Руслан Рахметов, Security Vision
1. Введение
2. Что такое сетевое сканирование?
3. Типы сетевого сканирования
4. Преимущества и ограничения сетевого сканирования
5. Заключение
Введение
Представьте, что компьютерная сеть вашей компании – это большое и сложное здание, современный офис, средневековый замок или неприступная крепость. Внутри этого здания хранятся ваши самые ценные активы: финансовые данные, клиентская информация, коммерческие тайны и сами бизнес-процессы, которые приносят вам прибыль. Естественно, все это нужно защищать, поэтому нанимаются специалисты по кибербезопасности и создаются центры реагирования SOC (Security Operational Center), а в саму работу вводятся 2 процесса, о которых мы подробнее расскажем в этом обзоре: сетевое сканирование и сканирование на уязвимости.
Прежде чем защищать что-либо, нужно понять, что именно вы защищаете, поэтому в самом начале на сцену выходят два ключевых процесса, которые часто воспринимаются как синонимы, но выполняют совершенно разные задачи:
1) Сетевое сканирование, как первичный обход охранника с целью составить подробную карту или план вашей крепости, отвечает на базовые вопросы:
- Сколько всего комнат в здании?
- Где расположены все двери, окна и служебные люки?
- Какие из них открыты, а какие заперты?
Этот процесс посвящен инвентаризации и обнаружению всего, что есть в вашей сети.
2) Сканирование на уязвимости, как более глубокий этап проверки, на котором охранник подходит к каждой двери и каждому окну и внимательно осматривает замки:
- Не старые ли они и ржавые?
- Нет ли у этой модели замка известной слабости, позволяющей вскрыть его обычной скрепкой?
- Можно ли подставить к окну лестницу, чтобы попасть внутрь?
Это уже не просто инвентаризация, а целенаправленный поиск конкретных, известных недостатков в системе защиты.
Что такое сетевое сканирование?
Чтобы защитить здание, нужно сначала понять его устройство. Сканирование – это именно тот процесс, который позволяет создать детальный «план этажей» вашей цифровой инфраструктуры, карту активов или еще лучше – ресурсно-сервисную модель, как это делают модуль управления активами и инвентаризацией и сканер уязвимостей Security Vision. Сетевое сканирование – это процесс извлечения данных об устройствах сети, ее логической или физической организации, а сканирование на уязвимости – это процедура поиска приложений, систем, устройств или сетей на наличие потенциальных проблем с защищенностью. Сначала нужна карта, и только потом можно проверять замки. Как и у настоящего охранника, у сетевого сканера есть разные методы работы, выбор которых зависит от цели, уровня защищенности и доступности информации, о которых мы сейчас расскажем.
Типы сетевого сканирования
В мире информационных технологий любой ресурс, имеющий ценность для организации, называется ИТ-активом. Это может быть что угодно: сервер с базой данных, компьютер бухгалтера, сетевой принтер, IP-телефон или даже умный термостат в переговорной. В рамках инвентаризации у этих активов появляется уникальный номер, которым в терминологии компьютерной сети является IP-адрес (Internet Protocol address). Процесс сетевого сканирования можно сравнить с тем, как охранник методично обходит всю крепость и составляет полный список номеров всех комнат (IP-адресов), чтобы понять, какие из них используются, а какие пустуют. Комната бесполезна, если в нее нельзя войти или выйти, а в сетях эти точки входа и выхода называются портами, которые используются различными службами, например:
- Порт 80 (и 443 для защищенного соединения), главный, парадный вход в комнату, через который заходят посетители (например, для просмотра веб-сайта);
- Порт 25, почтовая щель в двери, через которую доставляют письма (для отправки электронной почты);
- Порт 21, грузовой люк на заднем дворе, через который принимают и отгружают товары (например, для передачи файлов по протоколу FTP).
Сканирование портов – это процесс, при котором охранник (сканер) проходит по всем коридорам и проверяет каждую комнату на наличие всех возможных дверей (портов от 1 до 65535). Он фиксирует состояние каждой «двери», которая может быть открытой (за дверью кто-то есть, служба активна и готова принять соединение), закрытой (когда дверь есть, но она заперта изнутри, т.е. служба неактивна, и соединение будет отклонено) или отфильтрованной (если перед дверью стоит дополнительный барьер, например, файрвол). Этот процесс позволяет составить карту не только комнат, но и всех потенциальных входов/выходов, что является основой для дальнейшего анализа безопасности. Это только один из шагов процесса ИБ, который связан с харденингом (см. модуль SV SPC) и поиском уязвимостей (см. модуль SV VS) наряду с простым мониторингом сети. Поэтому предлагаем разобрать различные типы сканирования.
