Журнал "Information Security/ Информационная безопасность" #1, 2025

Не сканер детектирует уязвимости в ИT-инфраструктуре организации с помо- щью специалиста, а специалист по управлению уязвимостями (VM-специа- лист) детектирует уязвимости с помощью сканера. Сканер – это просто инстру- мент. Выбор решения, достаточно хорошо выполняющего заявленные функции по детектированию уязвимостей, – одна из главных задач VM-специалиста и выше- стоящего менеджмента. Если эксперт, который проводит анализ решений, отне- сется к этой задаче с небрежностью, то запросто может попасть в неприятную ситуацию – пропустить критически опас- ную уязвимость в инфраструктуре, экс- плуатация которой приведет к недопу- стимому для организации событию. Контроль средств детектирования уязвимостей как обязательная часть VM-процесса К сожалению, на настоящий момент в России нет обязательной сертификации VM-решений, предъявляющей требования к качеству детектирования уязвимостей. Сертификация ФСТЭК России проверяет отсутствие недекларируемых возможно- стей, но не учитывает качество реализа- ции функциональных возможностей средств анализа защищенности (САЗ). В России нет законодательных мер, устанавливающих ответственность VM- вендора за некачественный детект уязви- мостей и мисконфигураций в ИT-инфра- структуре, приведших к реализации недо- пустимых для организации событий. Доходит до абсурда: сейчас ничто не мешает недобросовестному вендору выпустить утилиту, которая будет детек- тировать одну CVE-уязвимость, а также добавить к этой утилите веб-интерфейс с дашбордами и презентовать это как "сканер уязвимостей" – альтернативу топовым решениям на рынке. Уязви- мость он ищет? Ищет. То, что она одна… А сколько вам надо? А уж если перелицевать и соединить опенсорсные утилиты, которые уязви- мости действительно детектируют (GVM/OpenVAS, OpenSCAP, Wazuh, nmap с плагинами, nuclei и т.п.), то в этом случае становится сложно что-то возразить. С хостами сканер взаимо- действует, список уязвимостей выдает. Непонятно только, насколько этот список уязвимостей достоверен. Так что, как ни прискорбно, в настоя- щий момент оценка качества работы средств детектирования уязвимостей целиком лежит на VM-специалисте. Делать это нужно не только перед закуп- кой VM-решения, но и в течение всего периода эксплуатации. Как оценивать качество используемых решений Оценивать полноту базы детектов и достаточность способов детектирования трудоемко. И эти полнота и достаточность имеют смысл только в контексте инфра- структуры конкретной организации. Фактически при проведения такой оценки для всех типов активов в инфра- структуре организации следует задать вопрос VM-вендору: поддерживается ли этот тип актива средством детектирова- ния? Если нет, то думаем, что делать: стимулировать VM-вендора к поддержке этого типа актива, покупать другое реше- ние или реализовывать такие проверки на уязвимости самим. Крайний вариант – вовсе убирать этот тип актива из инфраструктуры. Если да, идем глубже. А как именно происходит детектирова- ние? Достаточно ли реализованных спо- собов детектирования для нашей кон- кретной инфраструктуры? Однако одной констатации VM-вендо- ром, что тот или иной способ детектиро- вания уязвимостей реализован в полной мере, недостаточно. Нужно разбираться непосредственно с тем, как реализуются проверки. Ошибки при реализации базовых проверок Возьмем, например, Linux-хосты. Детектирование уязвимостей для софта, установленного из официального репо- зитория Linux-вендора, – относительно простая задача. Эти уязвимости описы- ваются в общедоступных бюллетенях безопасности или даже в виде форма- лизованного OVAL-контента. VM-вендору нужно всего лишь правильно сравнивать версии пакетов, фактически установ- ленных на хосте, и прописанных в бюл- летене безопасности (OVAL-контенте). Казалось бы, чего проще. Но даже здесь могут быть ошибки. Назовем самые частые из них: 14 • СПЕЦПРОЕКТ Цена ошибки: почему важно качественно детектировать уязвимости последние несколько лет растет количество успешных кибератак на компании во всем мире. По данным исследования Positive Technologies, эксплуатация уязвимостей является одним из основных методов кибератак на российские организации: по итогам трех кварталов 2024 г. уязвимости эксплуатировались практически в каждой пятой (19%) успешной атаке. В Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies Рис. 1 Фото: Positive Technologies