По какой причине компании сложно использовать сканеры сетевой безопасности в тестовом режиме

Обновлено: 05.07.2024

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.

Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.

Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.

ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .

Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.

Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной

Оператор мобильной связи добился самого значительного прироста клиентов с потребительскими контрактами с 2012 года и увеличения EBITDA на 10 % с постепенным увеличением.

Внедрение систем EPR в организациях NHS поможет активизировать усилия по цифровой трансформации и является ключом к достижению результатов.

Определение сканера уязвимостей

Сканеры уязвимостей – это автоматизированные инструменты, которые позволяют организациям проверять, есть ли в их сетях, системах и приложениях уязвимости в системе безопасности, которые могут подвергнуть их атакам. Сканирование уязвимостей является обычной практикой в корпоративных сетях и часто предписывается отраслевыми стандартами и государственными постановлениями для повышения уровня безопасности организации.

Существует множество инструментов и продуктов в области сканирования уязвимостей, которые охватывают различные типы ресурсов и предлагают дополнительные функции, которые помогают компаниям реализовать полную программу управления уязвимостями — объединенные процессы, связанные с выявлением, классификацией и устранением уязвимостей.

Внешнее и внутреннее сканирование уязвимостей

Сканирование уязвимостей может выполняться снаружи или внутри сети или оцениваемого сегмента сети. Организации могут запускать внешнее сканирование из-за пределов своего сетевого периметра, чтобы определить подверженность атакам серверов и приложений, доступных непосредственно из Интернета. Между тем, внутреннее сканирование уязвимостей направлено на выявление уязвимостей, которые хакеры могут использовать для горизонтального перемещения к другим системам и серверам, если они получат доступ к локальной сети.

Легкость получения доступа к частям внутренней сети зависит от того, как сеть настроена и, что более важно, сегментирована. По этой причине любая программа управления уязвимостями должна начинаться с составления карты и инвентаризации систем организации и классификации их важности на основе предоставляемого ими доступа и данных, которые они содержат.

Некоторые отраслевые стандарты, такие как Стандарт безопасности данных индустрии платежных карт (PCI-DSS), требуют, чтобы организации ежеквартально выполняли как внешнее, так и внутреннее сканирование уязвимостей, а также каждый раз, когда устанавливаются новые системы или компоненты, топология сети меняется. , изменяются правила брандмауэра или обновляются различные программные продукты. Внешнее сканирование должно выполняться с использованием инструментов одобренного PCI поставщика средств сканирования (ASV).

В связи с широким распространением облачной инфраструктуры в последние годы процедуры сканирования уязвимостей должны быть адаптированы для включения в них также размещенных в облаке ресурсов. Внешнее сканирование особенно важно в этом контексте, потому что неправильно настроенные и небезопасные развертывания баз данных и других служб в облаке были обычным явлением.

Сканирование уязвимостей должно дополняться тестированием на проникновение. Это разные процессы, которые имеют общую цель выявления и оценки слабых мест в безопасности. Сканирование уязвимостей — это автоматизированное действие, основанное на базе данных известных уязвимостей, таких как CVE/NVD (производители сканирования имеют более полные базы данных), но обычно не включает использование выявленных уязвимостей. Между тем, тестирование на проникновение является более сложным процессом, который включает в себя ручное зондирование и использование профессионалом безопасности для имитации того, что сделал бы реальный злоумышленник. Это приводит к более точной оценке риска, связанного с различными уязвимостями.

Сканирование уязвимостей с проверкой подлинности и без проверки подлинности

Сканирование уязвимостей может выполняться с проверкой подлинности и без проверки подлинности, а также с проверкой и без нее. Сканирование без учетных данных обнаруживает службы, открытые на компьютере по сети, и отправляет пакеты на их открытые порты, чтобы определить версию операционной системы, версию программного обеспечения, используемого для этих служб, наличие открытых общих файловых ресурсов и т. д. информация, доступная без аутентификации. На основе этих сведений сканер выполняет поиск в базе данных уязвимостей и составляет список уязвимостей, которые могут существовать в этих системах.

Аутентифицированное сканирование использует учетные данные для входа в систему для сбора более подробной и точной информации об операционной системе и программном обеспечении, установленных на сканируемых компьютерах. Некоторые программы могут быть недоступны по сети, но все же могут иметь уязвимости, которые подвержены другим направлениям атак, таким как открытие вредоносных файлов или доступ к вредоносным веб-страницам. Некоторые решения для оценки уязвимостей используют легкие программные агенты, развернутые на компьютерах, в дополнение к сетевым сканерам, чтобы получить более полное представление о состоянии безопасности различных систем в организации.

Хотя сканирование с проверкой подлинности собирает лучшую информацию и, следовательно, может обнаружить больше уязвимостей, чем сканирование без проверки подлинности, обычно сканирование уязвимостей дает некоторые ложноположительные результаты. Это связано с тем, что могут быть уязвимости, которые были устранены с помощью различных обходных путей или средств управления безопасностью без установки исправлений и обновления версии уязвимого приложения.

