Домой Как пользоваться Сканеры уязвимости: лидеры рынка 2021 года

Сканеры уязвимости: лидеры рынка 2021 года

1644
0

На сегодняшний день сканеры уязвимости, или как их еще называют сканеры защищенности, крайне востребованы среди специалистов в области информационной безопасности. На рынке присутствует множество подобных решений, разработанных как в РФ, так и за ее пределами, постоянно появляются и новые варианты. Можно ли сделать правильный выбор, не запутавшись в подобном многообразии?

Присутствие ряда проблем в инфо-системах и некоторых узлах инфраструктуры было, есть и остается огромной проблемой для тех, кто занят в сфере IT. Как найти подобные бреши? Делая это без использования специальных средств, можно затратить много времени и что-то пропустить. Посему лучше иметь в арсенале автоматические варианты, которые в состоянии выявить проблемы и присутствие слабых мест во всей инфраструктуре компании — это и есть сканеры уязвимости. Сегодня подобные инструменты призваны решить весь спектр поставленных задач, а именно проверить сети, обнаружить пароли и учетные записи, незащищенные порты, активированные приложения, вызывающие сомнение в отношении безопасности и пр. Возможно отслеживание и других потенциально опасных для устройства моментов. Кроме того, специалисты сегодня могут выбирать среди множества представленных сканеров защищенности различных разработчиков. Имеются как платные, так и бесплатные версии. Данная тема затрагивается во множестве статей, но будет не лишним поговорить о подобных решениях еще раз.

Зачем могут потребоваться сканеры защищенности

Применение данных средств контроля позволить решить сразу множество задач. Предлагаемые решения востребованы не посто для осуществления проверок на присутствие проблем в инфраструктуре, но и выполняя требования регуляторов – к примеру ФСТЭК РФ, PCI SSC и пр.

Что позволяет сделать функционал сканера уязвимости? К примеру, становится доступной инвентаризация ресурсов IT при выяснении, какие приложения или версии присутствуют на серверах и используемых станциях. Решение продемонстрирует уязвимости, присутствующие у ПО и сможет предложить установку патча при обновлении версии. Будут остановлены ряд служб и отключены протоколы, которые могут представлять определенную угрозу для устройства и его безопасности. В ситуации, когда в скриптах есть ошибки, сканер также сможет их выявить.

При наличии сканера уязвимости проводится масштабная проверка сетевых компонентов, составление карты, выясняется, какие сетевые устройства инфраструктура компании задействует чаще других. Определяются и имеющиеся поддомены, выявляются открытые порты и активированные сервисы, возможно, представляющие угрозу. В качестве сетевых устройств также производится поиск уязвимостей, от которых можно избавиться при обновлении, преобразованиях конфигурации, установке патчей.

Наличие сканера дает возможность выяснить, насколько надежны пароли на серверах, где необходима авторизация, выявляются пароли, устанавливаемые без внимания пользователя, то есть по умолчанию, производится анализ всех существующих вариантов с привлечением актуальной на данный момент базы.

Сканеры защищенности позволяют осуществить проверку большинства средств, обеспечивающих защиту информации и определить, когда необходима установка новых патчей и обновление программного обеспечения. Также решение подскажет, пора ли вносить изменения в саму систему и настройки, выяснит, насколько актуальны базы сигнатур.

Используемые в настоящий момент сканеры в состоянии поддержать все актуальные ОС – как серверные, так и предназначенные для пользователей. Тенденции неумолимы — все большую популярность в данной сфере сегодня набирают решения, использующие облачные технологии.

Анализируя итоги проверки, сканеры дают возможность сформировать различные варианты отчетности, отображающей всю статистику по уязвимостям и инфраструктуре, предоставить рекомендации по дальнейшим действиям. Каждая из уязвимостей будет сопоставлена с соответствующим номером из баз CVE, NVD и банка данных ФСТЭК РФ. Ряд инструментов помогут создать отчеты для дальнейшего предоставления их руководству.

Особенности рынка

Рынок сканеров уязвимости развивается, причем активно – и это мировая тенденция. Сегодня подобные инструменты являются полноценными системами, позволяющими управлять уязвимостями и вести проект в целом. И данный проект постепенно становится многогранным процессом — в нем принимают участие различные подразделения. Разработчики сканеров способны предоставить возможность осуществления совместной деятельности с системами администрирования, а также платформами, управляющими инцидентами, действиями с вниманием к безопасности и пр.

