Дмитрий Черняков, «АЛТЭКС-СОФТ»: Сканер хорош своей способностью меняться и признавать ошибки

Дмитрий Черняков, руководитель отдела по работе с партнерами и клиентами «АЛТЭКС-СОФТ» в рамках форума GIS DAYS 2022 рассказал порталу Cyber Media о том, как выбрать сканер безопасности и может ли пентестер заменить специализированное ПО. 

Cyber Media: Каковы критерии выбора сканера безопасности? Чем «хороший» сканер отличается от «плохого»?

Дмитрий Черняков: Ну, наверное, «плохих» по определению сканеров не бывает. Он или сканер или нет, это бизнес, плохие программы здесь  не жизнеспособны.

Сам по себе сканер – это программа, но за ней стоят разработчики, и вот насколько хороший сканер, определяется его разработчиками и поддержкой, способностью меняться под условия рынка и использовать открытые сигнатуры поиска уязвимостей. Ведь уже не секрет, что большинство сканеров безальтернативно предлагают верить результатам их сканирования, но я считаю иначе: каждый специалист всегда может перепроверить наши результаты сканирования и обратиться к нам с вопросом за консультацией по результатам или с исправлением ошибки. 

Именно этим и хорош сканер – своей зрелостью, способностью меняться и признавать ошибки. То есть помимо техподдержки иметь «устойчивую или глубокую» обратную связь с его пользователями.

Cyber Media: Как изменился российский рынок сканеров безопасности за последние полгода?

Дмитрий Черняков: Я могу ответить на нашем примере. Мы делали собственный сканер с собственным взглядом применимости, разумеется полностью понимания требования наших клиентов и регулятора. У нас была своя идея и свой подход. В последние полгода нам пришлось более внимательно  изучать возможности зарубежных решений, и поняли, что достаточно давно мы делаем ровно тоже самое, а в части контента не хуже, а местами и лучше.

К примеру, мы гораздо лучше понимаем специфику отечественных платформ при сканировании. Но есть проблема подхода к применению и интерфейсу, клиенты таких продуктов просто привыкли строить процесс сканирования таким образом, как это было доступно и описано в руководствах этих решений.

Наш подход другой, но он даст тот же результат. И теперь мы идем навстречу нашим новым клиентам, мы просто реализуем интерфейс в рамках привычного подхода зарубежных сканеров и тем самым в рамках импортозамещения дадим больше – возможность сохранить сценарий сканирования и возможность использовать наш идеологический метод, фактически наш инструмент станет еще более гибким для клиентов

Cyber Media: Чем чревато использование open source-решений?  

Дмитрий Черняков: Обычно это сообщество, бывает даже без единой точки входа и поддержки при возникновении проблем, скорее всего доступен лишь форум, где вряд ли международные эксперты заинтересованы и будут вникать в проблемы и требования наших регуляторов и поддерживать локальные продукты, типа «отечественных ОС». 

Кроме того, как правило, это маркетинговый продукт или тестовый вариант платных решений. Стоит отметить, что как и любое программное обеспечение, они способны создать неплохую программу, но даже сейчас мы видим серьезную проблему – контент безопасности.

У нас для этого работает отдельная команда и фактически это отдельный продукт. Например, у нас есть собственный репозиторий безопасности OVALdb. В open source-решениях мы чаще видим такую картину: они просто и без разбора и тестирования собирают любую доступную информацию, не беря на себя ответственность, что фактически при сканировании ведет к множеству ложных срабатываний и заставляет администратора перепроверять результаты. То есть фактически программа есть и работает, но вопрос качества остается критическим.

Cyber Media: Сканер безопасности или пентестер? Или в компании нужно и то, и другое?

Дмитрий Черняков: Это, конечно, разные сущности. Как я уже рассказал в докладе, сканер как инструмент нацелен централизованно собрать полную информацию о безопасности инфраструктуры, перед ним не всегда стоит задача эксплуатации. Специалист пентеста же наоборот – преследует цель проверки вторжения, как факт и результатом его работы является перечень использованных проблем безопасности – это дорогая и разовая работа, при этом не всегда покажет полную информацию о любых возможностях уязвимостей. 

Сканер – это обязательный инструмент пентестера. Кстати не секрет, что в своей работе пентестер использует один или несколько сканеров, чтобы как раз найти слабости и начать одну из атак. Поэтому в первую очередь нужен сканер, как автоматизированное средство ежедневного контроля, но нет ничего плохого и проверять это на практике, скажем раз в квартал или полгода, но процесс должен быть контролируемым и безопасным.