Руслан Рахметов, Security Vision
Оглавление
3. Рекомендации по внедрению и использованию
4. Часто задаваемые вопросы (FAQ)
1. Введение
В прошлой статье мы рассказывали про то, как устроено сетевое сканирование и чем оно отличается от сканирования на уязвимости, упоминали порты и службы, аутентифицированные и неаутентифицированные методы, разные режимы сканирования и агрессивности. В текущей же статье мы сосредоточимся на технологическом аспекте. Современные веб-приложения (например, ваш интернет-банк или корпоративный портал) – это не стандартные комнаты (ИТ-активы из прошлого обзора), а сложные, сделанные на заказ механизмы внутри крепости, поэтому для их проверки требуются особые методы диагностики.
Чаще всего приложения - как уникальный, собранный вручную автомобиль, поэтому их проверка может проходить тремя способами:
- SAST (Static Application Security Testing), статическое тестирование. Это как, если бы инженер-механик изучал чертежи автомобиля (исходный код) еще до того, как будет изготовлена первая деталь. Так он может заметить конструктивные просчеты, слабые материалы или ошибки в расчетах прямо на бумаге, находить и исправлять проблемы на этом этапе очень дешево. Однако инженер может поднять тревогу из-за особенности чертежа, которая в реальности не создала бы никакой проблемы (это называется «ложное срабатывание»). Это сканирование работает как «белый ящик» в сканере уязвимостей.
- DAST (Dynamic Application Security Testing), или динамическое тестирование. Это похоже на работу манекена для краш-тестов, когда вы берете полностью собранный, работающий автомобиль и проверяете его снаружи: врезаете в стену, поливаете из брандспойта, пытаетесь вскрыть двери. Вы не знаете, как устроен двигатель, вы просто фиксируете, что происходит при внешнем воздействии. Этот метод отлично находит реальные, эксплуатируемые проблемы (например, что дверь легко отваливается при ударе), но он применяется на поздних стадиях, и когда что-то ломается, вы не всегда сразу понимаете, почему это произошло. Это подход «черного ящика» в сканере.
- Существует также интерактивное тестирование, IAST (Interactive Application Security Testing). Это самый продвинутый тест, когда вы устанавливаете датчики внутрь двигателя, на подвеску и в салон автомобиля, в то время как манекен для краш-тестов им управляет. Когда происходит сбой, внутренние датчики мгновенно сообщают, какая именно деталь сломалась, при каком давлении и по какой причине. Это подход «серого ящика».
А теперь мы расскажем про эти манекены и датчики.
2. Методы и технологии
Чтобы все запросы в сетях, ответы и данные, перемещались упорядоченно и без потерь, нужна надежная система правил. Эту роль выполняет стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol), фундаментальный набор правил, по которым работает весь интернет. Представим его как внутреннюю почтовую службу нашей крепости.
- IP (Internet Protocol), как почтальон, который отвечает за адресацию, смотрит на конверт и убеждается, что на нем правильно указан номер комнаты (IP-адрес) и номер почтовой щели (порт). Его задача — доставить конверт по правильному адресу.
- TCP (Transmission Control Protocol), как педантичный делопроизводитель, отвечающий за надежность доставки. Если нужно отправить длинное письмо из десяти страниц, он пронумерует каждую страницу, отправит их по одной (пакетами), дождется от получателя подтверждения, а, если какая-то страница потеряется, отправит ее снова (для сохранения целостности и доступности данных).
Именно благодаря TCP мы можем быть уверены, что файл, который мы скачиваем, или веб-страница, которую мы открываем, дойдут до нас целиком и без искажений. Эта надежная система лежит в основе всех операций сканирования, позволяя точно отправлять запросы и анализировать ответы.
Nmap (Network Mapper) – это фундаментальный, бесплатный инструмент с открытым исходным кодом для обнаружения устройств в сети и сканирования портов. Это первое, что используется для создания «плана этажей» нашей крепости. Он невероятно гибок и мощен, может выполнять десятки различных типов сканирования: от простого вопроса «Есть кто в этой комнате?» (ping sweep) до сложных проверок, позволяющих определить операционную систему на удаленном компьютере (OS detection) или версию службы на открытом порту. Это незаменимый мультитул охранника, в котором есть и дальномер для составления плана, и набор отмычек для проверки замков, и лупа для изучения табличек на дверях.
