Сканер уязвимости

Отвечая на этот вопрос, я не могу говорить в общем про все существующие продукты, ведь скорость обновления баз уязвимостей зависит от многих факторов:

• Насколько развит у них процесс отслеживания информации о новых угрозах.
• На сколько сложна для нахождения новая уязвимость.
• График выхода новых обновлений, грамотность и количество разработчиков трудящихся над разработкой сканера и многого другого.

Очевидным является то, что чем более зрелая и большая компания занимается разработкой сканера, тем быстрее выходит очередное обновление пакета экспертизы для сканеров.

Первое на что бы я обратил внимание, так это то, какие системы поддерживаются сканером для проведения сканирования. Далее уже смотрел бы на то, какие режимы сканирования поддерживаются сканером и стал бы более подробно сравнивать каждый режим. Если это режим аудита, то посмотрел бы сначала на то, каким образом сканер подключается к целевой системе и проводит сканирование, т. е. соединение происходит безагентным способом или же для его работы потребуется установка агента на сканируемую систему, посмотрел бы какие протоколы подключения поддерживает сканер. Если же это режим сompliance — смотрел какие стандарты поддерживает система из коробки.

Так же общими параметрами для всех сканеров я бы отметил схему лицензирования, системные требования к оборудованию и скорость обновления базы уязвимостей.

При неправильной настройке в процессе интеграции данного вида решений могут возникнуть конфликты с уже установленными в компании заказчика системами защиты, и может получится так, что установленный сканер оказался заблокированным другим решением сетевой безопасности или же своим сканированием породил большое количество сработок систем безопасности, прибавив тем самым работы специалистам по защите информации. Такая проблема в основном возникает при работе сканеров в режиме чёрного ящика (в режиме пентест), так как в этом режиме сканер проводит те же действия, что проводил бы и реальный злоумышленник, попав в сеть компании.

Возможны проблемы при проведении сканирования, из-за незнания периметра сети, в которой стоит сканер и того какие устройства находятся в этой сети, какие настройки применены в сетевом оборудовании, так к примеру, можно в результате сканирования заблокировать доступ к конфигурированию сетевого оборудования по сети или же большим количеством сетевых пакетов забить канал связи.

Плюсами внедрения сканеров уязвимостей являются:

• Возможность проведения сканирования по расписанию с постоянными обновлениями баз уязвимостей. Так при каждом изменении сетевой инфраструктуры или добавлении новых функций в веб-приложение не нужно будет нанимать команду пентестеров.
• Простота использования. Для использования сканера уязвимостей не требуются такие глубокие знания как для ручного поиска уязвимостей.
• Внедрение сканера может обойтись компаниям намного дешевле нежели найм пентестеров при каждом изменении сетевой инфраструктуры или появлении информации о новых уязвимостях.

Недостатками являются:

• Наличие ложных срабатываний требующих ручной проверки.
• Скорость обновления баз уязвимостей. Как бы не старались разработчики сканеров, некоторый промежуток во времени между появлением деталей уязвимости или публичного эксплойта к ней и добавлением этой информации в базу знаний сканера всё ещё будет и в этот момент компания будет уязвима.
• Поиск уязвимостей в логике приложений, поиск уязвимостей в фреймворках и технологиях которые только начинают набирать свою популярность. Этот пункт я хотел бы отдельно выделить, ведь для поиска многих спецефичных уязвимостей надо понимать то, как работает это приложение – все это слишком сложно для обычной программы.