Документация HScan

Документация

Доверьтесь профессионалам, запишитесь на бесплатный пилот.

Протестировать

О Hscan

HScan – это платформа управления уязвимостями программного обеспечения активов и поверхностями атак. Основной целью которого является выявление хостов, программного обеспечения, расположенного на них, поиск уязвимостей и опасных настроек, которые могут являться источником раскрытия конфиденциальной информации и тем самым осуществлять непрерывный контроль уязвимостями всех хостов внешнего и внутреннего периметров.

Виды поставки

Поставка HScan производится в формате On-Premise. Тип поставки предопределяется вами на этапе обсуждения приобретения доступа к продукту.

Тип поставки On-Premise:

On-Premise (или "локальное") решение предполагает, что все программное и аппаратное обеспечение устанавливается и эксплуатируется внутри физических пределов организации. Это означает, что данные и инфраструктура находятся на серверах, прямо контролируемых компанией, а не у третьих лиц или в облаке.

В данной вариации, в комплекте поставки вам предоставляются:

Дистрибутив HScan пот необходимую из поддерживаемых OS
Лицензионный ключ активации

Поддерживаемые операционные системы

Системные требования

Требования к сети

Для корректной работы HScan в сетевом периметре необходим:

Доступ в интернет
443 tcp для получения обновлений и подключения к системам лицензирования для адресов *.hscan.io
IP адреса сканируемых хостов должны быть доступны для хоста hscan.

Для корректной работы сетевого сканера необходимо настроить компоненты сетевой инфраструктуры, включая межсетевой экран (Firewall, WF), следующее поколение межсетевого экрана (Next-Generation Firewall, NGFW) и веб-приложение межсетевого экрана (Web Application Firewall, WAF). Ниже приведены рекомендации по настройке каждого из этих компонентов:

Межсетевой экран (WF):

Доступ к портам: убедитесь, что сетевой сканер имеет доступ к необходимым портам на целевых устройствах. Настройте правила межсетевого экрана для разрешения трафика на эти порты.
Протоколы: разрешите необходимые протоколы, такие как ICMP для обнаружения устройств, TCP и UDP для сканирования портов.
Логирование и Мониторинг: Настройте логирование и мониторинг трафика для отслеживания активности сканера и выявления возможных аномалий.

Следующее поколение межсетевого экрана (NGFW):

Глубокий пакетный Анализ (DPI): NGFW часто используют глубокий пакетный анализ. Убедитесь, что настройки DPI не блокируют или не ограничивают сканер.
Политика Безопасности: Настройте политики безопасности NGFW для разрешения активности сканера, особенно если сканер использует агрессивные или необычные методы сканирования.
Интеграция с Системами Обнаружения/Предотвращения Вторжений (IDS/IPS): Проверьте, что IDS/IPS не мешают работе сканера, настроив соответствующие исключения или правила.

Веб-приложение межсетевого экрана (WAF):

Белые списки: Добавьте IP-адреса сетевого сканера в белые списки WAF, чтобы предотвратить его блокировку при сканировании веб-приложений.
Правила фильтрации: Настройте правила фильтрации WAF таким образом, чтобы они не препятствовали сканированию уязвимостей веб-приложений.
Кастомизация правил: В случае специализированных сканеров уязвимостей веб-приложений, настройте WAF для распознавания и разрешения такого трафика.

Установка

Данное руководство описывает процедуры внедрения продукта HScan в On-premises среде. Продукт предназначен для выполнения сетевого сканирования и требует настройки и активации лицензии перед использованием.

Внедрение в On-Premises:

Внимание! Для корректной устновки продукта необходимы включенные AVX инструкции.
Установка ОС: для On-premises развертывания необходимо установить операционную систему Ubuntu 22.04. Убедитесь, что система соответствует всем требованиям продукта HScan.
Установка продукта: после установки ОС выполните следующую команду от имени пользователя root для установки продукта HScan.
Примечание: конкретная команда установки будет предоставлена в письме.
Активация лицензии: активируйте лицензию, используя ключ, предоставленный в письме, следуя инструкциям.

После успешной установки и активации лицензии HScan готов к использованию. Обратите внимание на документацию продукта и руководства пользователя для оптимизации работы сетевого сканера.

Активы

Раздел "Активы" представляет собой ключевую часть системы управления безопасностью, предназначенную для централизованного контроля и анализа состояния активов в инфраструктуре организации. Активы могут включать в себя серверы, рабочие станции, сетевое оборудование и любые другие устройства, подключенные к сети, которые могут быть подвержены уязвимостям. Целью управления активами является обеспечение их безопасности и минимизация рисков через идентификацию, классификацию, мониторинг и анализ угроз.

