порты, собираются соответствующие заголовки и сравниваются с таблицами правил определения сетевых устройств. Сканер ищет явные проблемы и говорит о них администратору. Это менее эффективно, но тоже полезно
Общий принцип работы таких средств можно разбить на четыре этапа:
- Сбор информации о сети, подключенных к ней устройствах и запущенном на них ПО.
- Поиск уязвимостей.
- Оценка уровня безопасности путем моделирования атак и других специфических методик.
- Составление отчета.
Некоторые программные продукты могут также автоматически устранять найденные проблемы, используя заданные сценарии.
Виды сканирования
Существует две разновидности сканирования уязвимостей. В основном они отличаются уровнем запуска сканера: внутри сети или извне. О каждом по порядку:
- Метод «белого ящика» (WhiteBox) предполагает, что сканер будет запущен во внутренней среде исследуемой системы. Это означает, что ему сразу доступны сведения о типах сервисов и служб, версиях ОС и пр. Благодаря этому он может более полно изучить сеть и уязвимости, однако такой тест не приближен к ситуации реальной атаки, когда у хакера нет подробной информации об устройстве сети.
- Метод «черного ящика» (BlackBox) позволяет имитировать действия злоумышленника при настоящей угрозе. Сканер запускается извне, т. е. перед тестом у него есть только данные об IP-адресе или домене, если проверяется сайт. Поэтому он и назван «черным ящиком»: программа не знает, что «содержится» внутри исследуемого объекта, и вынуждена находить открытые порты, «угадывать» службы и т. п., чтобы затем проанализировать полученные сведения и выявить уязвимости. Такой подход более реалистичен, но ввиду неполноты данных может упустить некоторые «дыры».
Для большей эффективности рекомендуется совмещать оба вида сканирования: сначала проводить BlackBox-тестирование, чтобы найти бреши, видные снаружи, а затем сканировать сеть изнутри.
Примеры отечественных сканеров уязвимостей
Отличительной чертой российских сканеров является соответствие требованиям ряда нормативных актов в сфере информационной безопасности, принятых ФСТЭК и Правительством РФ. Кроме того, что такой продукт должен обязательно присутствовать в инфраструктуре заказчика, они предписывают использовать только сканеры с определенным сертификатом. За исключением ScanOVAL, все отечественные вендоры распространяют свои продукты на коммерческой основе. Это, например:
- MaxPatrol 8 — система с механизмами тестирования на проникновение, системных проверок и контроля соответствия стандартам безопасности ИС. Подходит для корпоративного использования крупными предприятиями. Может сканировать не только ОС (Windows, Linux), но и сетевое оборудование, системы виртуализации, веб-серверы, ERP-системы, 1С.
- RedCheck — сканер с возможностью ранжирования уязвимостей по их опасности для реальной инфраструктуры. Поддерживает различные редакции Windows и Linux, обладает богатым функционалом.
- Ревизор сети — сетевой сканер для обнаружения уязвимостей аппаратного и программного обеспечения, использующегося протоколы TCP/IP. Применяется, в том числе, в работе служб ИБ и органов, аттестующих объекты информатизации.
- Сканер-ВС — универсальный инструмент для комплексного анализа защищенности ИС. Подходит для компаний разных масштабов, полностью совместим с базами данных уязвимостей ФСТЭК.
- XSpider — профессиональная система для оценки безопасности ИТ-инфраструктуры. Предназначена для организаций с ограниченным числом узлов (до 10 тыс.).
Примеры зарубежных сканеров уязвимостей
На мировом рынке представлено множество решений, которые одинаково хорошо решают вопрос обнаружения уязвимостей. Наиболее заметными среди них являются такие продукты, как:
- GFI LanGuard. Проверяет всю сеть централизованно, благодаря чему удается выявить максимально количество брешей. Обнаруживает открытые порты, запрещенное ПО, небезопасные настройки, проверяет обновления и патчи как для ОС, так и для установленного ПО, популярного у хакеров.
- Nessus Professional. Способен находить самые распространенные уязвимости, любой тип проверки можно подключить в качестве отдельного плагина. Сканер прост в использовании, обладает понятным интерфейсом и хорошим набором шаблонов сканирования (свыше четырехсот).
- Tenable.io. От того же вендора, что и Nessus, но отличается исключительно облачным исполнением. Позволяет увидеть всю поверхность атаки на основании оценки рисков, обеспечивает наиболее полное покрытие уязвимостей.
- OpenVAS. Сканер с открытым исходным кодом, т. е. полностью бесплатная система, которая способна в комплексе сканировать уязвимости и управлять ими. Может проводить как активный, так и пассивный анализ. База уязвимостей ежедневно пополняется (уже более 50 тыс.).
Также стоит отметить, что для сетевого сканирования часто используется Kali Linux — дистрибутив на базе Debian, заточенный под тестирование безопасности. Это не конкретный сканер, но довольно популярное средство для оценки защищенности.
Заключение
Сканером уязвимости называется программа или аппаратное решение, которое позволяет администратору сети проверить систему на наличие слабых незащищенных участков, создающих угрозу взлома. Хороший сканер должен обнаруживать бреши и вовремя уведомлять о них, чтобы специалист успел исправить проблему до того, как ее увидит злоумышленник.
Оцените статью