Важной частью обеспечения информационной безопасности (ИБ) является идентификация потенциальных рисков. Уязвимости основных компонентов корпоративной сети, таких как сетевые сервисы, операционные системы, прикладное программное обеспечение, системы управления базами данных, маршрутизаторы и межсетевые экраны, являются фундаментальными рисками в процессе обеспечения информационной безопасности. Сканирование на предмет наличия уязвимостей и последующее устранение обнаруженных уязвимостей значительно повышает общий уровень безопасности корпоративной сети, обеспечивая компании управление потенциальными рисками ИБ и проверку информационной системы на соответствие таким стандартам в сфере ИБ, как ISO 27001, PCI-DSS.
Основные задачи систем сканирования на уязвимости заключаются в:
— обнаружении уязвимостей всех сегментов сети;
— идентификации и отчете о настройках безопасности всех сегментов сети;
— обнаружении неуправляемых устройств и приложений внутри корпоративной сети;
— создании отчетов на предмет соответствия стандартам ИБ;
— управлении рисками и приоритезации их устранения;
— обеспечении рекомендаций по устранению уязвимостей.
Цикл работы системы управления уязвимостями выглядит следующим образом:
Пользователь может провести сканирование на уязвимости своей сети двумя способами:
— разовое сканирование на уязвимости;
— внедрение системы управления уязвимостями.
У каждого из приведенных способов есть свои плюсы и минусы. В первом случае пользователь может быстро и без особых трудозатрат получить отчет о состоянии своей IТ-инфраструктуры, а в случае внедрения системы управления уязвимостями пользователь получает постоянный контроль над уязвимостями, что позволяет повысить уровень защищенности. Системы управления уязвимостями могут быть установлены как внутри корпоративной сети для сканирования внутреннего и внешнего периметра сети, так и использоваться вне корпоративной сети посредством технологии Software-as-a-Service (ПО как услуга).
Основными представителями рынка систем управления уязвимостями являются Positive Technologies, Qualys, Outpost24 и Rapid7. Это далеко не полный их список, но одними из самых популярных являются вышеупомянутые. Теперь более подробно расскажем о каждом из них.
Positive Technologies — одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании:
— разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider;
— предоставление консалтинговых и сервисных услуг в области информационной безопасности;
— развитие специализированного портала по ИБ securitylab.ru.
Positive Technologies — это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.
Основной для создания MaxPatrol послужил профессиональный сканер безопасности XSpider и более чем 10-летний опыт экспертов компании Positive Technologies, полученный в ходе его разработки, внедрения и эксплуатации в ведущих российских и зарубежных компаниях. Система мониторинга информационной безопасности MaxPatrol позволяет получать объективную оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной системы.
MaxPatrol настраивается под любые технические стандарты и работает для всех уровней — от администратора до руководителя предприятия. Основные возможности MaxPatrol:
— проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности;
— автоматизация процессов контроля соответствия отраслевым и международным стандартам;
— оценка эффективности IT-подразделений и ИБ с помощью расширяемого набора метрик безопасности и KPI;
— снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов;
— автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений;
— комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки;
— встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NSA, NIST, CIS;
— максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем;
— поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли.
Основная задача сканера XSpider — обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также выдать четкие и понятные рекомендации по устранению обнаруженных уязвимостей. Основные возможности X-Spider:
— полная идентификация сервисов на случайных портах (дает возможность проверки на уязвимость серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты);
— эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы (служит для определения настоящего имени сервера и корректной работы проверок в тех случаях, если конфигурация WWW-сервера скрывает его настоящее имя или заменяет его на другое);
— обработка RPC-сервисов (Windows и *nix) с их полной идентификацией (обеспечивает возможности определения RPC-сервисов и поиска уязвимостей в них, а также определения детальной конфигурации компьютера в целом);
— проверка слабости парольной защиты (производится оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогая выявить слабые пароли);
— глубокий анализ контента WEB-сайтов (анализ всех скриптов HTTP-серверов поиск в них разнообразных уязвимостей: SQL инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг HTTP Response Splitting);
— анализатор структуры HTTP-серверов (позволяет осуществлять поиск и анализ директорий доступных для просмотра и записи, давая возможность находить слабые места в конфигурации);
— проведение проверок на нестандартные DoS-атаки (существует возможность включения проверок «на отказ в обслуживании», основанных на опыте предыдущих атак и хакерских методах);
— специальные механизмы, уменьшающие вероятность ложных срабатываний (в различных видах проверок используются специально под них разработанные методы, уменьшающие вероятность ошибочного определения уязвимостей);
— ежедневное добавление новых уязвимостей и проверок.