Основные функции:

Управление группами: Позволяет организовывать активы в группы и подгруппы для упрощения управления и мониторинга. Это облегчает проведение массовых операций и анализ состояния групп активов.
Управление активами: Включает функции просмотра, редактирования и удаления активов, а также оценку их уязвимостей. Предоставляет возможность детального анализа каждого актива для выявления потенциальных угроз и уязвимостей.
Краткая сводка и карточка актива: Предоставляют подробную информацию об активах, включая данные о последнем обновлении, уровне уязвимостей, состоянии хоста, открытых портах и обнаруженном программном обеспечении. Это обеспечивает глубокое понимание текущего состояния безопасности активов.

Эффективное управление активами является фундаментальной задачей для обеспечения безопасности информационной среды организации. Понимание текущего состояния активов, их уязвимостей и потенциальных угроз позволяет своевременно реагировать на инциденты безопасности, проводить аудиты и планировать улучшения безопасности. Раздел "Активы" обеспечивает инструменты для мониторинга, анализа и управления активами, что является ключевым аспектом стратегии кибербезопасности любой организации.

Управление группами

Управление группами активов является ключевой частью обеспечения информационной безопасности и эффективного управления IT-инфраструктурой. Этот процесс позволяет группировать активы по различным критериям, упрощая их мониторинг, управление и анализ. Группировка активов может быть выполнена по функциональности, местоположению, ответственным лицам или любым другим параметрам, соответствующим нуждам организации.

Процесс добавления группы:

Инициация добавления: Процесс начинается с нажатия на кнопку "+" (добавить), обычно расположенную в интерфейсе управления группами.
Инициация добавления: Процесс начинается с нажатия на кнопку "+" (добавить), обычно расположенную в интерфейсе управления группами.
Форма добавления группы: После нажатия на кнопку "+" отображается всплывающее окно или форма с полями для заполнения, включая:
Название: Уникальное наименование группы, которое должно отражать её суть или принадлежность.
Без группы/Группы: Опция выбора, позволяющая указать, является ли добавляемая группа самостоятельной или будет подгруппой уже существующей группы. Это позволяет создавать иерархическую структуру групп для более детализированного управления.

Функциональные возможности:

Добавление активов в группы: После создания группы пользователи могут добавлять в неё активы. Это упрощает управление активами, позволяя применять политики безопасности, проводить аудит и мониторинг на групповом уровне.
Редактирование групп: Группы могут быть отредактированы для изменения их названия, структуры или состава активов. Это обеспечивает гибкость и актуальность структуры управления активами.
Удаление групп: Группы могут быть удалены, когда они больше не нужны или при изменении структуры IT-инфраструктуры. При удалении группы, активы, входящие в группу, не удаляются, но теряют свою групповую принадлежность и могут быть перераспределены.

Управление активами

Раздел "Управление активами" включает в себя функции просмотра, редактирования и удаления активов. Активы представлены в виде таблицы с детальной информацией и графическим отображением уровня уязвимостей.

Содержание раздела управления активами:

Список активов - центральный элемент управления, представляющий собой таблицу с перечнем всех зарегистрированных в системе активов. Каждый актив в списке сопровождается детальной информацией, включая:

Угроза: показатель риска, связанного с активом, основанный на обнаруженных уязвимостях.
CVSS (Common Vulnerability Scoring System): стандартизированный показатель для описания серьезности уязвимостей актива.
FQDN (Fully Qualified Domain Name): полное доменное имя актива.
IP: интернет-протокол адрес актива.
OS (Operating System): операционная система, на которой работает актив.
Последнее обновление: дата последнего обновления информации об активе.
Графическая шкала уровня уязвимостей: визуальное представление уровня угроз, ассоциированных с активом.

Действие с активами:

Карточка актива: подробное описание актива, включая все сетевые, программные и уязвимости, а также историю изменений.
Редактирование актива: возможность изменения информации об активе, такой как его название, принадлежность к группам, IP-адрес и прочее.
Удаление актива: удаление актива из списка, если он больше не используется или ошибочно был добавлен в систему.

Процесс управления активами:

Добавление и идентификация активов: определение и регистрация всех активов в системе с использованием их уникальных идентификаторов (IP, FQDN, OS).
Оценка уязвимостей: регулярное сканирование активов на предмет уязвимостей с использованием автоматизированных инструментов и баз знаний уязвимостей.
Управление угрозами: анализ рисков, ассоциированных с уязвимостями, и разработка стратегий их снижения или устранения.
Мониторинг и обновление: постоянный мониторинг состояния активов и оперативное обновление их статусов и характеристик в системе.

Краткая сводка

Краткая сводка актива представляет собой компактный обзор ключевой информации о конкретном активе в системе управления безопасностью. Этот раздел предназначен для быстрого предоставления важнейших данных об активе, включая его текущее состояние, уязвимости и сетевые характеристики. Краткая сводка обычно доступна через панель управления и предоставляет централизованную информацию, необходимую для начальной оценки состояния актива и планирования дальнейших действий.

