Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устройства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявленные уязвимости в них несут критические риски. Есть те, кто пересматривает портфель сканеров и оставляет пару универсальных решений, другие же используют несколько узкоспециализированных.
Вадим Матвиенко, Газинформсервис
Единый и унифицированный интерфейс для работы со всей ИТ-средой выглядит наиболее привлекательным. Однако наличие серых зон, не охваченных сканерами, недопустимо. Поэтому компании используют те инструменты, которые им доступны.
Андрей Селиванов, R-Vision
Оптимальный подход – комбинированный. Лучше использовать универсальный инфраструктурный сканер на базе VM-решения как основу, дополняя его специализированными инструментами. Большим плюсом будет возможность интеграции используемого VM-решения с другими сканерами в части импорта выявленных активов и уязвимостей с последующей их централизованной обработкой.
Александр Дорофеев, Эшелон Технологии
Имеет смысл использовать набор сканеров, имеющих механизмы проверок для используемого в контролируемой инфраструктуре ПО.
Сергей Кукарский, ScanFactory:
Наиболее правильным подходом, на наш взгляд, является агрегация результатов различных сканеров, ведь универсальный инструмент одинаково плох для каждой задачи из широкого спектра. В то время как несколько узкоспециализированных сканеров дают хороший результат детекта по разным направлениям. В ScanFactory как раз реализован данный подход, когда лучшая мировая экспертиза собрана под общей системой управления.
Роман Овчинников, Security Vision
Большое число систем управления уязвимостями, с одной стороны, может дать более широкий охват инфраструктуры, с другой – возможно появление дублей, расхождений и серых зон, не охваченных ни одним из решений. Более предпочтительным видится подход использования выносных сканеров, которые работают в выделенных сегментах инфраструктуры, а затем передают полученные данные на центральный узел VM-решения, где к уязвимостям применяются единые стандарты их обработки и приоритизации. Это позволит управлять всеми уязвимостями и недостатками конфигураций из единого окна, формировать централизованную статистику, контролировать выполнение выбранного метода обработки уязвимостей. В нашем решении Security Vision NG VM поддерживается возможность установки сканеров на выделенные серверы в изолированных сетях и дальнейший импорт результатов сканирования на основной сервер.
Андрей Никонов, Фродекс
В любом случае целесообразно минимизировать количество инструментов. Каждое платное решение стоит денег, все развернутые сканеры надо обслуживать, а также необходимо развернуть еще одно решение, где будут агрегироваться результаты. Российский рынок VM-решений предлагает продукты с сильными возможностями сканирования разных типов и разновидностей активов. Даже если вы не нашли поддержку своих систем в документации продукта – спросите вендора: он может пойти навстречу и доработать аудит в следующем обновлении.
Александр Леонов, Positive Technologies
Для того чтобы оценить, достаточно ли одного сканера уязвимостей, необходимо узнать состав активов в инфраструктуре. Для этого нужен эффективный процесс Asset Managemet. Затем важно понять, какие уязвимости умеет детектировать установленный сканер. В результате будет видно, для каких типов активов невозможно детектирование уязвимостей с помощью используемого сканера. По каждому случаю необходимо будет принимать решение: мотивировать вендора, закупать дополнительные сканеры, разрабатывать собственные средства детектирования уязвимостей, детектировать уязвимости вручную, отказываться от использования актива или принимать риски.