Сканеры уязвимостей: Экскалибур от мира ИБ или рядовой инструмент?

Сканер уязвимостей – это один из обязательных инструментов специалиста по информационной безопасности. В зависимости от бюджета компании на ИБ это может быть бесплатная программа с небольшим, но эффективным набором метрик, либо платное комплексное ПО, способное проводить проверку как изнутри, так и извне, составлять информативные отчеты по найденным уязвимостям.

Многие представители бизнеса воспринимают сканер уязвимостей как исчерпывающее решение всех проблем безопасности. На первый взгляд так и есть: программа сама проводит анализ, сама формирует отчеты, остается только последовательно «закрыть» все выявленные уязвимости. Но то, что хорошо «на бумаге», далеко не всегда также работает в реальной жизни.

Критерии выбора сканера

Самый важный критерий при выборе сканера безопасности – это задача, которую он должен решать. От нее зависит область и виды сканирования, возможности анализа и производительность сканера.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

При выборе сканера, нужно, прежде всего, обратить внимание на четыре базовых момента:

1. Узнать частоту проведения проверки.
2. Уточнить, есть ли в наличии у производителя нужные модули. Дело в том, что сканер не может определить уязвимость, если соответствующий «подключаемый модуль» в данный момент недоступен.
3. Узнать количество обнаруженных уязвимостей, а также то, чьи базы используются для поиска, частоту их обновлений.
4. Проверить качество отчетов. Важно, чтобы в отчетах были не только перечислены и описаны все уязвимости, но была возможность выделять те, что уже удалось исправить.

Ситуация с уходом иностранных вендоров из России наложила свой отпечаток на работу сканеров. Qualis и Tenable Nessus, два иностранных поставщика сканеров безопасности, заявили о приостановке поддержки своих продуктов в РФ.

Яков Гродзенский

Руководитель направления информационной безопасности CTI

При настройке сканера уязвимости важно выбрать правильный режим сканирования для тех или иных хостов, поскольку при сканировании хоста в режиме пентест, например, хост может «упасть», и те станции и сервера, которые критичны с точки зрения непрерывности бизнес-процессов, нужно сканировать в щадящем режиме.

Во-вторых, важно настроить процесс устранения уязвимостей, в частности, патчинга, и в режиме реального времени отслеживать его, т.к. сталкивались с ситуациями, когда уязвимости, даже будучи найденными, долгое время оставались в инфраструктуре и приводили к успешной реализации атак. Ряд сканеров безопасности содержит workflow для организации процесса управления уязвимостями, в случае отсутствия имеет смысл сделать интеграцию с внешними специализированными системами.

Также важно правильно приоритезировать уязвимости, исправляя в первую очередь те, которые обнаружены на важнейших элементах инфраструктуры, или сортируя по опасности найденных уязвимостей.

Фактически, это значит что эффективность и надежность этих сканеров для российских пользователей снижается с каждым днем. Учитывая частоту появления новых CVE – устаревание баз данных можно назвать критической проблемой для этих продуктов.

Открытые и проприетарные продукты

Несмотря на уход популярных иностранных сервисов ситуация на рынке вполне устойчивая. Этому способствуют два фактора:

1. Доступность open source решений. Среди них можно выделить OpenVas.
2. Конкурентные российские сканеры уязвимостей. Наиболее известный из них – XSpider от компании Positive Technologies. 

Евгений Царев

Управляющий RTM Group, эксперт по кибербезопасности и праву в ИТ

Большинство коммерческих продуктов выпускают обновления баз в течении недель и даже дней после идентификации CVE.

Если она является очень критичной, как это было с уязвимостями Log4shell, PrintNightmare, когда речь идет об инфраструктурном анализе – незамедлительно, в течении 2 дней после появления PoC, в базы уязвимостей некоторых сканеров была добавлена информация о том, как проводить обнаружение таких уязвимостей (например, Acunetix, MaxPatrol).

Более точное описание обычно появляется чуть позже, поскольку команда производителя сканера собирает данные об уязвимости. Например, чтобы найти больше возможных паттернов для обнаружения.

Несмотря на снижение предложения, вызванное уходом иностранных вендоров, и рост спроса, вызванный ростом количества хакерских атак и ужесточением профильного законодательства, сканеры уязвимостей остаются доступным инструментом.

Сканер vs Пентестер

И сканер уязвимостей, и пентест-специалист, делают одну работу: тестируют инфраструктуру компании на предмет уязвимостей. Сами специалисты по тестированию на проникновение часто используют сканеры в своей работе.

Такой подход позволяет обеспечить наиболее комплексную проверку, с использованием сильных сторон «машины» и человека. 

Александр Герасимов

Директор по информационной безопасности и сооснователь Awillix. Эксперт в области тестирования на проникновение и анализа защищенности.

Сканер, как правило, неплохо работает с большим объемом данных. Когда необходимо проверить большую выделенную сеть на наличие известных уязвимостей, использование слабых паролей, недостатков конфигурации, не обновлённого ПО, то сканер справится быстрее и эффективнее, чем специалист.

Однако сканер не способен выявить ошибки в бизнес-логике приложения, возможные мошеннические операции и специфичные технические уязвимости. Специалисты по тестированию на проникновение способны выявить подобные недостатки в ручном режиме и построить сложные цепочки эксплуатации.

В своем арсенале специалисты также используют сканеры, чтобы покрыть большой скоуп и быстро выявить явные недостатки.

Еще одна сильная сторона пентест-специалиста – это учет 0-day уязвимостей. Сканер о них просто «не знает», поэтому анализировать их не может.

Таким образом, сканер уязвимости – это не волшебная палочка, которая решает все проблемы информационной безопасности в компании. При неправильной эксплуатации существует риск нарушить текущие бизнес-процессы и вывести систему или ее часть из строя.

Многое зависит от специалиста, который работает со сканером. Важно уметь правильно задать метрики, расставить найденные уязвимости по приоритетности и отсеять ложноположительные срабатывания. В умелых руках это надежный инструмент, который позволяет «держать в тонусе» всю инфраструктуру компании и поддерживать высокий уровень информационной безопасности.