Основная информация:

FQDN (Полное доменное имя): уникальное доменное имя актива, используемое для идентификации в сети.
IP адрес: сетевой адрес актива, указывающий на его местоположение в сетевой инфраструктуре.
Графическая шкала уровня уязвимостей: визуальное представление уровня угроз и уязвимостей, связанных с активом, что позволяет оценить его безопасность на первый взгляд.

Состояние актива:

Состояние хоста: информация о текущем состоянии актива, например, включен или выключен, доступен или недоступен.
Количество программ: общее количество установленных программ и служб на активе, что может быть индикатором его функциональности или потенциальных векторов атак.

Сетевые характеристики:

Перечень TCP портов: список активных TCP портов, через которые актив может принимать входящие соединения или предоставлять определенные сервисы.
Перечень UDP портов: список активных UDP портов, используемых для различных сетевых служб и приложений.

Дополнительная информация:

Программное обеспечение: краткий список наиболее значимого или уязвимого программного обеспечения, установленного на активе.
Выявленные уязвимости: перечень критичных уязвимостей, обнаруженных во время последнего сканирования, с указанием их уровня риска и возможных способов устранения.

Действия:

Кнопка запуска задачи сканирования: позволяет немедленно инициировать процедуру сканирования актива для обновления информации о его состоянии и обнаружения новых уязвимостей.

Карточка актива

Карточка актива содержит полную информацию, необходимую для понимания состояния актива, его уязвимостей, конфигурации и других связанных данных. Карточка актива предназначена для глубокого анализа и является важным инструментом для специалистов по безопасности.

Общая информация:

FQDN (Полное доменное имя): уникальное имя актива в сети, обеспечивающее его идентификацию.
IP адрес: сетевой адрес актива, позволяющий определить его физическое или виртуальное расположение в сети.
Операционная система (OS): информация о типе и версии ОС, установленной на активе.
Последнее обновление: дата и время последней регистрации изменений или проверки состояния актива.
Угроза и CVS (Уровень критичности): оценка потенциальной угрозы и критичности уязвимостей, обнаруженных на активе.

Уязвимости и угрозы:

Графическая шкала уровня уязвимостей: визуализация степени уязвимости актива, основанная на обнаруженных уязвимостях.
Список уязвимостей: детализированный перечень всех обнаруженных уязвимостей с описанием, уровнем критичности и рекомендациями по устранению.

Сетевая конфигурация:

Перечень TCP/UDP портов: список открытых сетевых портов и служб, ассоциированных с каждым портом.
Программное обеспечение: перечень установленного программного обеспечения, включая версии и потенциальные уязвимости.

Действия:

Кнопка запуска задачи сканирования: инициирование процесса сканирования актива для обновления данных о его состоянии и уязвимостях.
Редактирование актива: возможность изменения информации об активе, включая его конфигурацию и принадлежность к группам.
Удаление актива: удаление актива из системы управления, доступно при необходимости исключения актива из мониторинга.

Управление уязвимостями

Раздел уязвимостей в системе управления безопасностью обычно предназначен для централизованного отображения и управления уязвимостями, обнаруженными в IT-инфраструктуре организации. Это включает в себя компьютеры, серверы, сетевые устройства, приложения и другие компоненты, которые могут быть подвержены различным угрозам безопасности. Основная цель этого раздела — дать полное представление о текущем уровне уязвимости системы и предоставить инструменты для их своевременного обнаружения и устранения. Вот основные элементы, которые обычно содержатся в разделе уязвимостей:

Инвентаризация уязвимостей: список всех известных уязвимостей, классифицированных по различным критериям (например, по серьезности, типу, компоненту системы).
Анализ угроз: оценка потенциального воздействия каждой уязвимости на организацию, включая возможные пути эксплуатации и последствия нарушения безопасности.
Управление рисками: определение приоритетов рисков, связанных с уязвимостями, и разработка плана действий для снижения этих рисков.
Отслеживание и исправление: мониторинг статуса уязвимостей и прогресса в их устранении, включая патч-менеджмент и ремедиацию.
Интеграция данных: сбор и синтез информации об уязвимостях из различных источников, таких как сканеры уязвимостей, инструменты управления патчами и системы предотвращения вторжений.
Отчетность и документирование: генерация отчетов для аудита и соответствия стандартам безопасности, а также для информирования руководства об уровне защищенности и принимаемых мерах.

Фильтрация уязвимостей

Фильтрация уязвимостей — это процесс сегментации и организации списка уязвимостей на основе определенных критериев, чтобы упростить управление ими. Функции фильтрации позволяют пользователям сосредоточиться на уязвимостях, которые наиболее критичны для их организации, и эффективно распределять ресурсы для их устранения. Вот какие фильтры часто предлагаются в системах управления уязвимостями:

