Что такое сканер уязвимостей
Обновлено: 21.11.2024
После того как уязвимости будут выявлены путем сканирования и оценки, организация может приступить к их устранению, например исправлению уязвимостей, закрытию опасных портов, исправлению неправильных конфигураций и даже изменению паролей по умолчанию, например в Интернете вещей (IoT) и других. устройства.
Преимущества сканирования уязвимостей
Сканирование уязвимостей является жизненно важной частью общего подхода вашей команды безопасности к управлению ИТ-рисками по нескольким причинам
Сканирование уязвимостей позволяет использовать упреждающий подход для устранения любых брешей и обеспечения надежной безопасности ваших систем, данных, сотрудников и клиентов. Утечки данных часто являются результатом незакрытых уязвимостей, поэтому выявление и устранение этих брешей в системе безопасности устраняет этот вектор атаки.
Соответствие требованиям и нормам кибербезопасности требует безопасных систем. Например, NIST, PCI DSS и HIPAA уделяют особое внимание сканированию уязвимостей для защиты конфиденциальных данных.
Киберпреступники также имеют доступ к инструментам сканирования уязвимостей, поэтому очень важно выполнить сканирование и принять меры по восстановлению, прежде чем хакеры смогут воспользоваться какими-либо уязвимостями безопасности.
Основные типы сканирования уязвимостей
Некоторые из инструментов сканирования уязвимостей обладают комплексным охватом и могут выполнять несколько типов сканирования в разнородных средах, включая локальные, Unix, Linux, Windows, облачные, удаленные и локальные. Другие инструменты сканирования предназначены для определенных ниш, поэтому всегда важно тщательно изучить варианты использования, прежде чем инвестировать в сканер.
Теперь давайте рассмотрим несколько различных типов сканирования уязвимостей, каждый из которых имеет свое место в зависимости от ваших вариантов использования.
Сканирование с учетными данными и сканирование без учетных данных
Сканирование с учетными данными и сканирование без учетных данных (также называемые сканированием с проверкой подлинности и сканированием без проверки подлинности) — это две основные категории сканирования уязвимостей.
Сканирование без учетных данных, как следует из названия, не требует учетных данных и не обеспечивает надежного доступа к сканируемым системам. Хотя они позволяют взглянуть на среду со стороны, они, как правило, пропускают большинство уязвимостей в целевой среде. Таким образом, хотя они могут предоставить ценную информацию как потенциальному злоумышленнику, так и специалисту по безопасности, пытающемуся оценить риск извне, сканирование без учетных данных дает очень неполную картину подверженности уязвимостям.
С другой стороны, сканирование с учетными данными требует входа в систему с заданным набором учетных данных. Эти аутентифицированные сканирования выполняются с точки зрения доверенного пользователя на окружающую среду. Сканирование с учетными данными выявляет множество уязвимостей, которые могут быть упущены при традиционном сканировании (без учетных данных). Поскольку для сканирования с использованием учетных данных требуются привилегированные учетные данные для получения доступа для сканирования, организациям следует интегрировать автоматизированный инструмент управления привилегированными паролями со средством сканирования уязвимостей, чтобы обеспечить упрощение и безопасность этого процесса (например, за счет предотвращения устаревания учетных данных сканирования).
Вот некоторые другие способы классификации сканирования в зависимости от варианта использования.
Эти сканирования нацелены на области вашей ИТ-экосистемы, которые доступны для доступа в Интернет или иным образом не ограничены вашими внутренними пользователями или системами. Они могут включать веб-сайты, порты, службы, сети, системы и приложения, к которым должны иметь доступ внешние пользователи или клиенты.
Внутреннее сканирование уязвимостей
Они сканируют внутреннюю корпоративную сеть и нацеливаются на нее. Они могут выявлять уязвимости, которые оставляют вас уязвимыми, когда кибератака или вредоносное ПО проникают внутрь. Эти проверки позволяют усилить и защитить приложения и системы, которые обычно не подвергаются внешнему сканированию.