Активное сканирование – это охранник, который физически обходит все этажи, стучит в каждую дверь, дергает за ручки окон и проверяет замки (в ИТ-терминологии, проводит сканирование портов и ping-запросы). Это самый надежный способ составить исчерпывающую карту и найти абсолютно все потенциальные входы, но у этого метода есть недостатки, т.к. он создает много шума (сетевого трафика), его легко заметить, и он может быть разрушительным (представьте, что в одной из комнат находится чувствительное медицинское оборудование, аппарат МРТ или рентгена, а агрессивное «дерганье за ручку» может привести к сбою в его работе или отвлечь оператора во время работы). Интенсивное сканирование может нарушить работу хрупких промышленных или устаревших систем, поэтому при разработке модуля сканера уязвимостей мы заложили в него различные уровни агрессивности поиска.
Пассивное сканирование – это уже другой охранник, который сидит в комнате с мониторами от камер видеонаблюдения. Он не взаимодействует с объектами напрямую, а лишь наблюдает за существующим трафиком, мониторит и видит, какие двери используются, кто в них входит и выходит, и замечает любую необычную активность. Этот метод абсолютно безопасен и не мешает работе, идеально подходит для обнаружения новых, неавторизованных устройств, как только они появляются в сети («теневые ИТ»), но и у него есть слабое место – «слепая зона» (охранник не увидит дверь, которой никто никогда не пользуется, а забытый, но уязвимый сервер останется незамеченным)
Неаутентифицированное сканирование – это когда для проверки крепости нанимают консультанта по безопасности и просят его оценить защиту периметра: он ходит вокруг здания, осматривает стены, проверяет все общедоступные двери, окна и ворота и записывает всё, что может увидеть и попытаться использовать случайный прохожий или злоумышленник, не имеющий никакого доступа внутрь. Это взгляд на вашу систему глазами хакера.
Аутентифицированное сканирование – это когда тому же консультанту выдают связку ключей от служебных помещений (учетные данные в терминах технологий), поэтому он может войти внутрь и проверить замки на дверях кабинетов, серверных комнат и файловых шкафов. Такой подход дает гораздо более глубокую и точную картину внутренней безопасности и позволяет найти уязвимости, которые абсолютно невидимы снаружи.
«Черный ящик» работает как турист у вашего замка, у него нет ни карты, ни ключей, ни малейшего представления о планировке здания, поэтому тестировщик должен выяснить все с нуля, действуя точно так же, как реальный внешний злоумышленник. Это наиболее реалистичная симуляция внешней атаки, но она может занять много времени, и некоторые внутренние уязвимости могут быть упущены.
«Белый ящик» работает более детально, как главный архитектор здания, у которого есть все чертежи, схемы электропроводки, спецификации материалов и мастер-ключи от всех дверей. Он может провести самую исчерпывающую проверку, так как обладает полной информацией о системе, поэтому метод обеспечивает максимальную глубину анализа, но он наименее реалистичен с точки зрения симуляции атаки извне.
Иногда тестировщиком может быть рядовой сотрудник с обычным пропуском, работая по принципу «Серого ящика». У него есть некоторые знания (где находится его отдел, как пройти в столовую) и ограниченный доступ. Этот тест имитирует действия злоумышленника, который уже преодолел первую линию защиты (например, украл учетные данные сотрудника) или инсайдера, и сочетает реализм «черного ящика» с глубиной «белого».
Преимущества и ограничения сетевого сканирования
На первый взгляд кажется, что нужно выбрать что-то одно: либо полноту с риском, либо безопасность с пробелами. Однако наиболее зрелый подход заключается не в выборе, а в умном сочетании: пассивное сканирование может работать в режиме 24/7 как «сигнализация», постоянно отслеживая активность (как только эта сигнализация обнаруживает новое, неизвестное устройство, она автоматически запускает целенаправленное и более осторожное активное сканирование именно этого устройства). Многие компании концентрируются на защите от внешних угроз, строя высокие «крепостные стены», и неаутентифицированное сканирование идеально подходит для проверки прочности этих стен (однако статистика показывает, что самые разрушительные атаки часто происходят после того, как злоумышленник уже попал внутрь, например, украв пароль обычного сотрудника).
Заключение
Мы прошли долгий путь: от составления карты вашей цифровой крепости (сетевое сканирование) до тщательной инспекции каждого замка (сканирование портов и различные способы сканирования на уязвимости). Главный вывод из этого путешествия прост: безопасность – это не разовый проект, а непрерывный цикл бдительности, включающий комбинирование технологий. Надежная крепость – это та, которую постоянно патрулируют, инспектируют и поддерживают в хорошем состоянии, а когда ресурсов на это мало можно задуматься об автоматизации.