По уровню серьезности: фильтрация уязвимостей по уровню угрозы или серьезности, как правило, основывается на оценках CVSS. Пользователи могут сфокусироваться на уязвимостях с высокими и критическими оценками.
По дате обнаружения: выделение уязвимостей, обнаруженных в определенный временной интервал, помогает отслеживать недавние угрозы и срочно реагировать на них.
По статусу: отбор уязвимостей, которые были уже исправлены, находятся в процессе исправления, или еще не обработаны. Это позволяет координировать усилия по ремедиации.
По типу уязвимости: фильтрация может проводиться по определенным типам уязвимостей, таких как SQL-инъекции, кросс-сайтовое скриптинг, утечки данных и т.д.
По компонентам системы: фильтры могут применяться для выделения уязвимостей в определенных компонентах, таких как сетевые устройства, серверы, рабочие станции, приложения.
По IP-адресу или диапазону IP: особенно полезно в больших сетях для выявления уязвимостей на конкретных устройствах или в определенных сегментах сети.
По вендору или ПО: позволяет отслеживать уязвимости, специфичные для определенного производителя или программного обеспечения.

Фильтрация уязвимостей значительно облегчает процесс управления уязвимостями, позволяя сортировать и анализировать большие объемы данных, сфокусироваться на наиболее важных угрозах и оптимизировать процессы ремедиации.

Список уязвимостей

Это основная таблица, которая отображает детализированный список уязвимостей, обнаруженных в системе или сети. Для каждой уязвимости обычно указывается:

Название уязвимости: краткое описание или название уязвимости, часто сопровождается идентификатором, таким как CVE (Common Vulnerabilities and Exposures).
Уровень угрозы: оценка серьезности уязвимости, которая может быть выражена через CVSS score (Common Vulnerability Scoring System), где высокий балл указывает на большую серьезность угрозы.
Дата обнаружения: когда уязвимость была впервые обнаружена или зарегистрирована системой.
Статус: показывает, была ли уязвимость исправлена или остается нерешенной.
IP-адрес: сетевой адрес устройства или системы, где обнаружена уязвимость.

Детали уязвимостей

При выборе конкретной уязвимости в списке предоставляется более глубокая информация, включая:

Подробное описание: полное описание уязвимости, объясняющее, как она может быть использована и какие потенциальные риски она представляет.
Проверенные уязвимости: список связанных уязвимостей или версий ПО, которые подвержены этой уязвимости.
Воздействие: описание потенциального ущерба, который может быть нанесен, если уязвимость будет эксплуатироваться злоумышленниками.
Диапазон уязвимых версий: указывает на версии программного обеспечения или операционных систем, которые подвержены уязвимости.
Проверяемый файл или параметр: указание на конкретный файл или системный параметр, который был проверен на предмет уязвимости.
Версия файла: версия проверенного файла, которая может указывать на уязвимую версию.

Решение

Секция с рекомендациями или шагами, которые нужно предпринять для устранения уязвимости. Может включать:

Информация от производителя: ссылки на официальные обновления или патчи от разработчика ПО.
Список CVE: перечень идентификаторов CVE, связанных с уязвимостью, что позволяет пользователю быстро получить информацию о каждой из них.

Управление сканированием

Модуль сканирования является одной из основных функций HScan. Отвечает за поиск хостов, сканирование и взаимодействие с хостами внешнего и внутреннего сетевого периметра.

Модуль сканирования использует для работы две основных системы поставщиков данных:

Пользовательские списки – в данном разделе перечислены списки портов TCP, которые сканер будет использовать в своей работе
Учетные данные – в данной системе хранятся в зашифрованном виде учетные данные, которые сканер использует в работе для авторизации на проверяемых системах.

Основной функционал модуля сканирования:

Обнаружение активов: cканирование сети для выявления активных устройств и хостов.
Обнаружение сервисов: определение запущенных сетевых служб и приложений.
Обнаружение SMB ресурсов: выявление и анализ ресурсов, доступных через протокол SMB (Server Message Block).
Обнаружение WEB ресурсов: идентификация веб-серверов, веб-приложений и других онлайн-ресурсов.
Обнаружение открытых портов: выявление открытых сетевых портов на целевых устройствах.
Обнаружение приложений: распознавание конкретных приложений, запущенных на удаленных устройствах.
Сканирование уязвимостей: поиск известных уязвимостей в обнаруженных сервисах и приложениях.
Оценка уязвимости: анализ результатов сканирования для определения степени серьезности уязвимостей.
Управление поверхностью атаки: определение потенциальных точек входа для атак и эксплуатации уязвимостей.
Безопасность: реализация мер безопасности для минимизации рисков при сканировании и анализе уязвимостей.
Отслеживание уязвимостями активов: система мониторинга и отслеживания изменений в статусе уязвимостей и активов.
Отчеты об уязвимостях: генерация детальных отчетов о найденных уязвимостях и рекомендациях по их устранению.
Устранение уязвимостей: средств для устранения выявленных уязвимостей.
Приоритизация уязвимостей: оценка и ранжирование уязвимостей по степени их критичности.
Проверка уязвимостей: периодическая проверка и обновление результатов сканирования для новых уязвимостей.
Устранение уязвимостей для соответствия PCI DSS, NIST, HIPAA, ISO, NERC, FISMA, NIS: реализация мер для соответствия стандартам безопасности в зависимости от требований конкретных регуляторов или организаций.
Аудит безопасности: проведение всестороннего аудита безопасности для выявления потенциальных угроз.
Тестирование безопасности IoT, OT и SCADA: специфические тестирование безопасности для систем интернета вещей (IoT), оперативных технологий (OT) и систем управления производственными процессами (SCADA).

