Обзор сканера

Сканер занимается следующими задачами:

Сбор сетевого периметра

Сетевой периметр — это публичные ресурсы компании (домены и IP-адреса), подключенные к общедоступным сетям. Он определяет область сканирования на типичные уязвимости и является краеугольным камнем выстраивания процесса обеспечения безопасности.

При развитии проекта количество ресурсов, выводимых на периметр, неуклонно растет, а контроль за ними неизбежно снижается.

Сами ресурсы могут быть размещены не только в дата-цетрах компании, но и на совместных хостингах, например, как часто делают маркетологи при запуске лендингов и акций. Такие ресурсы помещаются на поддомены основного проекта и могут скомпрометировать безопасность проекта.

Злоумышленники всегда выбирают на сетевом периметре компании самые слабо защищенные ресурсы и стараются в первую очередь скомпрометировать их.

В Валарм реализованы все приемы по сбору периметра, используемые аудиторами в ходе проведения консультационных работ (пентестов).

Сбор периметра не заканчивается на составлении карты IP-адресов и доменов, но определяет и сетевые сервисы, доступные в сети Интернет. Для этого выполняется сначала сканирование портов, а затем определение самих сетевых сервисов, доступных на этих портах.

В непрерывном процессе сбора и актуализации данных периметра используются различные методы:

  • В автоматическом режиме:

    • передача зоны AXFR от DNS-серверов;
    • получение NS- и MX-записей;
    • получение информации из SPF-записи;
    • перебор поддоменов по словарям;
    • парсинг данных из SSL-сертификатов.
  • Внесение данных вручную с помощью веб-интерфейса или API Валарм.

В результате получается карта сетевых сервисов компании, по качеству не уступающая тем, что предоставляются аудиторами при проведении пентестов.

Поиск типовых уязвимостей и проблем безопасности

Сканер ищет и добавляет новые элементы в сетевой периметр, а затем проверяет все IP-адреса и домены в периметре на наличие типовых уязвимостей.

Активная проверка атак

Сканер будет автоматически воспроизводить каждую атаку из трафика. Этот механизм позволяет обнаружить уязвимости, которые могли бы быть проэксплуатированы в ходе атаки.

В целях безопасности при воспрозведении атак из запросов удаляются аутентификационные данные (cookies, basic-auth, viewstate). Для корректной работы этой функциональности может потребоваться дополнительная настройка со стороны приложения.

Актуализация состояния найденных ранее уязвимостей

Сканер регулярно проверяет состояние уязвимостей и автоматически помечает их исправленными или, наоборот, переоткрывает вновь воспроизводящиеся:

  • Актуальные уязвимости и уязвимости, исправленные менее месяца назад, проверяются раз в день.
  • Уязвимости, исправленные более месяца назад, проверяются раз в неделю.
  • Уязвимости, помеченные как ложные, не проверяются.

results matching ""

    No results matching ""