Сканер уязвимостей: автоматический поиск известных дыр в инфраструктуре

Сканер уязвимостей (vulnerability scanner) — это инструмент, который автоматически проверяет серверы, сетевые устройства, сервисы и приложения на наличие известных уязвимостей и сверяет найденное с базами CVE (Common Vulnerabilities and Exposures — реестр публично известных уязвимостей).

Суть простая: большинство взломов происходит не через хитрую zero-day-атаку, а через старую, давно описанную и давно закрытую разработчиком дыру, которую у конкретной компании просто не успели запатчить. Сканер находит такие дыры до того, как их найдёт атакующий.

Что именно ищет сканер

Сканер опрашивает цели и сопоставляет результат с базой известных проблем. Типичные находки:

• Устаревшее ПО с известными CVE — непропатченная ОС, старая версия веб-сервера, СУБД, CMS, библиотеки.
• Открытые наружу сервисы, которые не должны смотреть в интернет, — RDP, SSH, панели управления, базы данных.
• Слабые конфигурации — настройки по умолчанию, дефолтные учётные данные, слабые шифры TLS.
• Ошибки веб-приложений — у специализированных веб-сканеров: устаревшие компоненты, типовые мисконфигурации.
• Просроченные и неверные сертификаты, отсутствие обязательных заголовков безопасности.

Каждой находке сканер присваивает уровень критичности — обычно по шкале CVSS (Common Vulnerability Scoring System — система оценки опасности уязвимостей от 0 до 10).

Сканер уязвимостей и пентест — не одно и то же

Это путают чаще всего. Разница принципиальная.

Сканер уязвимостей — автоматический, регулярный, широкий. Он быстро и дёшево проверяет весь периметр на известные проблемы и выдаёт список. Но он не подтверждает, что находку реально можно проэксплуатировать, и не находит логические дыры в бизнес-логике.

Пентест — ручная работа специалиста, который пытается реально пробить защиту, связывает уязвимости в цепочки и находит то, что автомат не видит. Дороже, проводится точечно. Подробнее — в статье про тест на проникновение.

Сканер — это «постоянный фоновый рентген» инфраструктуры. Пентест — «глубокое обследование раз в период». Они дополняют друг друга, а не заменяют.

Типы сканирования

Внешнее и внутреннее

Внешнее — сканирование периметра со стороны интернета: видно то же, что видит атакующий снаружи. Внутреннее — сканирование изнутри сети: показывает, что сможет сделать злоумышленник или вредонос, уже попавший внутрь.

С аутентификацией и без

Без аутентификации — сканер смотрит на систему «снаружи», как анонимный пользователь. С аутентификацией (credentialed scan) — сканер заходит с учётными данными и видит установленные пакеты и патчи изнутри; такой скан гораздо точнее и даёт меньше ложных срабатываний.

Как читать отчёт сканера

Сырой отчёт сканера — это сотни строк, и здесь кроется главная ошибка: пытаться «закрыть всё подряд». Правильная работа с отчётом:

1. Отсечь ложные срабатывания. Сканеры регулярно помечают как уязвимость то, что на деле закрыто бэкпортом патча или неприменимо. Без проверки человеком список вводит в заблуждение.
2. Приоритизировать по реальному риску. Критичность по CVSS — это не всё. Уязвимость 9.8 на внутреннем тестовом стенде менее опасна, чем 7.5 на сервере с персональными данными, открытом наружу. Учитывается доступность извне, наличие готового эксплойта, ценность системы.
3. Составить план устранения. Что патчим сегодня, что в плановое окно, что закрываем компенсирующей мерой (например, ограничением доступа на межсетевом экране, если патч пока нельзя установить).
4. Проверить результат повторным сканом. Закрыли — пересканировали — убедились, что исчезло.

Именно поэтому ценность не в самом сканере (их много, в том числе бесплатных), а в процессе и в человеке, который превращает шумный отчёт в короткий список реальных действий.

Зачем это бизнесу — встроить в процесс

Разовый скан показывает картину на сегодня, но инфраструктура и база CVE меняются каждый день: вышел новый патч, объявили новую уязвимость, кто-то поднял временный сервис и забыл его закрыть. Поэтому сканирование делают регулярным — по расписанию, с отслеживанием динамики «появилось / закрыли».

Регулярный vulnerability management закрывает самый массовый класс причин взлома — непропатченные известные дыры. Это та профилактика, которая после инцидента с компрометацией не даёт ему повториться (см. родительский материал — что делать при утечке персональных данных). Наличие такого процесса — стандартная контрольная точка при аудите информационной безопасности.

Что включает наша услуга

• Развёртывание и настройка сканера под вашу инфраструктуру — внешний и внутренний контур
• Регулярное сканирование по расписанию с аутентификацией для максимальной точности
• Разбор отчётов: отсев ложных срабатываний, приоритизация по реальному риску
• План устранения и установка патчей — либо силами нашей команды, либо в координации с вашими ИТ
• Повторная проверка после устранения и отчёт по динамике
• Связка с мониторингом NOC 24/7 — новые критичные уязвимости попадают в работу сразу