Сценарии сканирований

В комплект поставки входят 7 сценариев сканирования, которые отвечают за основной функционал проведения сканирования, поставку, обогащение и консолидирование данных.

Доступные сценарии сканирования

Сценарии применения:

Создание задачи сканирования

Процедура создания задачи сканирования включает в себя настройку параметров задачи, определение целей сканирования, конфигурацию учетных данных для доступа к сканируемым устройствам, распределение активов и планирование сканирования.

Параметры добавления задачи:

Название
Комментарий
Цель: добавить цель, добавление исключения, порты сканирования, метод обнаружения хостов, скорость сканирования
Учетные данные: SSH авторизация, SMB/WMI авторизация
Распределение активов
Планирование: сканирование по расписанию, повторное сканирование

Метод обнаружения хостов

Проверки доступности хостов осуществляется 9 сценариями, которые входят в комплект поставки:

Проверка через ICMP запрос;Данный метод используется для определения активности устройств в сети. ICMP (Internet Control Message Protocol) запросы, такие как эхо-запросы, отправляются на различные IP-адреса. Если устройство активно, оно отвечает эхо-ответом, что позволяет определить его наличие в сети. Проверка через ARP запрос;ARP (Address Resolution Protocol) запросы используются для определения MAC-адресов устройств в локальной сети. Этот метод позволяет идентифицировать устройства в сети, даже если они настроены на игнорирование ICMP запросов. Проверка через ARP, ICMP запросы, а также TCP-ACK проверка портов;Это комплексный подход, сочетающий ARP и ICMP для идентификации устройств в сети и TCP-ACK для сканирования портов. TCP-ACK запросы отправляются на различные порты, и по реакции на эти запросы можно судить о состоянии портов (открытые, закрытые, отфильтрованные). Проверка через ICMP запрос и TCP-ACK проверка портов;Этот метод сочетает использование ICMP для определения активных устройств и TCP-ACK для анализа состояния сетевых портов. Это позволяет получить представление о доступных устройствах и открытых портах. Считать доступным;В этом подходе акцент делается на проверке состояния портов с помощью TCP-ACK запросов. Если порт отвечает на такой запрос, он считается доступным. TCP-ACK проверка портов;Это метод сканирования портов, при котором используются TCP-SYN пакеты. Отправка SYN пакетов на различные порты позволяет определить, какие из них открыты, закрыты или отфильтрованы. TCP-SYN проверка портов;Это метод сканирования портов, при котором используются TCP-SYN пакеты. Отправка SYN пакетов на различные порты позволяет определить, какие из них открыты, закрыты или отфильтрованы. Проверка через ARP, ICMP запросы;Комбинация ARP и ICMP запросов используется для определения активных устройств в локальной сети. Этот подход эффективен для обнаружения устройств, скрытых от одного из методов. Проверка через ARP запрос и TCP-ACK проверка портов;Этот метод объединяет ARP запросы для идентификации устройств в локальной сети и TCP-ACK для анализа портов. Такой подход позволяет получить детальную картину используемых портов на обнаруженных устройствах.

Проверка через ICMP запрос:

Сценарий применения: эффективна для быстрого обнаружения активных устройств в сети.
Условия применения: наиболее подходит для внутренних сетей, где ICMP фильтрация не применяется. Также полезна для мониторинга сетевой доступности.

Проверка через ARP запрос:

Сценарий применения: используется для идентификации устройств в локальной сети (LAN).
Условия применения: Эффективна в средах, где ICMP запросы могут быть заблокированы или игнорированы, так как ARP необходим для функционирования сети.

Проверка через ARP, ICMP запросы, а также TCP-ACK проверка портов:

Сценарий применения: для комплексного анализа сети, включая обнаружение устройств и состояние портов.
Условия применения: подходит для обширных сетевых аудитов, где необходимо получить максимально полную картину.

Проверка через ICMP запрос и TCP-ACK проверка портов:

Сценарий применения: когда нужна информация о доступных устройствах и открытых портах.
Условия применения: подходит для сред, где ICMP не блокируется, и требуется оценка состояния портов.

TCP-ACK проверка портов:

Сценарий применения: для оценки состояния портов, особенно в средах, где TCP-SYN сканирование может быть заблокировано.
Условия применения: используется в высокозащищенных сетях для определения правил фильтрации пакетов.

TCP-SYN проверка портов:

Сценарий применения: для более скрытного сканирования портов, так как не завершает соединение TCP.
Условия применения: эффективно в средах, где необходимо минимизировать возможность обнаружения сканирования.