Эти проверки основаны на среде, в которой работает ваша технология. Специализированные проверки доступны для различных развертываний технологий, включая облачные устройства, устройства Интернета вещей, мобильные устройства, веб-сайты и многое другое.
Навязчивое и ненавязчивое сканирование
Ненавязчивое сканирование просто выявляет уязвимость и сообщает о ней, чтобы вы могли ее исправить. Навязчивое сканирование пытается использовать уязвимость, когда она найдена. Это может выявить вероятный риск и влияние уязвимости, но также может нарушить работу ваших операционных систем и процессов и вызвать проблемы у ваших сотрудников и клиентов, поэтому используйте интрузивное сканирование с осторожностью.
Проблемы комплексного сканирования уязвимостей
При сканировании уязвимостей возникает несколько проблем:
Сканирование представляет собой только момент времени
Большинство сканирований представляют собой «моментальные снимки», а не непрерывные. Поскольку ваши системы постоянно меняются, вам следует регулярно запускать сканирование по мере изменения вашей ИТ-экосистемы
Для сканирования может потребоваться участие человека или дополнительные интеграции
Несмотря на то, что сам процесс сканирования легко автоматизировать, эксперту по безопасности все же может потребоваться просмотреть результаты, выполнить исправление и принять последующие меры для снижения рисков. Многие организации также интегрируют сканирование уязвимостей с автоматическим управлением исправлениями и другими решениями, чтобы уменьшить административную нагрузку на человека. Несмотря на это, сканирование само по себе является лишь первым шагом в жизненном цикле управления уязвимостями.
Для сканирования с учетными данными может потребоваться множество учетных данных привилегированного доступа
В зависимости от желаемой тщательности сканирования. Поэтому следует рассмотреть возможность автоматического управления и интеграции этих учетных данных со сканером, чтобы максимизировать как глубину сканирования, так и безопасность привилегированного доступа.
Сканирование выявляет только известные уязвимости
Хорошо ли средство сканирования уязвимостей настолько хорошо, насколько хороша его база данных известных ошибок и сигнатур. Постоянно появляются новые уязвимости, поэтому ваш инструмент необходимо постоянно обновлять.
На что обращать внимание в инструментах сканирования уязвимостей и оценки рисков
В списке приоритетов при оценке пригодности сканирования уязвимостей для вашего предприятия должны стоять четыре следующие возможности:
Частота обновлений
Ваша база данных сканера уязвимостей должна постоянно обновляться последними обнаруженными уязвимостями
Качество и количество уязвимостей
Ваш сканер должен обеспечить правильный баланс между выявлением всех уязвимостей, сведением к минимуму ложных срабатываний и отрицательных результатов и предоставлением высококачественной информации о недостатках, приоритетах угроз и путях устранения.
Ваш инструмент сканирования должен предоставлять исчерпывающие отчеты, которые позволят вам предпринять практические корректирующие действия.
Ваш сканер уязвимостей должен органично вписываться в вашу программу управления уязвимостями, которая должна включать управление исправлениями и другие решения.
При правильном применении средство сканирования уязвимостей играет важную роль в выявлении и оценке современных угроз безопасности, предоставляя вашей организации информацию, необходимую для принятия корректирующих мер, соблюдения нормативно-правовой базы и поддержания надежной кибербезопасности.
Не отставайте от BeyondTrust
Авторское право © Корпорация BeyondTrust, 1999 — 2022. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust Corporation не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом.
Сканирование уязвимостей – это процесс выявления слабых мест и недостатков системы безопасности в системах и работающем на них программном обеспечении. Это неотъемлемый компонент программы управления уязвимостями, главная цель которой — защитить организацию от взломов и раскрытия конфиденциальных данных. Эти программы основаны на оценке для оценки готовности к безопасности и минимизации рисков, а сканирование уязвимостей является важным инструментом в наборе инструментов кибербезопасности.
Есть две большие проблемы, связанные с традиционной оценкой уязвимостей: знать, что сканировать, и знать, когда сканировать:
- Поддержание в актуальном состоянии инвентаризации активов – важный первый шаг, требующий отдельного набора инструментов и стратегий.
