Оглавление
Cистемы управления уязвимостями играют критическую роль в обеспечении безопасности информационных систем предприятий. От решений класса Vulnеrability Management (VM) требуется постоянное совершенствование используемых подходов для более эффективного и безопасного выявления уязвимых мест инфраструктуры. Рассмотрим наиболее важные улучшения, которые реализованы в современных VM-решениях.
Автор: Владимир Михайлов, руководитель департамента перспективных проектов компании “Фродекс”
Сканирование без нагрузки на хост
Анализ активов инфраструктуры на предмет поиска уязвимостей является неотъемлемым этапом процесса управления уязвимостями. Процедура анализа является одним из основных камней преткновения при использовании VM-решений, поскольку часто создает высокую вычислительную нагрузку на активы и нагружает сеть инфраструктуры.
Современный метод сканирования уязвимостей в VM-решениях стремится минимизировать нагрузку на активы. Это достигается переносом процесса обнаружения уязвимостей с актива на сервер VM-решения.
Вся необходимая для сканирования информация собирается на хосте, а затем отправляется на VM-сервер, где и проводится аудит. Это избавляет от необходимости выполнять тяжелые процессы сканирования на самом активе и позволяет не влиять на работоспособность инфраструктуры.
Такой подход заодно способствует эффективному использованию сетевых ресурсов, поскольку сбор и передача данных оптимизированы, что снижает нагрузку на сеть. Это важно в условиях сетей с ограниченной пропускной способностью или при сканировании больших сегментов инфраструктуры.
Третье преимущество связано с ускорением самого процесса сканирования. Передача необходимых данных на сервер позволяет существенно сократить время выполнения процедуры выявления уязвимостей: в архитектуре VM-решения может быть предусмотрена параллельная обработка, алгоритмы быстрой проверки уязвимостей в базе данных (БДУ) и т.д. Такой метод обеспечивает быстрое обнаружение и реагирование на потенциальные уязвимости.
Высокоскоростное сканирование
В современных условиях скорость проведения сканирования уязвимостей становится критически важной, особенно в организациях с обширной инфраструктурой. Времена, когда сканирование всех хостов занимало несколько дней, ушли в прошлое.
Современные методы сканирования предусматривают перенос аудита на сервер VM-решения, что позволяет проводить сканирование активов так часто, как это необходимо. Это позволяет сканировать отдельные сегменты инфраструктуры, например только определенные операционные системы или только сетевые устройства, сразу после возникновения новых уязвимостей. При этом достигается гибкость в проведении сканирования в любое время, избавляя от необходимости выжидать наступления технологических окон или нерабочего времени.
Применение такого подхода позволяет проводить аудит инфраструктуры за минимальное время, предоставляя возможность получать актуальные отчеты по запросу в режиме реального времени, а не после завершения длительных циклов сканирования. Это важно для оперативного реагирования на уязвимости и обеспечения непрерывной безопасности с минимальными временными задержками.
Обновление базы данных уязвимостей в реальном времени
Эффективное функционирование решений для управления уязвимостями предполагает оперативное обновление своих баз данных уязвимостей. Это крайне важно для обеспечения быстрой реакции на постоянно меняющийся ландшафт угроз.
Вендор VM-решения обязан стремиться к минимизации окна уязвимости, то есть временной задержки с момента появления информации о новой уязвимости до возможности ее обнаружения в защищаемой инфраструктуре. Это требует от него не только активного мониторинга новых уязвимостей, чтобы быть в курсе последних угроз, но и оперативности в процессе интеграции обновлений в систему.
При этом поставка обновлений БДУ должна осуществляться автоматически, причем независимо от обновления самой VM-системы, инкрементально и в кратчайшие сроки – до того, как информация о новой уязвимости станет общеизвестной.
Сканирование docker-образов без запуска контейнеров (в реестрах и CI/CD)
В современных методах сканирования docker-образов акцент делается на обеспечении быстроты и безопасности, исключая при этом необходимость запуска контейнера. Другими словами, используется прямое взаимодействие с файловой системой образа: проводится сбор Software Bill of Materials (SBOM) и последующий анализ уязвимостей на основе полученной информации.
Такой подход имеет два важных достоинства. Во-первых, отказ от необходимости запуска потенциально опасного контейнера устраняет потребность в создании песочницы для проведения сканирования, что способствует повышению безопасности процесса. Во-вторых, работа непосредственно с файловой системой образа существенно ускоряет процесс сканирования, поскольку не требуется время на запуск контейнера.
Дополнительный эффект в повышении скорости аудита возникает при проведении пересканирования образов на основе ранее собранной информации. После первоначального сканирования и создания SBOM исчезает необходимость повторной загрузки образов из реестра для последующего анализа. Это сокращает временные затраты и оптимизирует процесс обновления данных о безопасности образов.
Патч-менеджмент
Эффективное VM-решение не ограничивается одним лишь процессом выявления уязвимостей, а предлагает инструменты для их устранения. Ключевым механизмом для этого является установка обновлений операционной системы и прикладного программного обеспечения. Важным компонентом этого процесса является наличие в VM-продукте функционала патч-менеджмента, который напрямую связан с выявленными уязвимостями. Такой функционал ускоряет достижение инфраструктурой необходимого уровня защищенности.
