Новости о том, что в том или ином продукте обнаружена очередная уязвимость, появляются с завидной регулярностью. Чем известнее ПО или его вендор – тем большее внимание эти новости привлекают. «Дыры» в ПО ищут и хакеры (это – источник их заработка), и вендоры (это – их зона ответственности), и компании-пользователи, особенно те, которые и сами развивают собственную разработку. И делается это, конечно, не путем перебора кода «от руки».

Сканеры уязвимостей

Для обнаружения брешей в защите используется специальное ПО – сканеры уязвимостей (Vulnerability scanner). Оно в автоматическом режиме ведет проверку решений самого разного класса – операционных систем, бизнес-приложений, прикладных программах, сетевых соединениях, базах данных. Кроме того, исследуются открытые сетевые порты, запущенные процессы и службы.

Назначение сканеров уязвимостей очень простое – оценка безопасности ПО, выявление уязвимостей и выдача соответствующих отчетов администраторам, отвечающим за обеспечение безопасности систем и защиту от хакерских проникновений.

Существуют две схемы работы сканера уязвимостей. Первая – «быстрая», сканирование, когда проводится поверхностная проверка. В этом режиме сканер отслеживает явные пробоины на основе известных признаков, анализирует уровень безопасности инфраструктуры и выдает рекомендации администраторам.

Но есть и другой режим работы, медленный, но очень дотошный – зондирование. В этом случае сканер не только ищет уязвимости в ПО и сети, но и пробует их использовать, имитируя проникновение в инфраструктуру. Такой режим позволяет не только определить уязвимости, но и устранить их.

Есть и две схемы использования сканеров. White Box подразумевает запуск сканера внутри периметра защиты с указанием учетных данных, в этом случае проводится комплексная проверка уязвимостей ОС и ПО. Но есть еще и Black Box, режим, при котором сканер извне пытается нащупать уязвимость и через нее проникнуть внутрь инфраструктуры. При помощи этого режима моделируются хакерские атаки и выявляются погрешности в защите систем, их слабые места

Наверное, очевидно, что оптимальная схема использования сканеров уязвимостей – использование всех режимов его работы в комплексе.

Сканеров уязвимостей очень много. Среди таких продуктов есть и бесплатные. Правда, их функциональность всегда заметно ограничена, и небольшим выбором доступных режимов работы, и размерами инфраструктуры, на которые они рассчитаны. Для небольшой компании таких возможностей будет, наверное, достаточно. А вот уже среднему бизнесу, особенно тем компаниям, которые ведут собственную разработку, сканер уже необходим, и не абы какой, а производительный и продвинутый.

Об одном из таких решений мы уже рассказывали. Но теперь этот пост стал не слишком актуальным – российским заказчикам иностранное ПО сегодня просто недоступно. Зато имеются российские сканеры уязвимостей, и они во многом не уступают западным образцам.

MaxPatrol 8

В портфеле российского ИБ-вендора, компании Positive Technologies, есть сразу два продукта, которые могут использоваться для поиска и «латания дыр». Входят они в линейку MaxPatrol, о которой мы уже рассказывали.

Начнем с MaxPatrol 8 – продукта, при помощи которого можно проводить аудит инфраструктуры, контролировать ее защищенность и соответствие стандартам безопасности. Проверяет MaxPatrol 8 все информационные активы предприятия – и инфраструктуру в целом, включая сетевую, и отдельные узлы и приложения. 

Для сложных систем – операционных сред, систем виртуализации, сетевого оборудования, серверов приложений, – проводится комплексная проверка. Проверяются и СУБД, и бизнес-приложения, включая ERP-системы, и сетевое взаимодействие. Все данные, которые MaxPatrol 8 таким образом собирает, «упаковываются» в отчет.

Руководствуется система целым рядом стандартов безопасности, среди которых, кстати, есть и высокоуровневых стандартов ГОСТ ИСО/МЭК 27001, PCI DSS, CIS и ФСТЭК. При этом ИБ-офицер организации может их дополнить собственными требованиями или изменить в соответствии с особенностями предприятия. 

MaxPatrol 8 хорошо масштабируется. Для каждого класса организаций, небольших компаний, средних предприятий и крупных корпораций, возможно создание необходимой конфигурации, которые отличаются количеством серверов системы.

Даже из короткого описания MaxPatrol 8 видно, что эта система предназначена в первую очередь для контроля уязвимостей. И наилучший вариант ее использования – в комплексе с другими решениями, которые позволяют уязвимости «закрывать».

MaxPatrol VM

Но есть у Positive Technologies и специализированный продукт, при помощи которого можно не только вести мониторинг угроз, но и управлять уязвимостями. А проактивная оборона, как хорошо известно, гораздо эффективнее пассивной. Если уязвимости в ПО и оборудовании сторонних производителей в значительной мере «закрываются» вендорской поддержкой, то в отношении собственных разработок организация сама должна заботиться о безопасности своего софта. Не будем забывать и санкциях, которые лишили обновлений множество вполне работоспособных продуктов.

Палочкой-выручалочкой тут становится MaxPatrol VM – система управления уязвимостями, которая предназначена для контроля за ними в режиме реального времени и выстраивания процесса управления уязвимостями.

«Базовые возможности» MaxPatrol VM те же, что и у MaxPatrol 8. Но они дополнены целым рядом других, специализированных.

К примеру, если MaxPatrol 8 контролирует только IP-адреса, то MaxPatrol VM видит изменения в инфраструктуре и «докладывает» о них администратору ведет мониторинг активов, постоянно обогащает информацию о них, в том числе – благодаря импорту данных из других систем. Кроме того, MaxPatrol VM использует базы знаний, пополняемые экспертами Positive Technologies для того, чтобы заново оценить уже проверенный актив. Это позволяет не проводить сканирование уже проверенных узлов для того, чтобы выявить новую уязвимость.

Наконец, MaxPatrol VM можно использовать еще и для постоянного повышения квалификации ИБ-службы предприятия и наработки ею новых компетенций. Это решение дает доступ к информации о наиболее актуальных и востребованных сегодня хакерами уязвимостях, которую собирают и готовят эксперты вендора.

Мощные возможности визуализации и построения отчетности, которыми обладает продукт, позволяют расставлять приоритеты в работе над уязвимостями, а политики по их устранению облегчат взаимодействие ИТ и ИБ служб.

Как видим, MaxPatrol VM – продукт, который позволяет выстроить в организации систему управления уязвимостями с нуля, в то время как MaxPatrol 8 позволяет дополнить такой возможностью уже имеющиеся средства безопасности. 

Выбор, на самом деле, не так прост, как кажется. Остановиться на конкретном решении можно только после кропотливого анализа состояния системы защиты, используемой предприятием. И, если собственной полноценной ИБ-службы у него не имеется, то наиболее взвешенным шагом будет консультация с экспертами «Системного софта».