- Очень важно убедиться, что ваши инструменты сканирования уязвимостей охватывают нетрадиционные активы, такие как устройства BYOD, IoT, мобильные ресурсы и облачные сервисы.
- В мире, где киберугрозы могут исходить с любого направления и в любое время, ключевым моментом является возможность настройки и выполнения непрерывного мониторинга и сканирования (в отличие от ежемесячных или ежеквартальных проверок уязвимостей).
Инструменты поиска уязвимостей
Сканер уязвимостей – это приложение, которое идентифицирует и создает список всех систем, подключенных к сети. Для каждого устройства, которое он идентифицирует, он также пытается идентифицировать работающую операционную систему и установленное на нем программное обеспечение, а также другие атрибуты, такие как открытые порты и учетные записи пользователей.
После создания инвентаризации сканер уязвимостей проверяет каждый элемент инвентаризации по одной или нескольким базам данных известных уязвимостей. Результатом является список всех систем, обнаруженных и идентифицированных в сети, с выделением тех, которые имеют известные уязвимости и требуют внимания.
Сканирование уязвимостей и тестирование на проникновение
Сканирование уязвимостей очень часто путают с тестированием на проникновение, но между ними есть существенные различия.
- Сканирование уязвимостей – это автоматизированный высокоуровневый тест, который ищет потенциальные уязвимости в системе безопасности, а тест на проникновение – это исчерпывающая проверка, в ходе которой живой человек действительно вникает в сложности вашей сети, чтобы использовать уязвимости в ваших системах.
- Сканирование уязвимостей выявляет только уязвимости, в то время как пентестер копает глубже, чтобы определить основную причину уязвимости, которая позволяет получить доступ к защищенным системам или хранимым конфиденциальным данным. Тестер пера также ищет уязвимости бизнес-логики, которые могут быть пропущены автоматическим сканером.
- Сканирование уязвимостей можно запускать вручную или автоматически, и оно может занять от нескольких минут до нескольких часов.
Сканирование уязвимостей как часть управления уязвимостями
Сканирование уязвимостей является неотъемлемым компонентом управления уязвимостями. Однако одного только сканера уязвимостей недостаточно, поскольку они не выходят за рамки отчета об обнаруженных уязвимостях. Уязвимости должны быть расставлены по приоритетам в порядке критичности для бизнеса, а затем добавлены в очередь исправления. Вы должны помнить следующее:
Определение сканера уязвимостей
Сканеры уязвимостей – это автоматизированные инструменты, которые позволяют организациям проверять, есть ли в их сетях, системах и приложениях уязвимости в системе безопасности, которые могут подвергнуть их атакам. Сканирование уязвимостей является обычной практикой в корпоративных сетях и часто предписывается отраслевыми стандартами и государственными постановлениями для повышения уровня безопасности организации.
Существует множество инструментов и продуктов в области сканирования уязвимостей, которые охватывают различные типы ресурсов и предлагают дополнительные функции, которые помогают компаниям реализовать полную программу управления уязвимостями — объединенные процессы, связанные с выявлением, классификацией и устранением уязвимостей.
Внешнее и внутреннее сканирование уязвимостей
Сканирование уязвимостей может выполняться снаружи или внутри сети или оцениваемого сегмента сети. Организации могут запускать внешнее сканирование из-за пределов своего сетевого периметра, чтобы определить подверженность атакам серверов и приложений, доступных непосредственно из Интернета. Между тем, внутреннее сканирование уязвимостей направлено на выявление уязвимостей, которые хакеры могут использовать для горизонтального перемещения к другим системам и серверам, если они получат доступ к локальной сети.
Легкость получения доступа к частям внутренней сети зависит от того, как сеть настроена и, что более важно, сегментирована. По этой причине любая программа управления уязвимостями должна начинаться с составления карты и инвентаризации систем организации и классификации их важности на основе предоставляемого ими доступа и данных, которые они содержат.
Некоторые отраслевые стандарты, такие как Стандарт безопасности данных индустрии платежных карт (PCI-DSS), требуют, чтобы организации ежеквартально выполняли как внешнее, так и внутреннее сканирование уязвимостей, а также каждый раз, когда устанавливаются новые системы или компоненты, топология сети меняется. , изменяются правила брандмауэра или обновляются различные программные продукты. Внешнее сканирование должно выполняться с использованием инструментов одобренного PCI поставщика средств сканирования (ASV).
В связи с широким распространением облачной инфраструктуры в последние годы процедуры сканирования уязвимостей должны быть адаптированы для включения в них также размещенных в облаке ресурсов. Внешнее сканирование особенно важно в этом контексте, поскольку неправильно настроенные и небезопасные развертывания баз данных и других служб в облаке были обычным явлением.
Сканирование уязвимостей должно дополняться тестированием на проникновение. Это разные процессы, которые имеют общую цель выявления и оценки слабых мест в безопасности. Сканирование уязвимостей — это автоматизированное действие, основанное на базе данных известных уязвимостей, таких как CVE/NVD (производители сканирования имеют более полные базы данных), но обычно не включает использование выявленных уязвимостей. Между тем, тестирование на проникновение является более сложным процессом, который включает в себя ручное зондирование и использование профессионалом безопасности для имитации того, что сделал бы реальный злоумышленник. Это приводит к более точной оценке риска, связанного с различными уязвимостями.
Сканирование уязвимостей с проверкой подлинности и без проверки подлинности
Сканирование уязвимостей может выполняться с проверкой подлинности и без проверки подлинности, а также с проверкой и без нее. Сканирование без учетных данных обнаруживает службы, открытые на компьютере по сети, и отправляет пакеты на их открытые порты, чтобы определить версию операционной системы, версию программного обеспечения, используемого для этих служб, наличие открытых общих файловых ресурсов и т. д. информация, доступная без аутентификации. На основе этих сведений сканер выполняет поиск в базе данных уязвимостей и составляет список уязвимостей, которые могут существовать в этих системах.
Аутентифицированное сканирование использует учетные данные для входа в систему для сбора более подробной и точной информации об операционной системе и программном обеспечении, установленных на сканируемых компьютерах.Некоторые программы могут быть недоступны по сети, но все же могут иметь уязвимости, которые подвержены другим направлениям атак, таким как открытие вредоносных файлов или доступ к вредоносным веб-страницам. Некоторые решения для оценки уязвимостей используют легкие программные агенты, развернутые на компьютерах, в дополнение к сетевым сканерам, чтобы получить более полное представление о состоянии безопасности различных систем в организации.
Хотя сканирование с проверкой подлинности собирает лучшую информацию и, следовательно, может обнаружить больше уязвимостей, чем сканирование без проверки подлинности, обычно сканирование уязвимостей дает некоторые ложноположительные результаты. Это связано с тем, что могут быть уязвимости, которые были устранены с помощью различных обходных путей или средств управления безопасностью без установки исправлений и обновления версии уязвимого приложения.
Сканирование уязвимостей в некоторых случаях может привести к перегрузке сети или замедлению работы систем, поэтому оно часто выполняется в нерабочее время, когда меньше вероятность того, что оно вызовет сбои.
Уязвимости, обнаруженные сканерами, должны быть проверены, отсортированы и исследованы группами безопасности, и во многих случаях сканеры уязвимостей являются частью более крупных решений, разработанных для помощи во всем процессе управления уязвимостями.
Команды службы безопасности могут использовать тестирование на проникновение для проверки уязвимостей и более точного определения фактического риска, не полагаясь только на оценки серьезности, указанные в базах данных уязвимостей. Тестирование на проникновение также проверяет эффективность других средств защиты, которые уже могут быть установлены и могут помешать использованию проблемы безопасности. По словам Rapid7, поставщика средств управления уязвимостями, специалисты по безопасности должны задать себе следующие вопросы при оценке результатов сканирования уязвимостей:
- Является ли эта уязвимость истинным или ложным срабатыванием?