Сканирование уязвимостей в некоторых случаях может привести к перегрузке сети или замедлению работы систем, поэтому оно часто выполняется в нерабочее время, когда меньше вероятность того, что оно вызовет сбои.

Уязвимости, обнаруженные сканерами, должны быть проверены, отсортированы и исследованы группами безопасности, и во многих случаях сканеры уязвимостей являются частью более крупных решений, разработанных для помощи во всем процессе управления уязвимостями.

Команды службы безопасности могут использовать тестирование на проникновение для проверки уязвимостей и более точного определения фактического риска, не полагаясь только на оценки серьезности, указанные в базах данных уязвимостей. Тестирование на проникновение также проверяет эффективность других средств защиты, которые уже могут быть установлены и могут помешать использованию проблемы безопасности. По словам Rapid7, поставщика средств управления уязвимостями, специалисты по безопасности должны задать себе следующие вопросы при оценке результатов сканирования уязвимостей:

Является ли эта уязвимость истинным или ложным срабатыванием?
Может ли кто-то напрямую воспользоваться этой уязвимостью из Интернета?
Насколько сложно использовать эту уязвимость?
Известен ли опубликованный код эксплойта для этой уязвимости?
Как повлияет на бизнес использование этой уязвимости?
Существуют ли какие-либо другие меры безопасности, которые снижают вероятность и/или последствия использования этой уязвимости?
Сколько лет уязвимости/как долго она существует в сети?

Сканеры уязвимостей веб-приложений

Сканеры уязвимостей веб-приложений — это специализированные инструменты, которые могут находить уязвимости на веб-сайтах и в других веб-приложениях. В то время как сканер сетевых уязвимостей сканирует сам веб-сервер, включая его операционную систему, демон веб-сервера и различные другие открытые службы, такие как службы баз данных, работающие в той же системе, сканеры веб-приложений фокусируются на коде приложения.

В отличие от сетевых сканеров уязвимостей, которые используют базу данных известных уязвимостей и неправильных конфигураций, сканеры веб-приложений ищут распространенные типы веб-уязвимостей, такие как межсайтовый скриптинг (XSS), внедрение SQL, внедрение команд и обход пути. Таким образом, они могут найти ранее неизвестные уязвимости, которые могут быть уникальными для тестируемого приложения. Это также известно как динамическое тестирование безопасности приложений (DAST) и часто используется тестировщиками на проникновение.

Сканеры веб-приложений используются вместе с инструментами статического тестирования безопасности приложений (SAST), которые анализируют фактический исходный код веб-приложений на этапе разработки в рамках безопасных жизненных циклов разработки (SDLC). Проект Open Web Application Security Project (OWASP) ведет список инструментов DAST и SAST и запускает для них проект сравнительного анализа.

В зависимости от того, как они настроены, сканирование уязвимостей внешних веб-приложений может генерировать большой трафик, который может перегрузить сервер и привести к отказу в обслуживании и другим проблемам. Из-за этого обычно тестирование уязвимостей интегрируется в процессы DevOps и QA с помощью так называемых инструментов интерактивного тестирования безопасности приложений (IAST), которые дополняют SAST и DAST. Это помогает выявлять уязвимости и небезопасные конфигурации до того, как приложения будут выпущены в рабочую среду.

Непрерывное управление уязвимостями

Если сканирование уязвимостей проводится ежемесячно или ежеквартально, оно позволяет получить только своевременный снимок и не отражает состояния безопасности тестируемых систем между сканированиями. Это может привести к значительным пробелам, и именно поэтому индустрия безопасности рекомендует увеличить частоту сканирования уязвимостей в рамках подхода, называемого непрерывным управлением уязвимостями.

Центр интернет-безопасности (CIS), который поддерживает популярные элементы управления CIS, рекомендует проводить сканирование еженедельно или чаще, но для повышения эффективности сканирование должно сопровождаться увеличением частоты установки исправлений. CIS рекомендует организациям развертывать инструменты и политики автоматического обновления программного обеспечения, чтобы их системы и приложения получали последние исправления безопасности как можно быстрее.

Некоторые поставщики также предлагают пассивные сканеры или датчики, которые постоянно контролируют сеть для выявления любых новых систем или приложений, добавляемых в среду. Это позволяет предприятиям немедленно сканировать эти активы и убедиться, что они не содержат уязвимостей, прежде чем будет запланировано следующее сканирование всей сети.

Несколько организаций выпустили руководство по сканированию уязвимостей и управлению ими, в том числе NIST, US-CERT, Институт SANS и NCSC Великобритании.

Если вы храните данные в сети своей организации, вы хотите, чтобы сеть была максимально защищена, без каких-либо уязвимостей, которые могут быть использованы злоумышленниками; поэтому вам необходимо выявить дыры и слабые места в вашей сети.