Проверка через ARP, ICMP запросы:

Сценарий применения: для получения общего представления о активных устройствах в локальной сети.
Условия применения: подходит для сетевых сред, где важно идентифицировать все устройства, включая те, что скрыты от ICMP.

Проверка через ARP запрос и TCP-ACK проверка портов:

Сценарий применения: когда требуется углубленный анализ сетевых устройств и портов.
Условия применения: идеально подходит для детализированных аудитов локальных сетей с высоким уровнем безопасности.

Скорость сканирований

Ограничение сетевой нагрузки сканера, осуществляется путем ограничения мощности в %:

Сканирование хостов (в потоке) – количество одновременных задач сканирования хостов из заданного диапазона.
Поиск хостов – количество одновременный задач по поиску хостов из заданного диапазона.

Учетные данные

В данном разделе представлены настройки авторизации сканера на целевых активах для дальнейшего внутреннего сканирования, получение системах сведениях необходимых для заполнения данных об активах и поиска уязвимостей.

Задача сканирования может проводиться в 2-х вариантах:

Сканирование с авторизацией:

Описание: сканер подключается к активу, указанному как целевой, и проводит внутреннее сканирование.
Цель: детальный анализ безопасности целевого актива с использованием учетных данных для доступа к более глубоким и конфиденциальным данным.

Сканирование без авторизацией:

Описание: сканер не использует учетные данные для доступа к целевому активу, выполняя внешнее или поверхностное сканирование.
Цель: оценка видимости актива и его уязвимостей без аутентификации.

Подробную информацию о учетных записях вы можете ознакомиться в разделе «Учётные данные».

Примечание: из лучших практик мы рекомендуем проведение проведение трехэтапного сканирования:

Этап 1: Сканирование без учетных данных

Цель: идентификация общедоступной информации об активах.
Применение: позволяет выявить информацию, доступную без аутентификации, и оценить риски, связанные с внешней видимостью активов.

Этап 2: Сканирование с учетными данными пользовательского уровня

Цель: обнаружение уязвимостей внутри хоста и анализ "опасных настроек".
Применение: предоставляет информацию о потенциальных уязвимостях и настройках, доступных обычному пользователю, что способствует пониманию уровня внутренней безопасности.

Этап 3: Сканирование с учетными данными административного уровня

Цель: комплексное выявление всех уязвимостей на хосте.
Применение: обеспечивает наиболее глубокий анализ безопасности, выявляя уязвимости, доступные только с административными привилегиями.

Настройка процесса сканирования и выбор метода — с авторизацией или без — играют ключевую роль в обеспечении эффективного управления уязвимостями и безопасности целевых активов. Трехэтапный подход обеспечивает комплексный анализ и помогает в создании полной картины уровня безопасности информационных систем.

Распределение активов

В данном разделе представлен выбор дирректории логического размещения выявленных активов при выполнении задачи. Для добавления группы разпределения вам необходимо выполнить следующие действия:

Предварительно создать дирректорию в разделе "Активы"
Добавить из выпадающего списка дирректорию, в которую необходимо добавить активы.

Выбрать метод разпределения активов IP или FQDN

В данном разделе представлены настройки планировщика для сканера уязвимостей:

Планирование:

Включить сканирование по расписанию: Эта опция позволяет активировать или деактивировать автоматическое сканирование по заданному расписанию.

Дата и время отсчета:

ДД.ММ.ГГГГ: пользователь может задать конкретную дату и время для начала выполнения задачи сканирования.

Повторные сканирования:

Выберите тип интервала: пользователь может выбрать тип интервала для повторных сканирований. Доступные опции могут включать интервалы по часам, дням.
Интервал в днях: тип интервала "по дням". Минимальное значение 1 день, максимальное 365 дней.
Интервал в часах: тип интервала по количеству часов . По умолчанию установленно значение "6". Минимальное значение 1 час, максимальное 24 часа.

Эти настройки предназначены для автоматизации процесса сканирования уязвимостей, позволяя пользователю задать начальные параметры и частоту для регулярной проверки системы на предмет уязвимостей.

Отчёты

Раздел "Отчеты" предназначен для создания документированного вывода данных системы безопасности. Пользователи могут генерировать различные типы отчетов, основанные на анализе активов и уязвимостей, а также на программном обеспечении.

Типы отчетов:

Активы: список активов и их уровней CVE.
Уязвимости: детали об уязвимостях, машинах, на которых они были обнаружены, и предлагаемых решениях.
Программное обеспечение: Сортированные данные по активам с указанием установленного на них программного обеспечения.

Форматы отчетов

Отчеты могут быть скачаны в различных форматах, что обеспечивает гибкость и удобство для разных задач и предпочтений пользователей:

PDF: удобный для печати и представления в визуально статичном формате.
CSV: подходит для анализа данных и манипуляций в таблицах, например, в Microsoft Excel или других программах для работы с электронными таблицами.
HTML: может быть использован для просмотра отчетов непосредственно в веб-браузере.
JSON: предоставляет данные в формате, удобном для интеграции с другими системами и веб-сервисами.