Способность автоматически устанавливать обновления не только обеспечивает оперативное реагирование на новые угрозы, но и позволяет сократить окно уязвимости – период времени между обнаружением уязвимости и ее устранением.
Дополнительным плюсом в контексте безопасности обновлений является проведение проверок по базам данных Федеральной службы по техническому и экспортному контролю (БДУ ФСТЭК). Это дополнительный уровень проверки, который обеспечивает соответствие установленных обновлений не только требованиям производителей, но и регуляторным стандартам безопасности, что поднимает уровень доверия к обновлениям и укрепляет общую защиту системы.
Запуск в Kubernetes: горизонтальное масштабирование для сканирования огромных инфраструктур
Для компаний с обширными инфраструктурами, насчитывающими десятки и сотни тысяч активов, критически важно иметь средства, способные обеспечивать оперативное сканирование и эффективную обработку огромных объемов накопленных данных. Эти данные включают в себя результаты сканирования, сгенерированные отчеты, а также карточки активов и другие сведения. Важным аспектом является возможность передачи таких данных в сторонние системы или предоставление аналитики в собственном интерфейсе.
Современный подход предполагает для развертывания приложений использование оркестраторов, таких как Kubernetes или Docker Swarm. Этим достигается эффективное горизонтальное масштабирование компонентов продукта и динамическое выделение дополнительных ресурсов в моменты повышенной нагрузки на систему. Например, это может быть необходимо при сканировании больших сегментов инфраструктуры, запросах больших объемов данных через API, расчетах метрик приоритизации или генерации значительного количества отчетов.
Этот подход не только обеспечивает адаптивность и эффективность в обработке масштабных задач, но также снижает вероятность простоев, улучшает производительность системы и зачастую является единственным способом оперативно обработать огромные объемы данных.
Концепция “не навреди инфраструктуре заказчика”
Поскольку различные компоненты решений класса Vulnerability Management непосредственно взаимодействуют с активами в виде агентов или обладают привилегированным доступом к ним (безагентное сканирование с использованием учетных записей), становится важным, насколько бережно развернутая система взаимодействует с инфраструктурой клиента.
Современный подход к безопасности включает в себя внедрение в продукт специальных ограничений, реализующих принцип “не навреди” (not to damage first). Это означает, что система даже в случае компрометации должна предотвращать выполнение злоумышленником разрушительных действий.
Применение специальных протоколов, предусматривающих встроенные механизмы контроля и предотвращения нежелательных операций, обеспечивают защиту взаимодействия с активами и между компонентами самой системы.
Обязательным является введение мер безопасности, таких как ролевые модели доступа, защищенное хранение учетных записей, двухфакторная аутентификация, ограничения для API-токенов, контроль целостности обновлений и исполнимых файлов.
Концепция “не навреди” создает дополнительный уровень безопасности, обеспечивая сохранность инфраструктуры клиента даже при наличии потенциальных внутренних угроз.
Агентное сканирование внутри защищенного сегмента
Ранее для проведения сканирования активов внутри защищенных сегментов требовалось предоставление сетевого доступа от VM-решения внутрь этого сегмента. Этот метод хоть и обеспечивал проведение сканирования, но также создавал определенные риски, связанные с потенциальным нарушением безопасности защищенного сегмента при открытии сетевого доступа.
Современный подход к решению этой проблемы заключается в инициировании соединения от агента, работающего внутри защищенного сегмента, к VM-решению. Это позволяет поддерживать защищенность сегмента, не открывая внешний сетевой доступ.
Такой метод не только соблюдает принцип “не раскрывай, если не требуется”, но и обеспечивает сохранение уровня безопасности внутри защищенных сетей.
Таким образом, соблюдается безопасность даже в процессе проведения сканирования, реализуя эффективный механизм взаимодействия между агентами и продуктом без нарушения защитных барьеров защищенных сегментов.
Работа с любыми данными через REST API
В современном бизнес-ландшафте многие крупные компании обладают значительными ресурсами и возможностями для создания собственных информационно-технологических процессов. Эти процессы, включая обнаружение и устранение уязвимостей в системах информационной безопасности, могут быть разработаны с учетом специфических требований и представлений компании.
В некоторых случаях организации строят собственные схемы детектирования и устранения уязвимостей в соответствии со своими внутренними процедурами и стандартами безопасности. Для таких компаний становится критически важным наличие инструментария, который обеспечивает гибкость взаимодействия со своими данными и интеграцию с уже существующими процессами.
VM-продукт, обладающий возможностью работы с данными через встроенный API, предоставляет необходимые возможности для таких клиентов, позволяя интегрировать VM-решение в свои собственные процессы и системы. А наличие в API дополнительных сервисов, реализующих логику обнаружения уязвимостей или работу с базой данных уязвимостей, дает возможность выстраивать свои процессы обнаружения уязвимостей и обогащения данных.
Такой подход к разработке и внедрению VM-продукта позволяет клиентам максимально эффективно использовать собственные ресурсы, обеспечивая гибкость и индивидуальный подход к обеспечению информационной безопасности.
Заключение
Управление уязвимостями является одним из важнейших ИБ-процессов, поэтому в решениях класса Vulnerability Management необходима реализация подходов и технологий, которые будут способствовать эффективному обнаружению и устранению уязвимостей, а также максимально адаптироваться к особенностям и потребностям конкретной инфраструктуры.
ITSec_articles