Интересной особенностью становится внедрение решений для приведения в строгое соответствие стандартам, которые предъявляются PCI DSS. Ряд вендоров, таких как Rapid7, Tenable, Qualys – это компании, являющимися разрешенными в настоящий момент создателями сканировщиков PCI SSC, выделяющиеся тем самым из присутствующих на рынке.

Нельзя не отметить интересную тенденцию: в последнее время существенно вырос интерес к облачным сканерам защищенности. Некоторые пользователи предпочитают именно такой вариант, так как в этом случае необходимость выделения ресурсов для размещения сканера как составной части инфраструктуры отпадает.

Разработчики предлагают и коммерческие варианты продуктов, и те, что не требуют оплаты. Последние в большинстве случаев имеют весьма ограниченный функционал и часто представлены в качестве сервиса, работающего в облаке.

И вот она, аналитика. Согласно исследованиям компании IDC объем рынка в данном сегменте «переваливает» за 2 млрд $. Доминирующими вендорами среди сканеров безопасности при этом становятся Tenable (30 000 заказчиков), Qualys (16 000), Rapid7 (9000). Соответственно, именно данные участники рынка имеют и львиную долю прибыли отрасли. Среди других заслуживших внимание вендоров – F-Secure, Tripwire и пр.

Также интересным разработчиком становится GFI Languard, завоевавший популярность у представителей различных вариантов бизнеса, причем речь идет и о рынке Российской Федерации.

Каковы они, продукты ведущих вендоров, то есть сканеры защищенности, предлагаемые пользователям? В качестве примера возьмем несколько наиболее востребованных вариантов. Все они функциональны и уже прекрасно продемонстрировали себя в работе, но все же имеют некоторые отличия, о которых имеет смысл поговорить дополнительно.

FSecure Radar

Данный продукт предлагает F-Secure, давно и уверенно позиционирующая себя на рынке разработчиков сканеров уязвимостей. Это решение, использующее облачные технологии, для его нормальной работы требуется установка ряда агентов. Сегодня решение совместимо с Linux и Windows. Это не просто сканер, выявляющий уязвимости, но и платформа, помогающая осуществлять администрирование. F-Secure Radar может обнаруживать ИТ-активы, идентифицировать и инвентаризировать их. Кроме того, для пользователя становится доступным инструментарий для подготовки отчетов о соответствии ряду требований, к примеру, GDPR и PCI, и рисках.

Кроме этого предоставляются такие возможности как:

  • осуществление централизованного администрирования уязвимостей, расследование выявленных инцидентов и информирование по безопасности;
  • выявление фактов незаконного применения марки, попыток неразрешенных действий с позиций фирмы;
  • предотвращение возможности атак при выявлении неверных настроек ПО в ОС, службах и устройствах сети;
  • всестороннее изучение внутренних сетевых приложений и отслеживание возможных изменений инфраструктуры.

GFI LanGuard

Сканер защищенности, предлагаемое GFI Software предоставляет возможность проверки сетей предприятия с определением и устранением неисправностей. Это касается и сканирования портов. Несколько имеющихся профилей обеспечивают возможность сканирования портов – всех или только тех, которые чаще всего используются вредоносным ПО. Можно обеспечить сканирование ряда узлов одномоментно – таким образом существенного экономится время при осуществлении анализа, какое программное обеспечение какие порты использует. Также присутствует возможность выполнения проверки наличия необходимых обновлений в сетевых узлах и патчей. При этом сканером будет проанализировано не просто сама операционная система, но и стандартный набор ПО, которое, как правило применяется для взлома, среди которого – браузеры, мессенджеры и пр.

Сканирование осуществляется после любого обновления данных, поступающих об уязвимостях. Подобную информацию предоставляют как сами вендоры, так и уже широко известные и часто используемые SANS и OVAL. Гарантируется поддержка всех востребованных ОС и серверов и рабочих станций, а также смартфонов. Решение обеспечивает установку логина и пароля доступа и ключа для обеспечения связи по SSH. Создается отчетность в соответствии со всеми имеющимися сегодня требованиями, можно добавить определенные шаблоны, необходимыми пользователю, в планировщик.

Nessus Professional

Tenable является известным разработчиком ряда продуктов, обеспечивающих поиск уязвимостей, а также управления возможно обнаруженными вариантами. Одним из предлагаемых продуктов становится сканер Nessus – он имеет хорошую репутацию в соответствующем сегменте рынка.