Отчет о активах — это документ, который предоставляет детализированную информацию обо всех активах в системе безопасности организации. Он включает в себя перечень всех ресурсов, которые могут быть подвержены риску уязвимостей.

Подробное описание разделов, которые могут быть включены в отчет о активах:

CVE (Common Vulnerabilities and Exposures):

Описание: идентификатор известной уязвимости в системе, обычно представленный в виде стандартизированного обозначения, например, CVE-2021-34527.
Цель: определение и отслеживание конкретных уязвимостей в информационных активах для их последующего устранения или смягчения угрозы.

IP (Internet Protocol Address):

Описание: IP-адрес устройства, на котором была обнаружена уязвимость или которое управляется в рамках отчета о активах.
Цель: точная идентификация устройства в сетевой инфраструктуре.

FQDN (Fully Qualified Domain Name):

Описание: полное доменное имя устройства, которое может включать имя хоста и домен верхнего уровня.
Цель: облегчение идентификации и доступа к устройствам по их доменным именам, особенно когда используются дружелюбные к пользователю названия вместо числовых IP-адресов.

OS (Operating System):

Описание: операционная система, установленная на активе. Это может быть указание на версию и редакцию, например, Windows Server 2019 или Ubuntu 20.04.
Цель: понимание потенциальных уязвимостей и рисков, связанных с определенными операционными системами, и планирование обновлений или патчей.

Группа:

Описание: классификация или группировка активов по определенным критериям, например, по отделу, функции или местоположению в организации.
Цель: упрощение управления активами и их уязвимостями путем их сегментации на группы, что позволяет приоритизировать действия и ресурсы для устранения уязвимостей.

Отчет о уязвимостях

Отчет о уязвимостях, содержит информацию, необходимую для идентификации и управления уязвимостями в информационной системе. Давайте подробно рассмотрим каждое поле:

IP:

Описание: IP-адрес устройства, на котором обнаружена уязвимость.
Цель: идентификация конкретного устройства в сети для целей аудита и ремедиации.

FQDN (Полное Доменное Имя):

Описание: полное доменное имя устройства, упрощающее его идентификацию в сети.
Цель: предоставление читаемого имени для связи с IP-адресом, что облегчает понимание контекста.

Низких / Средних / Высоких / Критических:

Описание: количество уязвимостей каждого уровня серьезности, обнаруженных на устройстве.
Цель: приоритезация усилий по устранению в зависимости от серьезности уязвимостей.

Ссылка и список уязвимостей:

Описание: Детальное описание каждой уязвимости с возможной ссылкой на дополнительные ресурсы.
Цель: Обеспечение доступа к полной информации о каждой уязвимости для дальнейшего анализа и ремедиации.

Отчет о ПО

Отчет о программном обеспечении (ПО) с такими полями предоставляет сведения не только о самом программном обеспечении, но и о связанных с ним рисках и активах. Вот более детальное описание каждого поля:

Вендор (Поставщик):

Описание: название компании-разработчика или поставщика программного обеспечения.
Цель: идентификация ответственного за поддержку и обновления программного продукта.

Название:

Описание: официальное название программного продукта.
Цель: чёткая идентификация ПО для учета, поддержки и управления лицензиями.

Версия:

Описание: номер текущей версии установленного программного обеспечения.
Цель: отслеживание актуальности ПО и необходимости обновления.

Уровень угрозы:

Описание: оценка потенциального риска, который представляет собой ПО, основываясь на текущих уязвимостях и эксплуатационной среде.
Цель: определение приоритетов в плане усиления безопасности и необходимости вмешательства.

Уязвимостей:

Описание: количество известных уязвимостей в ПО, которые могут быть использованы для атак.
Цель: осведомленность о текущем состоянии безопасности ПО и необходимость в проведении ремедиации.

Активы:

Описание: список активов, на которых установлено данное ПО, включая серверы, рабочие станции, мобильные устройства и т.д.
Цель: понимание воздействия на инфраструктуру и оценка масштабов потенциального ущерба при реализации угрозы.
Данный отчет помогает IT-отделу и специалистам по безопасности сформировать представление о текущем состоянии программного обеспечения в организации и разработать планы по повышению безопасности и управлению активами. Он также может быть использован в качестве документа для аудиторских проверок и соответствия стандартам информационной безопасности.

Пользовательские списки

Пользовательские списки, это раздел, который содержит информацию о используемых TCP и UDP портах, которые сканер опрашивает в процессе работы.

Стандартно в комплекте поставки предоставляются 12 списков портов которые вы можете использовать.

Помимо предустановленных списков, вы так же можете создавать и использовать собственные.

Предупреждение: если вы используете большое кол-во портов при сканировании, особенно UDP то скорость сканирование может иметь довольно продолжительный характер.