Сканирование уязвимостей, сопровождающее тестирование на проникновение и используемое для оценки, помогает выявить эти слабые места.

Что такое поиск уязвимостей?

Сканирование уязвимостей, также известное как сканирование уязвимостей, представляет собой автоматизированный процесс упреждающего выявления уязвимостей в сети, приложениях и системе безопасности. Сканирование уязвимостей обычно выполняется ИТ-отделом организации или сторонним поставщиком услуг безопасности. Это сканирование также выполняется злоумышленниками, которые пытаются найти точки входа в вашу сеть.

Процесс сканирования включает обнаружение и классификацию слабых мест в сетях, коммуникационном оборудовании и компьютерах. Помимо выявления брешей в системе безопасности, сканирование уязвимостей также позволяет прогнозировать, насколько эффективны контрмеры в случае угрозы или атаки.

Служба сканирования уязвимостей использует часть программного обеспечения, работающего с точки зрения человека или организации, проверяющих рассматриваемую поверхность атаки. Сканер уязвимостей использует базу данных для сравнения сведений о целевой поверхности атаки.

База данных содержит ссылки на известные недостатки, ошибки кодирования, аномалии построения пакетов, конфигурации по умолчанию и потенциальные пути к конфиденциальным данным, которые могут быть использованы злоумышленниками.

После того, как программное обеспечение проверит наличие возможных уязвимостей на любых устройствах в рамках задания, сканирование создаст отчет. Выводы, содержащиеся в отчете, можно затем проанализировать и интерпретировать, чтобы определить возможности организации для повышения уровня безопасности.

Категории сканирования сетевых уязвимостей

Сканирование сетевых уязвимостей можно разделить на категории в зависимости от вариантов использования:

Навязчивые и ненавязчивые методы
Внешний поиск уязвимостей
Внутренний поиск уязвимостей
Сканирование окружающей среды
Методы сканирования

Мы различаем два метода сканирования: неинтрузивное сканирование уязвимостей и интрузивную оценку уязвимостей. Ненавязчивый метод идентифицирует уязвимость и создает отчет для пользователя, чтобы исправить ее.Если используется метод неинтрузивного сканирования, во время этого процесса не происходит фактического использования уязвимости: сканер пытается обнаружить вероятность возникновения уязвимости с учетом условий. Однако интрузивные оценки предпринимают попытки использовать уязвимости после их обнаружения во время сканирования и создания плана атаки.

Основное преимущество интрузивного метода заключается в том, что при сканировании выявляются риски безопасности, а также последствия использования уязвимости. С другой стороны, эти сканирования могут нарушить процессы и операционные системы в сети, что может вызвать проблемы как для клиентов, так и для сотрудников организации; поэтому интрузивное сканирование следует использовать с осторожностью.

Типы сканирования

Внешнее сканирование уязвимостей нацелено на те области ИТ-экосистемы, которые открыты для доступа в Интернет или не ограничены для внутреннего использования. Эти области могут включать приложения, порты, веб-сайты, службы, сети и системы, к которым обращаются внешние клиенты или пользователи.

При внутреннем сканировании уязвимостей основной целью программного обеспечения является внутренняя сеть предприятия. Как только агент угроз проникает через дыру в системе безопасности, он может нанести ущерб корпоративным системам. Эти сканирования ищут и выявляют уязвимости внутри сети, чтобы избежать ущерба, а также позволяют организациям защищать и усиливать безопасность систем и приложений, которые не подвергаются внешнему сканированию.

Сканирование уязвимостей среды основано на конкретной среде технологических операций предприятия. Эти сканирования уязвимостей являются специализированными и доступны для развертывания для различных технологий, таких как устройства Интернета вещей, веб-сайты, облачные службы и мобильные устройства.

Как работает поиск уязвимостей?

В зависимости от типа сканирования, используемого платформой уязвимости, будут использоваться различные методы и тактики для получения ответа от устройств в пределах целевой области. На основе реакции устройств сканер попытается сопоставить результаты с базой данных и присвоить рейтинги риска (уровни серьезности) на основе этих реакций.

Сканеры уязвимостей можно настроить для сканирования всех сетевых портов, обнаружения и идентификации нарушений паролей, а также подозрительных приложений и служб. Служба сканирования сообщает об исправлениях безопасности или отсутствующих пакетах обновлений, выявляет вредоносное ПО, а также любые недостатки кода и отслеживает удаленный доступ.

Ваш первый шаг

Сканирование уязвимостей – важный первый шаг для любой организации, которая хочет определить наилучший путь к усилению защиты. Сканирование и анализ предоставляют информацию и обнаружение уязвимостей, которые могут помочь в точной настройке теста на проникновение, обеспечивая максимальную отдачу от ваших инвестиций в тестирование безопасности.

Читайте также: