Журнал "Information Security/ Информационная безопасность" #1, 2024

Рассмотрим подходы в той последо- вательности, в которой они появлялись как технологии. Использование скриптов Предполагает запуск сценариев, реа- лизующих логику определения наличия уязвимостей. В простейшем случае в ходе выполнения скрипта осуществляется подключение к сетевому сервису, разбор его баннера с целью извлечения версии ПО и сравнение с заданными в скрипте значениями. Скрипт может также вклю- чать дополнительную логику взаимодей- ствия с проверяемым узлом, например проверить, что бэкдор, связанный с уязи- мостью, не был активирован. В прароди- теле целого ряда коммерческих сканеров уязвимостей Nessus данный механизм реализован с помощью языка NASL, в известном сканере портов Nmap для этой цели поддерживается запуск скрип- тов на языке Lua (Nmap Scripting Engine). Запуск большого количества скриптов занимает продолжительное время, ино- гда даже несколько часов. Полнота сканирования полностью зависит от возможностей вендора по разработке и поддержанию в актуальном состоянии десятков тысяч небольших программ. Стоит отметить, что присутствует и риск нарушения работоспособности сервиса в случае, если скрипт пытается сыми- тировать реальную эксплуатацию уязви- мости. Спецификация SCAP Была разработана американским NIST в далеком 2009 г., она определяет то, как перевести требования безопасности информации в формализованный вид – SCAP-контент. Для определения требо- ваний используются языки XCCDF (The Extensible Configuration Checklist Desc- ription Format) и OVAL (Open Vulnerability and Assessment Language). XCCDF используется для описания требований, а OVAL – для описания алгоритма про- верки. Для проведения проверок исполь- зуется SCAP-интерпретатор, который и составляет ядро сканера уязвимостей, использующего данный подход. К сожалению, заложенная гибкость при- вела к сложности и данная технология оказалась тяжелой в полноценной реали- зации задуманного. Так, вендоры, про- изводящие решения на базе SCAP-интер- претаторов, редко когда заявляют о числе проверок, сопоставимом с количеством известных уязвимостей. Обычно речь идет о нескольких десятках тысяч проверок, в то время как общее количество уязви- мостей уже превысило 160 тыс. Поиск уязвимостей по версиям ПО Стал возможен благодаря появлению множества баз данных уязвимостей в доступных для автоматического разбора форматах. Самыми известными являются БДУ ФСТЭК России, NIST NVD, базы ком- паний-разработчиков операционных систем. Версии установленного на узлах ПО можно определять как по сети, разбирая баннеры сетевых сервисов, так и анализируя уста- новленные пакеты, подключившись с помо- щью протоколов, используемых для уда- ленного администрирования. Данный подход известен своей фено- менальной скоростью поиска уязвимо- стей, так как "сканирование" в данном случае представляет собой всего лишь обращения к локальной агрегированной базе данных. Использо- вание большого количе- ства источников позво- ляет обеспечить практически 100%-ное покрытие известных уязвимостей. Выводы Если сопоставить ключевые характе- ристики рассмотренных подходов, то можно получить следующую картину, отображенную в таблице. Проведя такой анализ подходов, разра- ботчики группы компаний "Эшелон" оста- новили свой выбор на варианте, связанном с поиском уязвимостей по версиям ПО, который и был реализован в Сканер-ВС 6. Решение позволяет проводить поиск уязвимостей сетевых сервисов на основе сетевого сканирования портов и уязвимо- стей системного и прикладного программ- ного обеспечения, установленного в ОС семейств Linux иWindows, на основе инвен- таризации ПО по протоколам SSH иWinRM. После сетевого сканирования или инвен- таризации поиск уязвимостей занимает считанные секунды. Негативное воздей- ствие на инфраструктуру полностью исклю- чено. Источниками данных об уязвимостях для Сканер-ВС 6 являются БДУ ФСТЭК, NIST NVD, базы уязвимостей Astra Linux, РедОС, Ubuntu, Debian, RedHat и др. Обновления выходят ежедневно. Продукт разработан для функционирования в ОС Astra Linux 1.7. Поставка возможна как виде дистрибутива, так и в виде LiveUSB. Демоверсия Сканер-ВС 6 доступна в виде дистрибутива, Docker Compose и ISO-образа LiveUSB на сайте 1 про- дукта. l 26 • СПЕЦПРОЕКТ Подходы к поиску уязвимостей: хороший, плохой, злой дром любого сканера безопасности является реализация механизма поиска уязвимостей. Кратко разберем распространенные подходы, используемые в сканерах уязвимостей, а именно применение скриптов, реализацию стандарта SCAP (Security Content Automa- tion Protocol) и поиск по версиям программного обеспечения. Я Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии” Таблица. Сравнение подходов к поиску уязвимостей АДРЕСА И ТЕЛЕФОНЫ "НПО "ЭШЕЛОН" см. стр. 70 NM Реклама Фото: АО "НПО "Эшелон" Поиск по версиям OVAL Скрипты Скорость выпуска обновлений Высокая Средняя Средняя Полнота покрытия уязвимостей Высокая Средняя Средняя Возможность сетевого сканирования без учетной записи Да Нет Да Возможность сетевого сканирования с учетной записью Да Да Да 1 https://scaner-vs.ru