Внешнее сканирование уязвимостей в сети

от

ВНЕШНЕЕ СКАНИРОВАНИЕ УЯЗВИМОСТЕЙ: ПЕРВЫЙ ЩИТ ПЕРИМЕТРА

Автоматизированное обнаружение слабых мест в публично доступных сервисах до того, как их найдут злоумышленники

🔍 Суть процесса и его критическое значение

Внешнее сканирование уязвимостей — это систематический процесс автоматизированного анализа всех точек входа организации, доступных из глобальной сети. В отличие от внутренних проверок, внешнее сканирование моделирует действия злоумышленника, не имеющего легального доступа к инфраструктуре. Это позволяет выявить критические уязвимости в веб-серверах, API-интерфейсах, почтовых шлюзах и других публично доступных сервисах до того, как они будут скомпрометированы.

Регулярное сканирование (минимум раз в месяц) становится обязательным требованием при работе с персональными данными и финансовыми транзакциями. Согласно статистике, 78% компаний, не проводящих регулярные внешние сканирования, становятся жертвами инцидентов, которые можно было предотвратить.

🖼️ Квадратная картинка:
Внешнее сканирование уязвимостей

📊 Классификация результатов и приоритизация

Уровень риска CVSS Score Время на устранение Примеры уязвимостей
Критический 9.0 — 10.0 24-48 часов RCE, SQL-инъекции, аутентификация bypass
Высокий 7.0 — 8.9 1-2 недели XSS, CSRF, чтение файлов, перебор паролей
Средний 4.0 — 6.9 1 месяц Информационный слив, устаревшие версии
Низкий 0.1 — 3.9 Плановое обновление Баннеры сервисов, техническая информация

💡 Методика приоритизации: Используйте формулу Risk = Impact × Probability. Учитывайте эксплойтабельность, наличие публичных эксплойтов и критичность затронутой системы.

🛠️ SCAP-совместимые сканеры: технические требования

📋 SCAP-компоненты

  • OVAL — язык описания проверок конфигурации
  • XCCDF — формат представления списков проверок
  • CVSS — система оценки критичности уязвимостей
  • CVE — единый перечень уязвимостей
  • CPE — идентификаторы продуктов и версий

🎯 Практическое применение

SCAP-сканер автоматически проверяет соответствие систем требованиям стандартов безопасности, используя актуальные базы уязвимостей.

🛡️ Популярные SCAP-решения

  • OpenVAS — открытое решение с поддержкой SCAP
  • Nessus — коммерческий сканер с SCAP-плагинами
  • Security Center — корпоративная платформа сканирования
  • MaxPatrol — отечественное решение для аудита

📊 Частота сканирования

Ежемесячное сканирование обеспечивает баланс между актуальностью данных и нагрузкой на инфраструктуру.

SCAP (Security Content Automation Protocol) — открытый стандарт автоматизации оценки безопасности, разработанный NIST. Использование SCAP-совместимых инструментов обеспечивает:

  • Стандартизацию процессов — единый формат для всех инструментов
  • Автоматизацию отчетности — готовые шаблоны для регуляторов
  • Интеграцию с SIEM — передача данных в системы мониторинга
  • Соответствие требованиям — автоматическая проверка по стандартам
  • Поддержку CVE — актуальная база уязвимостей
  • Кросс-платформенность — работа с любыми ОС и приложениями
  • Воспроизводимость — одинаковые результаты на разных системах
  • Скрипты автоматизации — интеграция в CI/CD процессы

🔥 Практическое применение команды

# Запуск SCAP-сканирования с использованием OpenSCAP
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard 
--report report.html --results-arf results.xml 
/usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml
# Автоматизация сканирования через cron (ежемесячно 1-го числа)
0 2 1 * * /usr/bin/oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard 
--report /var/reports/scap_$(date +%Y%m%d).html 
/usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml

🚀 Практика: настройка автоматического сканирования OpenVAS

🎯 Базовая настройка сканера

# Установка OpenVAS
sudo apt update
sudo apt install openvas
# Начальная настройка
sudo gvm-setup
sudo gvm-start
# Проверка статуса
sudo gvm-check-setup

📝 Создание задачи сканирования

В веб-интерфейсе OpenVAS создаем задачу с параметрами:

  • Цели: внешние IP-адреса компании
  • Расписание: первое число каждого месяца
  • Конфигурация: полное сканирование с проверкой CVE
  • Отчет: автоматическая отправка ответственным

🛡️ Критические проверки

  • Версии ПО — устаревшие сервисы с известными CVE
  • SSL/TLS конфигурация — поддержка устаревших протоколов
  • Открытые порты — неиспользуемые сервисы наружу
  • Заголовки безопасности — CSP, HSTS, X-Frame-Options
  • Конфигурация веб-сервера — информационный слив

⚡ Автоматизация отчетности

Настройте автоматическую отправку отчетов в SIEM-систему и тикетную систему для отслеживания устранения уязвимостей.