Решение предназначено для самостоятельного поиска уязвимостей в защите программного обеспечения, то есть оно не требует внимания пользователя и осуществляет все автоматически. Сканер способен обнаружить часто встречающиеся варианты брешей и проблем в безопасности. Можно определить следующие сценарии:

  • определение уязвимостей доменов и служб;
  • оценка состояния ИТ-активов, включая те или иные сетевые устройства, MDM-платформы и широкий спектр используемых приложений, будь то небольшие утилиты, обновляющие драйвера или сложные пакеты, применяемые для работы в условиях офиса;
  • выявление ошибок в представленных конфигурациях;
  • проверка паролей, определение слабых и пустых вариантов по умолчанию.

Среди особенностей сканера можно выявить следующие:

  • наличие заранее настроенных сценариев сканирования, в том числе необходимых для приведения в соответствие требованиям существующих вариантов обеспечения безопасности;
  • классификация уязвимостей согласно различным признакам;
  • ряд возможностей по действиям с отчетностью и данными из архивов. Организация быстрой проверки с минимумом неоправданных срабатываний;
  • определение до 60 тысяч уязвимостей, присутствующих в CVE ID.

Tenable.io

Еще один предлагаемый продукт — Tenable.io. Решение, помимо «традиционной» версии может предоставить облачное исполнение, причем схожесть с Nessus состоит лишь в наличии определенного функционала. Сканер дает возможность решать большинство актуальных задач, особенно если речь заходит об управлении информацией об обнаруженных уязвимостях. Продуктом предоставляется такой набор возможностей как:

  • получение постоянно обновляемых данных об активах ИТ при сканировании, мониторинге;
  • комбинирование полученной информации об проблемах с Threat Intelligence (киберразведка) и Data Science (проверка информации) при оценке рисков и осознания важности уязвимостей;
  • комбинация проблем исходя из их важности;
  • работа с отчетами и архивной информацией. Оперативная проверка с минимумом неоправданных срабатываний.

База сканера содержит информацию о десятках тысяч уязвимостей.

То есть Tenable.io – это набор сенсоров различного характера, самостоятельно собирающих и анализирующих данные о проблемах и обеспечении их безопасности. Также компания представляет ряд смежных продуктов – к примеру, используемый инструментарий для выяснения соответствия требованиям, предъявляемым PCI DSS, возможность проверки сервисов и интернет-приложений, определения уязвимостей контейнеров.

Вместо вывода

В настоящий момент на рынке имеется широкий ассортимент сканеров уязвимостей. Среди них — как иностранные, так и те, что имеют российское производство, все они обладают схожими свойствами. Например, они поддерживают большинство известных ОС, могут осуществить инвентаризацию ИТ, поддерживать проверку портов, интернет-приложений и ряда сервисов. Помимо этого выявляются простые и устанавливаемые по умолчанию пароли, ведется выявление уязвимостей с применением баз cve.mitre.org и стандартов OVAL. Задачи решаются исходя из условий, выдвигаемых PCI DSS, обеспечивая тем самым работу с SIEM. Выбор сделать все-таки придется – на чем основываться пользователю?

Определенные отличия между зарубежными решениями и вариантами российских разработчиков все же существуют. К примеру, отечественные сканеры в состоянии обеспечить поиск уязвимостей их Банка угроз ФСТЭК России. Имеются все сертификаты соответствия жестким требованиям, выставляемым российскими регуляторами. Для ряда вариантов сканеров облачные сервисы отсутствуют.

Зарубежные аналоги, напротив, такую возможность предоставляют, обеспечивая безопасность конечных точек с использованием внешних серверов. Удобно? В некоторых случаях определенно да. Данные варианты позволяют оперативно отследить все изменения в ИТ-инфраструктурах, своевременно реагируя на определенные атаки. В подобной ситуации узлы выступают в качестве сетевых сканеров при исследовании трафика.

Продукты иностранного производства предлагают средства для интеграции с внешними системами, межсетевые экраны, средства техподдержки, инструменты для пен-тестов. Если затрагивать тему продуктов, имеющих открытый код, следует уточнить, что для них также предлагаются варианты, оптимальные для определения уязвимостей. При этом существует и ряд минусов, из-за которых «не российские» сканеры нужно выбирать с осторожностью. Порой приходится мириться с не всегда удобным для отечественного пользователя интерфейсом и рядом ограничений согласно возможностям. Описанные выше сканеры позволяют своевременно обнаружить уязвимости и недостатки инфраструктуры. Данный вариант защиты стремительно развивается, а сканеры превращаются в значительные системы, которые сами в состоянии решить максимум задач.