Редакция журнала "Информационная безопасность", 30/09/25
Наличие управляемого процесса управления уязвимостями (VM) – один из признаков зрелости информационной безопасности в компании. Это не просто техническая задача, а показатель того, насколько организация способна системно выявлять, оценивать и устранять ИБ-риски в своей инфраструктуре. Там, где VM встроен в регулярный цикл, организация получает не только защищенность, но и управляемость, предсказуемость, доказуемость и соответствие регуляторным требованиям.
Зрелый VM-процесс – это не просто сканирование ради отчета и не разовый проект перед аудитом. Это постоянный мониторинг активов, прозрачная приоритизация уязвимостей, контроль устранения, интеграция с другими ИБ- и ИТ-системами. Его эффективность напрямую зависит от качества инструментов, на которых он построен. Заказчики ждут от инструмента способность работать с контекстом: учитывать зону ответственности, критичность актива, связи с другими элементами инфраструктуры и реальную вероятность эксплуатации угроз.
В этой статье мы разберем, как российская платформа HScan [1] решает задачу VM на уровне зрелой инженерной реализации – от глубины сканирования до визуализации доверия к активам.
Обзор HScan: 5 функциональных аспектов
HScan представляет собой полноценную систему для управления уязвимостями. Мы выделили пять аспектов, которые формируют его прикладную ценность: от инвентаризации до полноценного VM.
1. HScan выявляет активы
HScan автоматически выявляет активы в пределах заданной сети и формирует по каждому из них техническую карточку. В карточке фиксируются основные сетевые и программные характеристики: IP-адрес, FQDN (если доступен), перечень открытых портов и запущенных сервисов, а также обнаруженное программное обеспечение. На основе полученных данных сканер сопоставляет установленные компоненты с актуальной базой уязвимостей и формирует список CVE с оценками критичности.
Информация о каждой уязвимости включает краткое описание, CVSS-балл и возможность оперативного назначения задачи на устранение. Действия с активом (повторное сканирование, исключение, изменение параметров) выполняются непосредственно из интерфейса карточки.
Активы можно распределять по группам – например, по территориальному признаку, функциональной роли или зоне ответственности.
2. Топология активов
HScan не ограничивается плоским списком активов: система позволяет выстроить топологию активов – граф связей между узлами. Визуальная карта позволяет сегментировать активы по рабочим зонам, подсетям и пользовательским группам – как удобно. Это дает не только визуальное представление карты уязвимых хостов, но и понимание, какие соседние сервисы и критичные ресурсы доступны напрямую или через короткие цепочки связей на случай, если актив окажется скомпрометированным. Карточка любого узла на карте дает быстрый переход к списку его уязвимостей и истории сканирований, а из карты можно формировать целевые задачи на различные типы сканирования.
Рис. 1. Визуализация сети с выделением зон и активов в HScan
3. Работа с уязвимостями
Система управления уязвимостями в HScan отображает все выявленные уязвимости и потенциально небезопасные мисконфигурации с детализацией по уровням критичности (включая диапазон CVSS), вероятности эксплуатации (если доступна информация об эксплойтах), дате первого обнаружения и текущему статусу обработки. Интерфейс предусматривает гибкую фильтрацию: по уровню угрозы, по времени обнаружения, по типу или названию программного обеспечения, по группе активов или рабочей зоне. То есть можно быстро сформировать выборки – например, только критичные и неустраненные уязвимости, найденные за последнюю неделю, или только те, что затрагивают конкретное приложение. Для каждой записи доступны описание, технические параметры, ссылки на источники и возможность назначения задачи на устранение. Отчеты можно выгрузить в HTML или CSV.
Рис. 2. Список уязвимостей с фильтрацией по критериям в HScan
4. Vulnerability Management
В HScan реализована система автоматизации действий на основе заданных политик. Политики настраиваются отдельно для каждой рабочей области и позволяют запускать заранее определенные реакции на конкретные события в системе. Порядок применения правил имеет значение: они обрабатываются по очереди сверху вниз.
В качестве триггеров выступают события, возникающие в процессе работы платформы:
- обнаружение новой уязвимости на активе – срабатывает после завершения сканирования, если уязвимость ранее не была зафиксирована;
- неудачное сканирование — если задача завершилась с ошибкой или не были найдены хосты;
- отмена сканирования пользователем вручную;
- успешное завершение сканирования – фиксируется факт корректного выполнения задачи.
На каждое из этих событий может быть привязан набор автоматических действий. В текущей версии поддерживаются два типа:
- уведомление – отправка сообщения назначенным пользователям с описанием события;
- назначение задания – автоматическая постановка задачи на устранение уязвимости с привязкой к ответственному сотруднику.
Для повышения точности обработки политик предусмотрена возможность ограничивать их применимость по департаментам или иным организационным признакам. То есть можно формировать правила, актуальные только для конкретных подразделений или зон ответственности внутри компании.
Рис. 3. Настраиваемые политики в HScan
5. Сводка по инфраструктуре
Интерфейс HScan открывается с главного дашборда — сводной панели, где собраны ключевые показатели текущего состояния защищенности инфраструктуры. Здесь представлены агрегированные данные по активам, уязвимостям, задачам, группам и динамике за выбранный период.
Отражается и динамика состояния безопасности –графическое отображение количества уязвимостей по уровням критичности (критические, значительные, средние, незначительные) с процентной динамикой по времени.
Показываются тoп-10 уязвимых хостов для оперативного выявления наиболее проблемных активов, по которым стоит инициировать работы в первую очередь, и топ-10 уязвимостей – частотный список наиболее распространенных проблем с кратким описанием и количеством затронутых хостов.
Рис. 4. Сводка по состоянию защищенности инфраструктуры в HScan
Ядро собственной разработки
При выборе решений управления уязвимостями у российских компаний сейчас не так много опций. Часть западных вендоров ушли с рынка, часть доступна в ограниченном виде, а Open Source-инструменты требуют ресурсов, поддержки и доверия к чужому коду. В результате выбор сводится к трем-четырем российским платформам и реже – к самостоятельным сборкам.
На этом фоне HScan представляет собой собственный архитектурный подход. В отличие от решений, собранных на базе движков Open Source, HScan использует самописное ядро, разработанное и поддерживаемое внутри компании. Это означает полный контроль над логикой детекта и модулями анализа, отсутствие чужого кода, а значит полная управляемость кодом со стороны вендора и возможность доработки решения под нужды заказчиков. Другими словами, у заказчиков есть возможность договориться с разработчиком о развитии системы с учетом кастомных запросов и потребностей. А запросы такого рода поступают очень часто.
При этом HScan – это инженерно самостоятельная платформа, спроектированная под российские реалии: с учетом ограничений по данным, требований регуляторов, распределенной инфраструктуры и потребностей, специфичных именно для нашего рынка.
HScan может разворачиваться в инфраструктуре заказчика, в облаке и гибридно. Хотя on-prem остается основной и предпочтительной опцией. Стоимость годовой лицензии составляет 2400 руб.за каждый IP-адрес.
Реклама: ООО «Крайон». ИНН 9717087315. Erid: 2SDnjcBmBdQ
