Контакты
Подписка 2025

Подходы к поиску уязвимостей: хороший, плохой, злой

Александр Дорофеев, 16/04/24

Ядром любого сканера безопасности является реализация механизма поиска уязвимостей. Кратко разберем распространенные подходы, используемые в сканерах уязвимостей, а именно применение скриптов, реализацию стандарта SCAP (Security Content Automation Protocol) и поиск по версиям программного обеспечения.

Автор: Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”

Рассмотрим подходы в той последовательности, в которой они появлялись как технологии.

Использование скриптов

Предполагает запуск сценариев, реализующих логику определения наличия уязвимостей. В простейшем случае в ходе выполнения скрипта осуществляется подключение к сетевому сервису, разбор его баннера с целью извлечения версии ПО и сравнение с заданными в скрипте значениями. Скрипт может также включать дополнительную логику взаимодействия с проверяемым узлом, например проверить, что бэкдор, связанный с уязвимостью, не был активирован. В прародителе целого ряда коммерческих сканеров уязвимостей Nessus данный механизм реализован с помощью языка NASL, в известном сканере портов Nmap для этой цели поддерживается запуск скриптов на языке Lua (Nmap Scripting Engine).

Запуск большого количества скриптов занимает продолжительное время, иногда даже несколько часов. Полнота сканирования полностью зависит от возможностей вендора по разработке и поддержанию в актуальном состоянии десятков тысяч небольших программ. Стоит отметить, что присутствует и риск нарушения работоспособности сервиса в случае, если скрипт пытается сымитировать реальную эксплуатацию уязвимости.

Спецификация SCAP

Была разработана американским NIST в далеком 2009 г., она определяет то, как перевести требования безопасности информации в формализованный вид – SCAP-контент. Для определения требований используются языки XCCDF (The Extensible Configuration Checklist Description Format) и OVAL (Open Vulnerability and Assessment Language). XCCDF используется для описания требований, а OVAL – для описания алгоритма проверки. Для проведения проверок используется SCAP-интерпретатор, который и составляет ядро сканера уязвимостей, использующего данный подход.

К сожалению, заложенная гибкость привела к сложности и данная технология оказалась тяжелой в полноценной реализации задуманного. Так, вендоры, производящие решения на базе SCAP-интерпретаторов, редко когда заявляют о числе проверок, сопоставимом с количеством известных уязвимостей. Обычно речь идет о нескольких десятках тысяч проверок, в то время как общее количество уязвимостей уже превысило 160 тыс.

Поиск уязвимостей по версиям ПО

Стал возможен благодаря появлению множества баз данных уязвимостей в доступных для автоматического разбора форматах. Самыми известными являются БДУ ФСТЭК России, NIST NVD, базы компаний-разработчиков операционных систем. Версии установленного на узлах ПО можно определять как по сети, разбирая баннеры сетевых сервисов, так и анализируя установленные пакеты, подключившись с помощью протоколов, используемых для удаленного администрирования.

Данный подход известен своей феноменальной скоростью поиска уязвимостей, так как "сканирование" в данном случае представляет собой всего лишь обращения к локальной агрегированной базе данных. Использование большого количества источников позволяет обеспечить практически 100%-ное покрытие известных уязвимостей.

Выводы

Если сопоставить ключевые характеристики рассмотренных подходов, то можно получить следующую картину, отображенную в таблице.

ris1-Apr-16-2024-12-40-03-3724-PMТаблица. Сравнение подходов к поиску уязвимостей

Проведя такой анализ подходов, разработчики группы компаний "Эшелон" остановили свой выбор на варианте, связанном с поиском уязвимостей по версиям ПО, который и был реализован в Сканер-ВС 6.

Решение позволяет проводить поиск уязвимостей сетевых сервисов на основе сетевого сканирования портов и уязвимостей системного и прикладного программного обеспечения, установленного в ОС семейств Linux и Windows, на основе инвентаризации ПО по протоколам SSH и WinRM.

После сетевого сканирования или инвентаризации поиск уязвимостей занимает считанные секунды. Негативное воздействие на инфраструктуру полностью исключено. Источниками данных об уязвимостях для Сканер-ВС 6 являются БДУ ФСТЭК, NIST NVD, базы уязвимостей Astra Linux, РедОС, Ubuntu, Debian, RedHat и др. Обновления выходят ежедневно. Продукт разработан для функционирования в ОС Astra Linux 1.7. Поставка возможна как виде дистрибутива, так и в виде LiveUSB.

Демоверсия Сканер-ВС 6 доступна в виде дистрибутива, Docker Compose и ISO-образа LiveUSB на сайте [1] продукта.

  1. https://scaner-vs.ru 
Темы:Журнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)Вебмониторэкс

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Рынок услуг управления уязвимостями в России: контроль поверхности атак
    Максим Ежов, руководитель отдела непрерывного мониторинга безопасности Angara Security
    Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций. Однако в условиях стремительно меняющегося киберландшафта, ухода зарубежных поставщиков и перехода на отечественные решения процесс управления уязвимостями в России приобретает ряд уникальных особенностей.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...