- Может ли кто-то напрямую воспользоваться этой уязвимостью из Интернета?
- Насколько сложно использовать эту уязвимость?
- Известен ли опубликованный код эксплойта для этой уязвимости?
- Как повлияет на бизнес использование этой уязвимости?
- Существуют ли какие-либо другие меры безопасности, которые снижают вероятность и/или последствия использования этой уязвимости?
- Сколько лет уязвимости/как долго она существует в сети?
Сканеры уязвимостей веб-приложений
Сканеры уязвимостей веб-приложений — это специализированные инструменты, которые могут находить уязвимости на веб-сайтах и в других веб-приложениях. В то время как сканер сетевых уязвимостей сканирует сам веб-сервер, включая его операционную систему, демон веб-сервера и различные другие открытые службы, такие как службы баз данных, работающие в той же системе, сканеры веб-приложений фокусируются на коде приложения. р>
В отличие от сетевых сканеров уязвимостей, которые используют базу данных известных уязвимостей и неправильных конфигураций, сканеры веб-приложений ищут распространенные типы веб-уязвимостей, такие как межсайтовый скриптинг (XSS), внедрение SQL, внедрение команд и обход пути. Таким образом, они могут найти ранее неизвестные уязвимости, которые могут быть уникальными для тестируемого приложения. Это также известно как динамическое тестирование безопасности приложений (DAST) и часто используется тестировщиками на проникновение.
Сканеры веб-приложений используются вместе с инструментами статического тестирования безопасности приложений (SAST), которые анализируют фактический исходный код веб-приложений на этапе разработки в рамках безопасных жизненных циклов разработки (SDLC). Проект Open Web Application Security Project (OWASP) ведет список инструментов DAST и SAST и запускает для них проект сравнительного анализа.
В зависимости от того, как они настроены, сканирование уязвимостей внешних веб-приложений может генерировать большой трафик, который может перегрузить сервер и привести к отказу в обслуживании и другим проблемам. Из-за этого обычно тестирование уязвимостей интегрируется в процессы DevOps и QA с помощью так называемых инструментов интерактивного тестирования безопасности приложений (IAST), которые дополняют SAST и DAST. Это помогает выявлять уязвимости и небезопасные конфигурации до того, как приложения будут выпущены в рабочую среду.
Непрерывное управление уязвимостями
Если сканирование уязвимостей проводится ежемесячно или ежеквартально, оно позволяет получить только своевременный снимок и не отражает состояния безопасности тестируемых систем между сканированиями. Это может привести к значительным пробелам, и именно поэтому индустрия безопасности рекомендует увеличить частоту сканирования уязвимостей в рамках подхода, называемого непрерывным управлением уязвимостями.
Центр интернет-безопасности (CIS), который поддерживает популярные элементы управления CIS, рекомендует проводить сканирование еженедельно или чаще, но для повышения эффективности сканирование должно сопровождаться увеличением частоты установки исправлений.CIS рекомендует организациям развертывать инструменты и политики автоматического обновления программного обеспечения, чтобы их системы и приложения получали последние исправления безопасности как можно быстрее.
Некоторые поставщики также предлагают пассивные сканеры или датчики, которые постоянно контролируют сеть для выявления любых новых систем или приложений, добавляемых в среду. Это позволяет предприятиям немедленно сканировать эти активы и убедиться, что они не содержат уязвимостей, прежде чем будет запланировано следующее сканирование всей сети.
Несколько организаций выпустили руководство по сканированию уязвимостей и управлению ими, в том числе NIST, US-CERT, Институт SANS и NCSC Великобритании.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.
Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.
Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.
ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .
Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .
Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.
Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной
Оператор мобильной связи добился самого значительного прироста клиентов с потребительскими контрактами с 2012 года и увеличения EBITDA на 10 % с постепенным увеличением.
Внедрение систем EPR в организациях NHS поможет активизировать усилия по цифровой трансформации и является ключом к достижению результатов.
Читайте также: