Журнал "Information Security/ Информационная безопасность" #1, 2024

Сканирование без нагрузки на хост Анализ активов инфраструктуры на предмет поиска уязвимостей является неотъемлемым этапом процесса управ- ления уязвимостями. Процедура анализа является одним из основных камней преткновения при использовании VM- решений, поскольку часто создает высо- кую вычислительную нагрузку на активы и нагружает сеть инфраструктуры. Современный метод сканирования уязвимостей в VM-решениях стремится минимизировать нагрузку на активы. Это достигается переносом процесса обнаружения уязвимостей с актива на сервер VM-решения. Вся необходимая для сканирования информация собирается на хосте, а затем отправляется на VM-сервер, где и проводится аудит. Это избавляет от необходимости выполнять тяжелые про- цессы сканирования на самом активе и позволяет не влиять на работоспособ- ность инфраструктуры. Такой подход заодно способствует эффективному использованию сетевых ресурсов, поскольку сбор и передача данных оптимизированы, что снижает нагрузку на сеть. Это важно в условиях сетей с ограниченной пропускной спо- собностью или при сканировании боль- ших сегментов инфраструктуры. Третье преимущество связано с уско- рением самого процесса сканирования. Передача необходимых данных на сер- вер позволяет существенно сократить время выполнения процедуры выявления уязвимостей: в архитектуре VM-решения может быть предусмотрена параллель- ная обработка, алгоритмы быстрой про- верки уязвимостей в базе данных (БДУ) и т.д. Такой метод обеспечивает быстрое обнаружение и реагирование на потен- циальные уязвимости. Высокоскоростное сканирование В современных условиях скорость про- ведения сканирования уязвимостей ста- новится критически важной, особенно в организациях с обширной инфраструк- турой. Времена, когда сканирование всех хостов занимало несколько дней, ушли в прошлое. Современные методы сканирования предусматривают перенос аудита на сервер VM-решения, что позволяет проводить сканирование активов так часто, как это необходимо. Это поз- воляет сканировать отдельные сег- менты инфраструктуры, например только определенные операционные системы или только сетевые устрой- ства, сразу после возникновения новых уязвимостей. При этом дости- гается гибкость в проведении скани- рования в любое время, избавляя от необходимости выжидать наступления технологических окон или нерабочего времени. Применение такого подхода позволяет проводить аудит инфраструктуры за минимальное время, предоставляя воз- можность получать актуальные отчеты по запросу в режиме реального времени, а не после завершения длительных цик- лов сканирования. Это важно для опе- ративного реагирования на уязвимости и обеспечения непрерывной безопасно- сти с минимальными временными задержками. Обновление базы данных уязвимостей в реальном времени Эффективное функционирование решений для управления уязвимостями предполагает оперативное обновление своих баз данных уязвимостей. Это крайне важно для обеспечения быстрой реакции на постоянно меняющийся ланд- шафт угроз. Вендор VM-решения обязан стремить- ся к минимизации окна уязвимости, то есть временной задержки с момента появления информации о новой уязви- мости до возможности ее обнаружения в защищаемой инфраструктуре. Это требует от него не только активного мониторинга новых уязвимостей, чтобы быть в курсе последних угроз, но и опе- ративности в процессе интеграции обновлений в систему. При этом поставка обновлений БДУ должна осуществляться автоматически, причем независимо от обновления самой VM-системы, инкрементально и в крат- чайшие сроки – до того, как информация о новой уязвимости станет общеизвест- ной. Сканирование docker-образов без запуска контейнеров (в реестрах и CI/CD) В современных методах сканирова- ния docker-образов акцент делается на обеспечении быстроты и безопасности, исключая при этом необходимость запуска контейнера. Другими словами, используется прямое взаимодействие с файловой системой образа: прово- дится сбор Software Bill of Materials (SBOM) и последующий анализ уязви- мостей на основе полученной инфор- мации. Такой подход имеет два важных достоинства. Во-первых, отказ от необходимости запуска потенциально опасного контейнера устраняет потреб- ность в создании песочницы для про- ведения сканирования, что способству- ет повышению безопасности процесса. Во-вторых, работа непосредственно с файловой системой образа существен- но ускоряет процесс сканирования, поскольку не требуется время на запуск контейнера. Дополнительный эффект в повышении скорости аудита возникает при прове- дении пересканирования образов на основе ранее собранной информации. После первоначального сканирования и создания SBOM исчезает необходимость повторной загрузки образов из реестра для последующего анализа. Это сокра- щает временные затраты и оптимизирует процесс обновления данных о безопас- ности образов. 28 • СПЕЦПРОЕКТ Современные технологии в решениях для управления уязвимостями истемы управления уязвимостями играют критическую роль в обеспечении безопасности информационных систем предприятий. От решений класса Vulnеrability Management (VM) требуется постоянное совершенствование используемых подходов для более эффективного и безопасного выявления уязвимых мест инфраструктуры. Рассмотрим наиболее важные улучшения, которые реализованы в современных VM-решениях. С Владимир Михайлов, руководитель департамента перспективных проектов компании “Фродекс” Фото: Фродекс