QualysGuard обеспечивает простое развертывание и всеобъемлющий способ уменьшить риски и соблюсти нормативные требования. Все, что нужно компании, — это web-браузер для сканирования сети и приложений, чтобы обнаружить и исправить уязвимости, а также собрать данные о соблюдении правил. Поставляемая в виде архитектуры «ПО как услуга» (SaaS), QualysGuard позволяет организациям эффективно управлять своими уязвимостями и осуществлять контроль за безопасностью сети с централизованным построением отчетов. Это средство наделено всеми возможностями рабочего процесса устранения уязвимостей с автоматическим формированием заявок для исполнителей. QualysGuard предоставляет комплексные отчеты об уязвимостях и по вопросам соблюдения систем и приложений, включая уровни важности, время на исправление, оценки влияния на бизнес, а также производит анализ тенденций в области безопасности и вопросах ее соблюдения. Из заслуг следует отметить одно из крупнейших внедрений управления уязвимостями в компанию, которая находится в Fortune Global 50 ( производится сканирование более 700000 устройств компании во всем мире).
Используя SaaS, Qualys упростила процесс сканирования уязвимостей и соблюдения требований. При реализации QualysGuard нет необходимости в наличии инфраструктуры для развертывания или управления. Модель SaaS не только экономит время и ресурсы, а также позволяет менеджерам и аудиторам получить полное представление о безопасности компании и соблюдение требований. В 2009 году Qualys добавил в QualysGuard модуль сканирования web-приложений, что позволяет клиентам сканировать на SQL-injections и XSS-уязвимости для защиты своих web-приложений от популярных векторов атак. Кроме того, Qualys, в партнерстве с VeriSign iDefense, много сделала для непосредственной защиты от угроз нулевого дня и уязвимостей и предоставили расширенные возможности по созданию отчетов, которые позволяют приоритезировать патчи и в режиме реального времени анализировать риски. Лаборатория уязвимостей Qualys обслуживает одну из крупнейших в отрасли базу данных уязвимостей с более чем 7000 (более 23000 уязвимостей) уникальных проверок на основе стандарта CVE. Автоматизированное регрессивное тестирование гарантирует качество аудита безопасности и ежедневные обновления информации для клиентов.
Создание автоматизированного процесса для непрерывного мониторинга сети и безопасности web-приложений и выявления уязвимостей имеет решающее значение для защиты предприятия и поддержания соответствия нормативным требованиям. Qualys предлагает следующие сервисы:
— QualysGuard Vulnerability Management — собственно основной продукт для сканирования и управления уязвимостями;
— QualysGuard Policy Compliance — модуль для обеспечения соответствия стандартам ИБ;
— QualysGuard PCI Compliance — модуль для обеспечения соответствия стандарту PCI-DSS (QualysGuard сертифицирован как PCI Approved Scanning Vendor);
— QualysGuard Web Application Scanning — модуль для сканирования web-приложений;
— QualysGuard Malware Detection Service — для обнаружения инфицирования на web-ресурсе;
— QualysGuard Web Application Firewall (в разработке) – модуль для проактивной защиты web-приложений.
Также существует такое понятие как Qualys SECURE Seal, позволяющее организациям продемонстрировать внедрение технологий для проактивной защиты своего web-ресурса. Данное решение подразумевает сканирование на уязвимости сети, web-приложения и проверки на наличие вирусного инфицирования ресурса, а также валидности SSL-сертификата. Как следствие, наличие Qualys SECURE Seal позволяет пользователям данного ресурса быть уверенными в его безопасности.
Outpost24 — частная компания, предоставляющая своим клиентам упреждающие решения в сфере безопасности сетей, помогающие организациям защищать их активы и снижать возникающие риски. Основанная в Швеции в 2001 году для разработки передовых решений по управлению уязвимостями, Outpost24 предлагает собственные, лучшие в отрасли технологии, обеспечивающие организации надежной платформой для внедрения процессов управления уязвимостями и достижения соответствия с требованиями PCI-DSS.
