СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
28 февраля
#Обзоры #Dev#ИБ#ИИ#Инфра#Облака

ScanFactory: единое решение для закрытия уязвимостей на внешнем периметре, и внутренней инфраструктуре

ScanFactory: единое решение для закрытия уязвимостей на внешнем периметре, и внутренней инфраструктуре

Один из ключевых элементов информационной защиты организаций – управление уязвимостями. Для этого традиционно использовались сканеры уязвимостей. Но ИТ-инфраструктура постоянно обрастает новыми активами, облачными сервисами и новыми технологиями, растет число подрядчиков. Каждый подобный актив – потенциальная точка входа для злоумышленников.

Классические российские продукты не всегда могут задетектировать угрозы, возникающие в таких условиях. В дополнение к простому сканированию необходимо вести поиск «теневых активов», обнаруживать уязвимости в веб-приложениях – это функции класса решений EASM. Кроме того, нужны большие усилия для самостоятельного создания действительно качественной базы данных уязвимостей – или, что более оптимально, можно использовать готовую экспертизу мировых вендоров.

В данном обзоре мы рассмотрим ScanFactory – мультивендорное решение для анализа защищенности ИТ-инфраструктуры, включающее в себя инструменты управления уязвимостями внутри сети (VM), мониторинг внешнего периметра (EASM) и мониторинг утечек паролей.

Архитектура ScanFactory

Прежде всего, почему ScanFactory – «решение», а не только «продукт» или «сервис»? Благодаря гибкости платформы, возможны различные варианты использования:

  • SaaS – ScanFactory используется как сервис. Ведется поиск утечек и фишинговых доменов; сканирование производится с серверов вендора – соответственно, сканируются только сайты и внешний периметр заказчика.
  • On-premise – полное развертывание в инфраструктуре заказчика для автономного сканирования. Инсталляция возможна как в открытом сегменте с доступом в интернет, так и в полностью закрытом контуре с оффлайн-обновлениями.
    Требуемые ресурсы для варианта On-Premise: 6 виртуальных машин с Red OS/Debian, на которых впоследствии разворачивается k8s-среда со ScanFactory (общий требуемый пул ресурсов: 38 CPU, 200 GB RAM, 1750 GB диск).
  • ПАК (программно-аппаратный комплекс) – On-premise инсталляция на аппаратных платформах от вендора.
  • Hybrid – личный кабинет и внешние сканеры хостятся в облаке вендора, как в варианте SaaS. Но вдобавок к этому во внутреннюю сеть заказчика устанавливается виртуальная машина-агент Remote Scan Agent, сканирующая внутреннюю инфраструктуру.

Требуемые ресурсы для Remote Scan Agent: одна виртуальная машина (2 CPU, 2 GB RAM, 20 GB диск).

Архитектура ScanFactory позволяет разместить сканирующие ноды в геораспределённых сегментах сети, и управлять всеми сканерами из единого центра, сканируя сразу несколько филиалов организации по выбранному расписанию.

Архитектура ScanFactory в режиме On-Premise

Возможности ScanFactory

1. Сканирование:

  • Инвентаризация активов (доменов, поддоменов, IP и открытых портов).
  • Сканирование методом пентеста (blackbox) и аудита (whitebox) различных активов (Windows, Linux, сетевые устройства, гипервизоры, СУБД и др.).
  • Проверка соответствия политикам (PCI DSS, CIS Benchmarks).
  • Анализ веб-приложений методом пентеста, сканирование на основе Swagger-схем, проверка срока действия SSL-сертификатов. Поиск скрытых файлов и папок, SQLi, XSS, сode injection, OS command.
  • Брутфорс паролей, в том числе по своим словарям.

Для выполнения этих задач ScanFactory включает в себя мощные коммерческие и open-source сканеры. В состав решения входят:

  • Коммерческий сканер «N» для анализа инфраструктуры №1 в мире. Поддерживает более 95 000 CVE с помощью 230 000+ плагинов.
  • Коммерческий сканер «A» для анализа веб-приложений №1 в мире. Может при доступе к веб-ресурсам использовать аутентификацию по сертификатам.
  • 20 open-source сканеров (Nmap, nuclei, OWASP ZAP и др.), обеспечивающих дополнительную информацию. Полный список сканеров доступен по ссылке.
  • Собственные эксплойты и плагины для сканеров, написанные специалистами ScanFactory.

В отличие от других решений, актив может быть просканирован немедленно после добавления, не требуется согласование через техподдержку. Все активы сканируются каждый день (если не настроено другое расписание). В исполнении On-premise ScanFactory может сканировать десятки тысяч хостов в сутки за счет платформы оркестрации и автоматического масштабирования.

Базы уязвимостей обновляются также ежедневно, информация загружается из баз данных CVEdetails и Vulners.