Существуют и специализированные сканеры уязвимостей, например Security Vision VS. Их задача – взять карту, созданную инструментом вроде Nmap, и методично проверить каждый актив в сети на соответствие огромной базе данных известных уязвимостей. Это специализированные инспекторские наборы, которые охранник использует после первичного обхода. Они содержат подробные каталоги всех известных моделей дефектных замков (базы CVE, Common Vulnerabilities and Exposures), инструменты для их проверки и систему для создания отчета с приоритетами, указывающего, какие замки требуют немедленной замены.
CVE, который мы упомянули выше, это уникальный идентификатор для каждой известной уязвимости. Представьте, что в мире существует модель замка «LockMaster Pro Series 1», в которой обнаружили заводской брак. CVE – это универсальный «артикул» для этого брака, например, CVE-2021-44228. Когда охранники в разных странах мира говорят об этой уязвимости, они используют ее номер CVE, и все точно понимают, о каком именно дефектном замке идет речь. Это общий словарь уязвимостей. Мы говорили об этом фреймворке ранее, вместе с CVSS (Common Vulnerability Scoring System), поэтому не будем углубляться в особенности в текущем обзоре.
Помимо датчиков и способов оценки поиск уязвимостей может выполняться двумя способами: с агентами и без.
Если на устройстве (компьютере, сервере) установлен программный «агент», то работает он так, как если бы у каждого члена вашей семьи был личный миниатюрный робот-доктор, который постоянно находится с ним, измеряет температуру, следит за пульсом и немедленно сообщает о любых проблемах. Этот метод обеспечивает очень глубокий и постоянный контроль в реальном времени («Доктор» видит все внутренние процессы, установленные программы и файлы, что позволяет находить уязвимости с максимальной точностью), но установка и обновление таких «докторов» на каждом устройстве требует времени и усилий. Кроме того, они потребляют ресурсы самого устройства (память, процессор), что может немного замедлять его работу. На некоторые устройства, например, на сетевой принтер, такого «доктора» установить невозможно, поэтому там больше подходит вариант безагентского поиска.
Безагентское сканирование не требует установки какого-либо программного обеспечения на устройства. Вместо этого сканер работает удаленно, подключаясь к устройствам по сети, чтобы собрать необходимую информацию. Это можно сравнить с врачом, который приходит к вам домой для планового осмотра: он не живет с вами, а лишь периодически заходит, задает вопросы (отправляет сетевые запросы) и осматривает вас, чтобы оценить состояние здоровья (проводит анализ защищенности, ищет уязвимости). Этот подход очень легко и быстро развернуть, ведь не нужно ничего устанавливать на сотни компьютеров, он не влияет на производительность устройств и может охватить всю сеть. Но такой «осмотр» происходит периодически, а не постоянно, поэтому он дает «снимок» состояния на определенный момент времени, а не непрерывную картину (поэтому важно либо следить за выполнением этого цикла, либо автоматизировать, как мы любим).
Чаще всего компании находят компромисс между глубиной и точностью (агент) и широтой охвата и простотой развертывания (безагентский метод) и используют оба подхода одновременно для наилучшего результата.
3. Рекомендации по внедрению и использованию
Раз уж речь зашла про достижение наилучших результатов, мы поделимся с вами советами по тому, как выстроить этот процесс. Чтобы система безопасности работала эффективно, а не создавала хаос, необходимо следовать проверенным практикам:
Планирование патрулей (частота и расписание)
Как мы уже говорили, сканирование – это не разовое мероприятие, а постоянный процесс, частоту и время проведения которого нужно планировать стратегически, чтобы обеспечить максимальный охват и не мешать основной работе компании. Хороший начальник службы безопасности не заставляет своих охранников проверять каждую дверь в крепости каждые пять минут (это было бы неэффективно и раздражало бы сотрудников), вместо чего он создает умное расписание:
- Серверная комната с критически важными данными проверяется ежедневно, возможно, в ночное время, чтобы не создавать нагрузку.
- Рабочие станции обычных сотрудников сканируются еженедельно, но только в рабочее время, когда они гарантированно включены.
- Внешний периметр (стены крепости) проходит полную проверку раз в месяц.
- Шумные и потенциально разрушительные тесты (агрессивное активное сканирование) планируются на выходные или праздничные дни, чтобы не влиять на бизнес-процессы.
Риск ложных тревог (False Positives и False Negatives)
Ни один сканер не идеален, в его отчетах могут встречаться два типа ошибок:
- False Positive (ложноположительное срабатывание), когда сканер сообщает о проблеме, которой на самом деле нет. Это, как если бы датчик движения в коридоре сработал от порыва ветра из кондиционера. Если таких ложных тревог будет слишком много, охранники начнут игнорировать сигналы, и в итоге пропустят настоящую угрозу.