Обновленные комплексные технологические решения, основанные на сервисе облачных вычислений, и приложения, не требующие программ-агентов, разработанные компанией Outpost24, имеют массу преимуществ: легкость в установке, интуитивный интерфейс и высокую точность, позволяющую максимально снизить совокупную стоимость владения (ССВ). Компания Outpost24 предлагает передовые упреждающие решения по обеспечению безопасности сети в таких областях, такие как:
— Управление уязвимостями. Легкая установка и интуитивные решения для постоянного выявления, устранения и смягчения воздействия уязвимостей на сеть. Автоматическое сканирование уязвимостей производится через определенные короткие промежутки времени для выявления уязвимостей, последующей оценки и предоставления полной информации в отчете вместе с рекомендациями по их устранению
— Соответствие стандартам PCI. Комплексный, простой в использовании инструмент, основанный на передовой технологии проверки и подтверждения соответствия требованиям информационной безопасности данных индустрии платежных карт PCI. Обладая статусом Approved Scanning Vendor (ASV), предоставленным Советом по Стандартам Безопасности PCI, компания Outpost24 помогает клиентам соответствовать стандартам PCI при внешних, внутренних сканированиях и проверке сетевых приложений
— Сканирование web-приложений (WAS). Решение, которое автоматически, быстро и легко, сканирует тысячи веб-страниц на предмет выявления уязвимостей. Сканируя как уровень web-сервера, так и уровень web-приложений, компания Outpost24 предлагает экономичный, надежный и легкий способ оценки безопасности web-приложений.
Технологии от компании Outpost24 охватывают все сегменты рынка, обеспечивают высокую точность сканирования, предлагаются по гибкой схеме лицензирования и не воздействуют на доступность сетей и сервисов. Данные продукты базируются на сервисах облачных вычислений в сочетании с автоматически конфигурируемым устройством, не требующим использования программ-агентов:
— OUTSCAN — доступный сервис облачных вычислений по запросу для оценки уровня внешней уязвимости. Сочетает в себе легкость эксплуатации и многофункциональность с мощным устройством сканирования сети для обеспечения наименьшего числа ложно-позитивных ошибок.
— HIAB — автоматически конфигурируемое устройство для оценки уровней внешней и внутренней уязвимости и управления уязвимостями. С интерфейсом на веб-основе, безагентной архитектурой, сохранением отчетов об уязвимости сети на устройстве HIAB и их постоянным размещением во внутренней сети.
— OUTSCAN PCI — сервис облачных вычислений по запросу подтверждения соответствия стандартам PCI. Не требуя инсталляции и технического обслуживания, производит полное автоматическое сканирование сети, предоставляет легкие для понимания отчеты и техническую поддержку 24×7.
Компания Outpost24 также предлагает WAS в качестве дополнения к OUTSCAN или HIAB для возможности проведения более качественного сканирования веб-приложений.
Основанная в 2000 году компания Rapid7 является лидирующим производителем уникальных продуктов для управления безопасностью сети и совместимостью политик безопасности и тестирования системы защиты IТ-инфраструктуры от проникновения потенциально опасных объектов. Интегрированные решения компании помогают оптимизировать систему безопасности сети, web-приложений и баз данных. В разработке приложений Rapid7 использует платформу с открытым кодом Metasploit, позволяющую создавать и тестировать специальные программы, использующие уязвимые участки для атаки на IT-систему. Rapid7 разрабатывает технологии управления безопасностью IT-инфраструктуры предприятия совместно с Archer Technologies, RSA, SecureWorks, TrendMicro и другими компаниями. Достижения и рост компании неоднократно отмечались на престижных международных конкурсах и конференциях.
Компания Rapid7 выпускает популярный продукт NeXpose, обеспечивающий эффективное управление системой защиты информационных ресурсов предприятия. Программное обеспечение Rapid7 Nexpose является системой управления уязвимостями, которая выполняет проактивное сканирование IT-инфраструктуры на наличие неверных конфигураций, слабых мест, вредоносных компонентов и предоставляет рекомендации по устранению существующих рисков. Rapid7 Nexpose анализирует все компоненты инфраструктуры, включая сети, операционные системы, базы данных и web-приложения. По итогам проверки приложение осуществляет приоритезацию обнаруженных угроз и генерирует руководства, как снизить каждую из них. Система Rapid7 Nexpose может интегрироваться с Metasploit — решением для тестирования проникновения угроз, — чтобы комплексно оценивать риски безопасности в IT-инфраструктуре организации. Доступны следующие редакции Rapid7 Nexpose:
— Community — версия для индивидуальных пользователей с функциями сканирования до 32 IP, проверки сетей, операционных систем и баз данных. Community может развертываться только на программную платформу.
