Найти в Дзене
Абак-2000 об ИТ в бизнесе
268 подписчиков

Сканеры уязвимостей: на что обратить внимание, преимущества, эффективность.

84
3 мин
Кто-то стоит перед выбором книги, кто-то – куда сходить на выходных, а специалист по информационной безопасности какой сканер уязвимостей использовать. Это один из основных инструментов «безопасника». Сканер находит бреши в ИТ-инфраструктуре компании, анализирует их и формирует отчет. Руководитель отдела информационной безопасности Абак-2000 Виталий Борка поделился своим мнением о данных ПО. 1. На какие характеристики при выборе сканера стоит обратить внимание прежде всего? Первое на что бы я обратил внимание - это то, какие системы поддерживаются сканером для проведения сканирования. Далее уже смотрел бы на то, какие режимы сканирования поддерживаются сканером и стал бы более подробно сравнивать каждый режим. Если это режим аудита, то посмотрел бы сначала на то, каким образом сканер подключается к целевой системе и проводит сканирование, т. е. соединение происходит "безагентным" способом или же для его работы потребуется установка агента на сканируемую систему, посмотрел бы какие п
Оглавление

Кто-то стоит перед выбором книги, кто-то – куда сходить на выходных, а специалист по информационной безопасности какой сканер уязвимостей использовать. Это один из основных инструментов «безопасника». Сканер находит бреши в ИТ-инфраструктуре компании, анализирует их и формирует отчет. Руководитель отдела информационной безопасности Абак-2000 Виталий Борка поделился своим мнением о данных ПО.

1. На какие характеристики при выборе сканера стоит обратить внимание прежде всего?

Первое на что бы я обратил внимание - это то, какие системы поддерживаются сканером для проведения сканирования. Далее уже смотрел бы на то, какие режимы сканирования поддерживаются сканером и стал бы более подробно сравнивать каждый режим. Если это режим аудита, то посмотрел бы сначала на то, каким образом сканер подключается к целевой системе и проводит сканирование, т. е. соединение происходит "безагентным" способом или же для его работы потребуется установка агента на сканируемую систему, посмотрел бы какие протоколы подключения поддерживает сканер. Если это режим сompliance - смотрел какие стандарты поддерживает система из коробки.

Также общими параметрами для всех сканеров, я бы отметил схему лицензирования, системные требования к оборудованию и скорость обновления базы уязвимостей.

Руководитель отдела Информационной безопасности Абак-2000 Виталий Борка
Руководитель отдела Информационной безопасности Абак-2000 Виталий Борка

2. Эффективность сканеров: насколько они «поспевают» за обновлением баз уязвимостей?

Отвечая на этот вопрос, я не могу говорить в общем про все существующие продукты, ведь скорость обновления баз уязвимостей зависит от многих факторов:

  1. Насколько развит у них процесс отслеживания информации о новых угрозах.
  2. На сколько сложна для нахождения новая уязвимость.
  3. График выхода новых обновлений, грамотность и количество разработчиков трудящихся над разработкой сканера и многого другого.

Очевидным является то, что чем более зрелая и большая компания занимается разработкой сканера, тем быстрее выходит очередное обновление пакета экспертизы для сканеров.

3. На эффективность работы сканера во многом влияет процесс его интеграции: настройки и отладки. Какие проблемы могут возникнуть?

При неправильной настройке в процессе интеграции данного вида решений могут возникнуть конфликты с уже установленными в компании заказчика системами защиты, и может получится так, что установленный сканер оказался заблокированным другим решением сетевой безопасности или же своим сканированием породил большое количество сработок систем безопасности, прибавив работы специалистам по защите информации.

Такая проблема в основном возникает при работе сканеров в режиме чёрного ящика (в режиме пентест), так как в этом режиме сканер проводит те же действия, что проводил бы и реальный злоумышленник, попав в сеть компании.

Возможны проблемы при проведении сканирования, из-за незнания периметра сети, в которой стоит сканер и того какие устройства находятся в этой сети, какие настройки применены в сетевом оборудовании, так к примеру, можно в результате сканирования заблокировать доступ к конфигурированию сетевого оборудования по сети или же большим количеством сетевых пакетов забить канал связи.

4. Какие преимущества и недостатки есть у сканера уязвимостей относительно работы команды пентест-специалистов?

Плюсами внедрения сканеров уязвимостей являются:

  1. Возможность проведения сканирования по расписанию с постоянными обновлениями баз уязвимостей. Так при каждом изменении сетевой инфраструктуры или добавлении новых функций в веб-приложение не нужно будет нанимать команду пентестеров.
  2. Простота использования. Для использования сканера уязвимостей не требуются такие глубокие знания как для ручного поиска уязвимостей.
  3. Внедрение сканера может обойтись компаниям намного дешевле нежели найм пентестеров при каждом изменении сетевой инфраструктуры или появлении информации о новых уязвимостях.

Недостатками являются:

  1. Наличие ложных срабатываний требующих ручной проверки.
  2. Скорость обновления баз уязвимостей. Как бы не старались разработчики сканеров, некоторый промежуток во времени между появлением деталей уязвимости или публичного эксплойта к ней и добавлением этой информации в базу знаний сканера всё ещё будет и в этот момент компания будет уязвима.
  3. Поиск уязвимостей в логике приложений, поиск уязвимостей в фреймворках и технологиях которые только начинают набирать свою популярность. Этот пункт я хотел бы отдельно выделить, ведь для поиска многих специфичных уязвимостей надо понимать то, как работает это приложение – все это слишком сложно для обычной программы.


#ИБ #Информационная безопасность #Сканеры уязвимостей #системный интегратор 

Кибербезопасность
25,6 тыс интересуются