⏱️ Частота сканирования: баланс между безопасностью и ресурсами

Минимальная периодичность сканирования — раз в месяц, однако в реальных условиях этот параметр зависит от нескольких факторов:

Фактор риска Рекомендуемая частота Обоснование
Интернет-магазин с онлайн-оплатой Еженедельно Высокая стоимость компрометации, частые обновления кода
Корпоративный портал с формой обратной связи Раз в две недели Средний риск, стандартные компоненты
Информационный сайт без пользовательских данных Ежемесячно Низкий риск компрометации данных
Изменение внешнего IP-адреса или DNS Немедленно Критическое изменение инфраструктуры

Важно: после каждого обновления публично доступного ПО необходимо проводить внеплановое сканирование, так как новые версии могут вносить новые уязвимости.

🔧 Практические сценарии реализации

🏢 Сценарий для среднего бизнеса

Интернет-магазин электроники с ежемесячным оборотом 5 млн рублей:

  • Инструмент: OpenVAS + Lynis для внутренних систем
  • Частота: еженедельное сканирование внешних сервисов
  • Интеграция: автоматическая отправка отчетов в Telegram-канал для ИТ-отдела
  • Бюджет: 15 000 рублей/месяц на облачное решение или 200 000 рублей единоразово для локального развертывания

🌍 Распределенная инфраструктура

Компания с офисами в разных регионах и единой точкой входа:

  • Инструмент: Nessus Professional с централизованным управлением
  • Частота: сканирование каждого регионального узла раз в месяц
  • Интеграция: передача данных в SIEM-систему через API
  • Особенность: географически распределенные сканеры для проверки доступности сервисов из разных точек мира

⚙️ Команды для быстрого старта

Быстрое сканирование портов

nmap -sV -T4 -p 80,443,22,25,53,3306

Полное сканирование WEB

nikto -h https://target.com -ssl -Tuning x6

SCAP сканирование

oscap oval eval --results results.xml /usr/share/oval/org.mitre.oval/tst/2023.xml

📊 Инструменты для внешнего сканирования: сравнительная таблица

Инструмент SCAP-совместимость Стоимость Особенности
OpenVAS/GVM ✅ Полная Бесплатно Открытый исходный код, регулярные обновления NVT, веб-интерфейс
Nessus Professional ✅ Частичная От 3 000 $/год Коммерческое решение, быстрое сканирование, детальная отчетность
OpenSCAP ✅ Полная Бесплатно Командная строка, интеграция с CI/CD, поддержка всех стандартов SCAP
Acunetix ❌ Нет От 5 000 $/год Специализация на веб-уязвимостях, JavaScript-анализ, WAF обнаружение

💡 Рекомендация: Для организаций, обрабатывающих персональные данные, приоритет отдается SCAP-совместимым инструментам с открытым исходным кодом. Это обеспечивает прозрачность проверок и соответствие требованиям регуляторов при минимальных затратах.

🚨 Типичные ошибки и как их избежать

❌ Частые ошибки

  • Сканирование только основного домена, игнорируя поддомены и альтернативные IP
  • Использование устаревших баз уязвимостей без регулярного обновления
  • Отсутствие документирования и отслеживания истории сканирований
  • Неправильная настройка сканера, приводящая к ложным срабатываниям
  • Отсутствие интеграции результатов сканирования с процессами реагирования

✅ Практические решения

  • Составление полного перечня внешних точек входа перед сканированием
  • Автоматическое обновление баз уязвимостей через CI/CD пайплайн
  • Хранение результатов сканирований в защищенном репозитории с версионированием
  • Настройка белых списков для корпоративных IP и сервисов
  • Интеграция с системами тикетинга для автоматического создания задач на устранение

🔍 Реальный кейс: Компания проводила ежемесячное сканирование только основного домена shop.company.ru, но не проверяла admin.shop.company.ru. На административной панели осталась уязвимость CVE-2022-21449 (логическая ошибка в аутентификации), что привело к утечке данных 15 000 клиентов. Восстановление репутации и устранение последствий обошлось в 3.7 млн рублей, тогда как стоимость регулярного сканирования всех поддоменов составляла 45 000 рублей в год.

Загрузка…

Оставьте комментарий