Создание пользовательского списка:

Нажмите в верхней панели управления в раздел «Управление системой»
Перейдите в раздел «Пользовательские списки»
Откройте окно создания пользовательского списка нажав на кнопку «+ ДОБАВИТЬ»
Заполните поля формы
Название
Описание
Добавьте необходимые TCP порты
Добавьте необходимые UDP порты
По завершению создайте пользовательский список нажав на кнопку «добавить пользовательский список»

Обратите внимание: добавление TCP\UDP портов производится путем указания как отдельного порта, диапазона портов через «-», так и с использованием комбинированного ввода из целевых портов и диапазона портов по примеру (22,25,445,5056-1024).

Для добавления портов можно использовать следующие клавиши:

Пробел / Enter – если вы хотите добавить одиночную запись TCP/UDP порта или одиночную запись диапазона портов.
Enter – если вы хотите добавить запись из цепочки указанных портов.
+ (в форме) – доступен при обоих ранее перечисленных вариантах.

Учётные данные

Раздел "Список учетных данных" предназначен для управления учетными данными в системе, организованными по группам. Этот раздел позволяет пользователям просматривать, добавлять, редактировать и удалять учетные данные. Учетные данные могут быть разных типов, включая комбинации логина с паролем или логина с ключом SSH.

Интерфейс списка

Табличный список: отображает учетные данные с информацией, такой как Имя, Комментарий, Логин, Тип, Дата создания, Дата изменения.
Действия: для каждой записи доступны опции редактирования и удаления.

Типы учетных данных:

Логин и пароль (up)
огин и ключ (usk)

Добавление учетных данных

Логин и пароль:

Тип учетных данных: выбор между "Логин и пароль" или "Логин и ключ".
Название: название учетной записи.
Комментарий: поле для ввода комментария к учетным данным.
Группы: выбор группы для учетных данных. Можно выбрать "Без группы" или указать конкретную группу.
Логин: имя пользователя.
Пароль: пароль пользователя.
Повторите пароль: подтверждение пароля.

Логин и ключ:

Тип учетных данных: Выбор между "Логин и пароль" или "Логин и ключ".
Название: Название учетной записи.
Комментарий: Поле для ввода комментария к учетным данным.
Группы: Выбор группы для учетных данных. Можно выбрать "Без группы" или указать конкретную группу.
Логин: Имя пользователя.
Ключ SSH: Поле для ввода SSH ключа.
Пароль к ключу (phrase): Пароль для доступа к ключу.
Пароль к ключу (phrase) повторите: Подтверждение пароля для ключа.

Управление учетными данными:

Возможность редактирования и удаления учетных данных прямо из списка обеспечивает удобное управление.
Для редактирования необходимо выбрать соответствующую иконку или ссылку рядом с нужной записью.
Для удаления записи требуется подтверждение действия, чтобы предотвратить случайную потерю данных.

Примечания:

Важно следить за безопасностью хранения и использования учетных данных, особенно ключей SSH и паролей.
Доступ к этому разделу должен быть строго контролируемым и предоставляться только авторизованным пользователям с соответствующими разрешениями.

Управление пользователями

Раздел "Управление пользователями" предназначен для администрирования учетных записей пользователей в системе. Он позволяет добавлять новых пользователей, редактировать их данные, удалять учетные записи, а также активировать или деактивировать их. Управление осуществляется через веб-интерфейс.

Интерфейс:

Кнопка "+ Добавить": инициирует процесс добавления нового пользователя. При нажатии на кнопку отображается всплывающее окно (pop-up) с формой для ввода данных пользователя.
Форма "Добавить пользователя"
Табличный список пользователей

Форма "Добавить пользователя":

Поля формы для заполнения:

Имя: текстовое поле для ввода имени пользователя.
Электронная почта: поле для ввода электронной почты пользователя. Используется в качестве логина для входа в систему.
Пароль: поле для ввода пароля. Необходимо для аутентификации пользователя.
Роли: выпадающий список для выбора ролей пользователя в системе. Роли определяют уровень доступа пользователя к различным функциям.
Разрешения: список чекбоксов для настройки индивидуальных разрешений пользователя.
Активировать пользователя: чекбокс, который определяет, будет ли учетная запись пользователя активирована сразу после создания.

Управление пользователями в списке:

В табличном списке пользователей представлены все добавленные учетные записи.
Редактирование: позволяет изменить данные пользователя. Для редактирования необходимо нажать на соответствующую иконку или ссылку рядом с пользователем в списке.
Удаление: удаляет пользователя из системы. Необходимо подтверждение действия для предотвращения случайного удаления.
Активация или деактивация пользователя также может быть выполнена из этого списка, обычно через переключатель или специальную кнопку рядом с каждой учетной записью.

Примечания:

Важно учитывать требования к безопасности при создании паролей и управлении разрешениями пользователей.
Доступ к функциям управления пользователями должен быть ограничен и доступен только для администраторов системы или пользователей с соответствующими разрешениями.