— Express — версия для небольших организаций с функциями сканирования до 128 или 256 (версия Pro) IP, проверки сетей, операционных систем и баз данных. Express может развертываться только на программную платформу.
— Consultant — версия для консультирующих агентств по IT-безопасности, предлагающая функции сканирования до 1024 IP, проверки сетей, операционных систем, web-приложений, виртуальных сред и баз данных. Consultant может развертываться только на программную платформу. Кроме того, редакция предлагает возможности оценки конфигураций и управления политиками, пользовательской настройки параметров сканирования, отчетов и планов устранения угроз.
— Enterprise — масштабируемая версия для среднего и крупного бизнеса, предлагающая функции сканирования неограниченного числа IP, проверки сетей, операционных систем, web-приложений, виртуальных сред и баз данных. Enterprise может развертываться на программные, аппаратные и виртуальные платформы. Кроме того, редакция предлагает возможности оценки конфигураций и управления политиками, пользовательской настройки параметров сканирования, отчетов и планов устранения угроз.
Программное обеспечение Rapid7 Metasploit является решением для тестирования проникновения угроз, которое позволяет оценивать риски и меры их устранения, чтобы предотвращать утечки данных и иные последствия нарушения безопасности IT-инфраструктуры. Rapid7 Metasploit дает возможность отслеживать, когда существующие уязвимости превращаются в риски по мере тестирования различных способов защиты сети. Благодаря Rapid7 Metasploit IT-специалисты получают наглядное представление о том, какие уязвимости в инфраструктуре предприятия могут использовать вредоносные компоненты, чтобы концентрироваться на наиболее критичных и важных рисках.
Rapid7 Metasploit осуществляет симуляцию атаки на сеть и таким образом выявляет проблемы ее безопасности, может интегрироваться с системой управления уязвимостями Nexpose для анализа существующих рисков, выполняет оценку доступных способов защиты от атак и инструментов контроля вторжений и, наконец, определяет незащищенность перед фишингом и утечками конфиденциальных данных (например, паролей). Доступны следующие редакции Rapid7 Metasploit:
— Framework — бесплатная платформа разработки с открытым исходным кодом и ограниченным функционалом, предназначенная для индивидуальных разработчиков и специалистов по исследованию безопасности. Предлагает базовый интерфейс командной строки, возможности импорта конфигураций сетей из сторонних приложений, тестирования эксплойтов и атак типа «полный перебор» вручную.
— Community — бесплатная базовая версия с ограниченным функционалом, предназначенная для учащихся и небольших компаний. Предлагает простой web-интерфейс, возможности управления данными, обнаружения сетевых компонентов и импорта конфигураций сетей из сторонних приложений, базового тестирования эксплойтов.
— Express — версия для IT-отделов в организациях среднего и малого бизнеса, включающая в себя все возможности Community, а также функции базового тестирования проникновения угроз, интеллектуального тестирования эксплойтов, аудита защиты паролей и генерации отчетов по результатам тестирования.
— Pro — версия для средних и крупных организаций, включающая в себя все возможности Express, а также функции автоматической оценки рисков и генерации отчетов, тестирования атак типа «социальная инженерия» и сканирования web-приложений. Предлагает интерфейс программирования для настройки интеграции с требуемыми бизнес-системами.
Отметим, что система управления уязвимостями компании Symantec — Control Compliance Suite Vulnerability Manager построена на базе решений компании Rapid7.
Все вышеперечисленные поставщики систем управления уязвимостями имеют оценку «Strong Positive» в исследовании Qartner, за исключением Positive Technologies, который в данном исследовании вообще не рассматривается. Предположительно, в виду того, что Positive Technologies популярен в первую очередь в странах СНГ. При этом Positive Technologies занимает лидирующие позиции в РФ, так как он известен многим как весьма хорошо зарекомендовавшая себя система с русскоязычной поддержкой.
В целом каждый из продуктов хорош по своему, обладает своими плюсами и минусами, и только им свойственными преимуществами. Выбор продукта, как правило, зависит от потребностей клиента, а порой и личного опыта. Но в целом, в наше время, системы управления уязвимостями — это неотъемлемая часть систем обеспечения информационной безопасности компании, для которой подобный вопрос является приоритетным.