февраль 2019
                                                                                                      премиум ТЕХСОВЕТ

                                                                                          Автоматизация и IT

           можных портах целевого хоста. Таким
           образом,  сканер  формирует  перечень
           открытых портов. Затем внутренними
           механизмами системы осуществляются
           попытки подключения к выявленным
           открытым  портам  для  эвристического
           анализа ответов и определения серви-
           са, осуществляющего работу на данном
           порту. Если сервис был определен вер-
           но, система пытается опять же специ-
           фическими внутренними механизмами
           получить максимум информации от
           детектированного сервиса не  только  о
           нем самом, но и, например, возможной
           операционной системе хоста и др. По-
           лучив определенную информацию на   администратору об уязвимых сервисах   средства защиты информации необхо-
           входе,  система  делает  предположения   и ПО. В большинстве случаев это не оз-  димо. Но сканеры никогда не заменят
           о возможных уязвимостях сервиса и   начает, что злоумышленник может ими   специалистов в области информацион-
           включает специальный механизм про-  воспользоваться. В этом случае первый   ной безопасности, т. к. они лишь авто-
           верки указанных предположений. Все   метод анализа максимально приближает   матизируют их работу, помогая быстро
           эти  технологии  в  большинстве  своем   тестирование к модели поведения злоу-  проверить сотни узлов, в том числе и
           завязаны на вероятностный анализ ре-  мышленника и дает более четкое пред-  геораспределенных.  Благодаря  дан-
           зультатов получаемой информации на   ставление о рисках компрометации кон-  ным средствам мы можем обнаружить
           каждом из этапов проверки. Поэтому   кретного хоста.                   практически все известные уязвимо-
           качество всего сканирования в режиме   По итогу, оба метода дополняют друг   сти, а также узнать пути и рекоменда-
           black box очень сильно зависит от каче-  друга. White box дает полную картину   ции по их решению. Надо помнить, что
           ства  реализации  самого  сканера  и  той   уязвимостей системы, а black box накла-  сканер уязвимости – это всего лишь
           интеллектуальной составляющей, зало-  дывает на нее приоритет по рискам и,   часть эффективной политики безопас-
           женной в него разработчиками.      соответственно, формирует более-менее   ности, которая создается не только из
             Именно поэтому многие сканеры,   приемлемый план исправлений. Также   использования различных технических
           работающие по одной и той же логике   стоит отметить, что не всегда существу-  мер защиты, но и из соответствующих   15
           и имеющие примерно одно представле-  ет возможность использования white box   управляющих процессов, подготов-
           ние об уязвимостях систем, например,   для поиска уязвимостей. Это может быть   ленных кадров и, в конечном итоге, из
           согласно  вышеупомянутым  источни-  связанно как с организационным огра-  интеграции с бизнесом самой органи-
           кам знания в виде базы CVE, могут да-  ничениями, так и с технологическими.  зации. Кроме того, не стоит забывать о
           вать  совершенно  разные  результаты  и   Дополнительно необходимо обра-  том, что максимальной производитель-
           формировать множество false positives.   тить внимание на то, что технологии   ности сканера можно добиться только в
           Также проведение сканирования в та-  white box могут применяться для реше-  том  случае,  если  он  настроен  правиль-
           ком режиме несет потенциальную опас-  ния множества задач. Попав на целевой   но,  а  именно,  грамотно  интегрирован
           ность для сканируемой системы, так   хост, специальным интерфейсом можно   в  процесс  управления  обновлениями  и
           как  гарантировать, как  именно  может   получить множество данных о системе.   синхронизирован с другими системами
           отреагировать конкретный сервис на   А именно: данные о файловой структу-  защиты информации компании. Хотя
           попытки получения данных из него ска-  ре, о наличии тех или иных файлов, о   логика и принципы работы подобного
           нером, не сможет даже его разработчик.   содержании этих файлов, о конфигу-  рода систем достаточно просты, без со-
             Вторым  принципиальным  подходом   рации оборудования, о показателях за-  ответствующих навыков и компетенции
           при проведении сканирования уязвимо-  грузки хоста и др. В этой связи, сканер   полноценно реализовать весь потенци-
           стей является сканирование в так назы-  можно использовать отдельно для про-  ал такой системы будет достаточно про-
           ваемом режиме white box. В этом режиме   ведения контрольных мероприятий от-  блематично.
           сканер, используя стандартный интер-  носительно стандартов конфигуриро-
           фейс доступа (ssh, rpc и др) к операци-  вания оборудования и его конкретного
           онной  системе  сканируемого  ресурса  и   состояния хоста на момент сканирова-
           обладая соответствующими правами на   ния. Это еще один способ, при исполь-
           нем, может получать достоверные дан-  зовании которого можно значительно
           ные о версии ОС и установленном про-  улучшить  информационную  безопас-
           граммном обеспечении, в том числе об   ность Вашей компании.
           установленных патчах безопасности. В
           таком режиме практически отсутству-   И все же
           ет  вероятность  наличия  false  positives
           ввиду достоверности данных. Также     без специалистов
           отсутствует и опасность сбоев в работе   не обойтись
           сканируемого ресурса. Однако суще-    В заключение хочется добавить,
           ственный минус данного подхода в том,   что сканеры уязвимости имеют как
           что white box дает значительно больший   ряд преимуществ, так и недостатков.
           по сравнению с black box объем данных   Безусловно, использовать такого рода   www.cloudnetworks.ru