- False Negative (ложноотрицательное срабатывание), когда сканер не замечает реально существующую проблему. Представьте, что опытный вор прокрался мимо камеры, не вызвав тревоги – это самый опасный сценарий. Он создает ложное чувство безопасности, в то время как реальная угроза уже находится внутри и остается незамеченной.
Задача специалистов – правильно настраивать сканеры и анализировать их результаты, чтобы минимизировать оба типа ошибок, а еще можно применять различные инструменты для автоматического расчета и снижения таких ошибок (как, например, мультисканер, поддерживающий одновременную работу любого количества сканеров с обработкой всех результатов в едином интерфейсе SV VS).
От отчета к ремонту (жизненный цикл управления уязвимостями)
Зрелая программа безопасности следует четкому жизненному циклу, который гарантирует, что проблемы не просто найдены, но и устранены. Этот процесс очень похож на заботу о здоровье, в котором есть:
- Обнаружение (Диагностика), как полное обследование организма с помощью МРТ и анализов крови. В результате вы получаете список всех потенциальных проблем со здоровьем (а в случае ИТ-систем – список всех обнаруженных уязвимостей). Лучше, когда проблемами занимается профильный доктор, который учитывает особенности пациента и систем его органов, как это делает ресурсно-сервисная модель для ИТ-активов и бизнес-процессов.
- Приоритизация (Триаж), когда врач (команда безопасности) изучает результаты. Слегка повышенный холестерин – это повод для беспокойства, но критическая закупорка сосудов требует немедленного вмешательства. Поэтому в оценке уязвимостей учитываются CVSS и важность актива (которыми можно, например, управлять через матрицы и деревья решений в модулях Security Vision).
- Устранение (Лечение), непосредственно процесс исправления проблемы: установка патча (прием лекарства), изменение конфигурации (смена диеты) или вывод системы из эксплуатации (хирургическая операция). В работе модуля SV VM такое лечение может выполняться автоматически (автопатчинг с установкой обновлений без участия человека).
- Проверка (Повторный анализ), когда после курса лечения врач назначает повторные анализы, чтобы убедиться, что проблема решена. В кибербезопасности это означает повторное сканирование системы, чтобы подтвердить, что уязвимость действительно закрыта, а в нашем сканере повторное сканирование может автоматически закрывать задачи специалистов.
Автоматизация реагирования (роль SOAR)
В крупной организации количество оповещений от сканеров может достигать тысяч в день, обрабатывать их вручную невозможно и на помощь приходят платформы класса SOAR (Security Orchestration, Automation, and Response). Платформа SOAR, такая как Security Vision – это центральный, управляемый искусственным интеллектом командный центр безопасности крепости. Конечно, SOAR заточен в основном на работу с инцидентами, но его интеграция в экосистему позволяет добиться синергии.
Создание заявок для ремонтной бригады (ИТ-отдела), временная блокировка электронных замков во всем коридоре (изоляция систему в сети), загрузка записей с камер видеонаблюдения из этой зоны (сбор дополнительные данные об инциденте в его окрестности) и формирование полного отчета об инциденте – всё это происходит за секунды, сокращая время реакции с часов до мгновений и освобождая людей-аналитиков для решения более сложных и творческих задач.
4. Часто задаваемые вопросы (FAQ)
Законно ли проводить сетевое сканирование?
Сканировать сети и системы, которые принадлежат вам или на сканирование которых у вас есть явное письменное разрешение, абсолютно законно. Однако сканирование чужой сети без разрешения является незаконным и во многих странах рассматривается как уголовное преступление. Всегда действуйте в рамках закона и этических норм.
С какого инструмента лучше всего начать малому бизнесу?
Для простого составления карты вашей сети и понимания, какие устройства к ней подключены, Nmap является мощной и бесплатной отправной точкой. Для небольших компаний, которым нужно простое в использовании решение с профессиональной поддержкой, лучшей инвестицией может стать – приобретение коробочного сканера (например, Nessus или SV VS Basic). А для крупных компаний подойдет Enterprise-решение.
Как часто нужно сканировать нашу сеть?
Это зависит от типа и критичности актива. Критически важные системы, доступные из интернета (например, ваш веб-сайт), следует сканировать ежедневно или еженедельно, внутренние серверы можно проверять еженедельно или ежемесячно, а рабочие станции – по мере необходимости, но регулярно. Ключевой момент — создать график сканирования, основанный на оценке рисков и потенциального влияния на бизнес (как мы это делаем в ресурсно-сервисной модели).
.jpg)