Примеры настроек сканирования в проекте

2. Управление уязвимостями (VM)

После обнаружения уязвимости отображаются в отдельном разделе, где можно их отфильтровать по степени опасности, статусу, сработавшему сканеру. Для каждой уязвимости можно вручную изменить статус (подтверждена, в работе, игнорирована), критичность, оставить комментарий.

При интеграции с SGRC SECURITM можно реализовать полный цикл управления уязвимостями – обнаружение, приоритизация устранения, постановка задачи, проверка закрытия.

Список обнаруженных угроз. Маскировка IP-адреса хоста – встроенная функция веб-интерфейса ScanFactory
Карточка уязвимости
Обнаруженный актив с открытыми портами
История открытых/закрытых портов

Для каждой задачи сканирования хранится история выполнения: сканер, сканируемый актив, статус (успешно/неуспешно). Можно скачать оригинальный отчет того сканера, который использовался для проверки.

3. Поиск утечек паролей:

ScanFactory ищет утечки паролей с тех же сервисов, которые указаны как цели сканирования. Поиск производится по коммерческим базах утечек.

Благодаря этим инструментам можно будет заранее выявить проблемные места до того, как их успеют проэксплуатировать злоумышленники.

Найденные учетные записи для домена, email и пароль доступны оператору для верификации утечки

4. Управление результатами и отчетностью

ScanFactory предлагает удобные механизмы представления и анализа данных:

  • Интерактивный дашборд с агрегированной информацией по угрозам, активам и истории проверок.
  • Автоматизированная генерация PDF-отчетов при обнаружении новой угрозы или сводного отчета по расписанию.
  • Отправка сгенерированных отчетов по e-mail или через Telegram.
  • Поддержка API для интеграции с SIEM-системами и другими инструментами кибербезопасности.

Кроме этого, можно отметить, что ScanFactory журналирует историю действий пользователей.

Дашборд
Окно настройки отчета
Настройка Telegram-бота

Пользователи и ролевая модель ScanFactory

ScanFactory поддерживает как локальные учетные записи, так и аутентификацию через SSO и LDAP.

Пользователю можно назначить одну из трех ролей:

  • Администратор – управляет всей платформой, включая настройку пользователей и проектов.
  • Аналитик – роль, предназначенная для анализа и управления состоянием сущностей одного или нескольких проектов платформы.
  • Только чтение – имеет доступ только к просмотру информации.

Поддерживается мультитенантность – Администратор может назначить пользователю индивидуальные роли в каждом проекте.

Выбор роли и доступных пользователю проектов

Лицензионная политика, дополнительные сервисы

Лицензия на использование ScanFactory приобретается на год. Ее стоимость зависит от количества сканируемых хостов. При этом если у сервера есть и IP, и доменное имя, внесенные в цели сканирования, он будет считаться за один хост.

Дополнительно к лицензии могут быть оказаны такие услуги:

  • Ручная верификация ложных срабатываний.
  • Консультации с выделенным пентестером для анализа причин возникновения уязвимости, контроля процесса устранения и получения рекомендованных конфигураций настроек безопасности.
  • Ручной пентест сервисов по запросу.

Также можно сказать, что платформа ScanFactory внесена в реестр российского ПО, реестровая запись №14815 от 12.09.2022. У организации есть лицензии ФСТЭК России по ТЗКИ, а также по разработке и производству СЗКИ.

Roadmap ScanFactory

  • Добавление сканера, сертифицированного ФСТЭК России;
  • Внедрение AI для отсева False Positive результатов и автоматического перевода методов устранения уязвимостей на русский язык;
  • Выявление теневых активов: добавление поиска связанных с организацией доменов по полям WHOIS;
  • Мониторинг фишинговых доменов;
  • Авто-тестирование безопасности внутренней сети, автоматизация действий внутреннего нарушителя: проверки безопасности служб AD, анализ конфигураций ACL, атаки на сетевые протоколы, проверка стойкости паролей.

Заключение

ScanFactory – мощное и гибкое решение для анализа защищенности внешнего периметра и внутренней инфраструктуры. Так как отдельные инструменты часто ограничены в функционале, идея ScanFactory в том, чтобы объединить их возможности в «одном окне». Поэтому ScanFactory сочетает в себе ведущие коммерческие и open-source инструменты, облачную и локальную архитектуру, инфраструктурные и веб-сканеры, поиск уязвимостей и обнаружение утечек.

Благодаря своей масштабируемости платформа может быстро сканировать обширную и сложную инфраструктуру. При этом ScanFactory подойдет и небольшой организации, ведь затраты на сервис будут меньше стоимости ПО-сканеров.

Инструменты платформы обеспечивают не только обнаружение потенциальных рисков, но и их верификацию, минимизируя количество ложных срабатываний. Это делает ScanFactory важным компонентом комплексной системы кибербезопасности, позволяя организациям повышать уровень защищённости и соответствовать отраслевым стандартам и нормативным требованиям.

Реклама. ООО «СКАНФЭКТОРИ», ИНН: 7727458406, Erid: 2SDnjdbA2XE.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: