Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° уязвимости ΠΈ бСзопасная Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ°. Π§Π°ΡΡ‚ΡŒ 1

Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° уязвимости ΠΈ бСзопасная Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ°. Π§Π°ΡΡ‚ΡŒ 1

Π’ Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΏΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠΉ Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ, пСнтСстСрам, бСзопасникам приходится ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°Ρ‚ΡŒΡΡ с Ρ‚Π°ΠΊΠΈΠΌΠΈ процСссами, ΠΊΠ°ΠΊ Vulnerability Management (VM), (Secure) SDLC.
Под этими словосочСтаниями ΡΠΊΡ€Ρ‹Π²Π°ΡŽΡ‚ΡΡ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ Π½Π°Π±ΠΎΡ€Ρ‹ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… инструмСнтов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠ΅Ρ€Π΅ΠΏΠ»Π΅Ρ‚Π΅Π½Ρ‹ ΠΌΠ΅ΠΆΠ΄Ρƒ собой, хотя ΠΈΡ… ΠΏΠΎΡ‚Ρ€Π΅Π±ΠΈΡ‚Π΅Π»ΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π°ΡŽΡ‚ΡΡ.

ВСхничСский прогрСсс ΠΏΠΎΠΊΠ° Π½Π΅ Π΄ΠΎΡˆΡ‘Π» Π΄ΠΎ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ΄Π½ΠΈΠΌ инструмСнтом Π·Π°ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊΠ° для провСдСния Π°Π½Π°Π»ΠΈΠ·Π° защищённости инфраструктуры ΠΈ ПО.
Π˜Π½Ρ‚Π΅Ρ€Π΅ΡΠ½ΠΎ ΠΏΠΎΠ½ΡΡ‚ΡŒ, ΠΏΠΎΡ‡Π΅ΠΌΡƒ это Ρ‚Π°ΠΊ, ΠΈ с ΠΊΠ°ΠΊΠΈΠΌΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°ΠΌΠΈ приходится ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°Ρ‚ΡŒΡΡ.

ΠŸΡ€ΠΎΡ†Π΅ΡΡΡ‹

ΠŸΡ€ΠΎΡ†Π΅ΡΡ Vulnerability Management (Β«ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ уязвимостями») ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠ³ΠΎ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° защищённости инфраструктуры ΠΈ ΠΏΠ°Ρ‚Ρ‡-ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚Π°.
ΠŸΡ€ΠΎΡ†Π΅ΡΡ Secure SDLC (Β«Ρ†ΠΈΠΊΠ» бСзопасной Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈΒ») ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ защищённости прилоТСния Π² Ρ…ΠΎΠ΄Π΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ эксплуатации.

Π‘Ρ…ΠΎΠΆΠ΅ΠΉ Ρ‡Π°ΡΡ‚ΡŒΡŽ этих процСссов являСтся процСсс Vulnerability Assessment β€” ΠΎΡ†Π΅Π½ΠΊΠΈ Π½Π° уязвимости, сканирования Π½Π° уязвимости.
ОсновноС Ρ€Π°Π·Π»ΠΈΡ‡ΠΈΠ΅ Π² сканировании Π² Ρ€Π°ΠΌΠΊΠ°Ρ… VM ΠΈ SDLC Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ Π² ΠΏΠ΅Ρ€Π²ΠΎΠΌ случаС Ρ†Π΅Π»ΡŒΡŽ являСтся ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ извСстныС уязвимости Π² стороннСм ПО ΠΈΠ»ΠΈ Π² ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ. НапримСр, ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ Windows ΠΈΠ»ΠΈ community-строку ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ для SNMP.
Π’ΠΎ Π²Ρ‚ΠΎΡ€ΠΎΠΌ ΠΆΠ΅ случаС Ρ†Π΅Π»ΡŒΡŽ являСтся ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ уязвимости Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² сторонних ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°Ρ… (зависимостях), Π½ΠΎ Π² ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ Π² ΠΊΠΎΠ΄Π΅ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°.

Π­Ρ‚ΠΎ ΠΏΠΎΡ€ΠΎΠΆΠ΄Π°Π΅Ρ‚ различия Π² инструмСнтах ΠΈ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π°Ρ…. На ΠΌΠΎΠΉ взгляд, Π·Π°Π΄Π°Ρ‡Π° поиска Π½ΠΎΠ²Ρ‹Ρ… уязвимостСй Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΈ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ интСрСснСС, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Π½Π΅ сводится ΠΊ Ρ„ΠΈΠ½Π³Π΅Ρ€ΠΏΡ€ΠΈΠ½Ρ‚ΠΈΠ½Π³Ρƒ вСрсий, сбору Π±Π°Π½Π½Π΅Ρ€ΠΎΠ², ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€Ρƒ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΈ Ρ‚.Π΄.
Для качСствСнного Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ сканирования уязвимостСй ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΡ‹, ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΠ΅ сСмантику прилоТСния, Π΅Π³ΠΎ ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅, спСцифичныС ΡƒΠ³Ρ€ΠΎΠ·Ρ‹.

Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π½Ρ‹ΠΉ ΠΆΠ΅ сканСр Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Ρ‚Π°ΠΉΠΌΠ΅Ρ€ΠΎΠΌ, ΠΊΠ°ΠΊ выразился avleonov. Бмысл Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ чисто статистичСски Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π²Π°ΡˆΡƒ инфраструктуру уязвимой, Ссли Π²Ρ‹ Π΅Ρ‘ Π½Π΅ обновляли, скаТСм, мСсяц.

Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹

Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅, ΠΊΠ°ΠΊ ΠΈ Π°Π½Π°Π»ΠΈΠ· защищённости, ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΊΠ°ΠΊ Ρ‡Ρ‘Ρ€Π½Ρ‹ΠΌ ящиком, Ρ‚Π°ΠΊ ΠΈ Π±Π΅Π»Ρ‹ΠΌ ящиком.

Black Box

ΠŸΡ€ΠΈ blackbox-сканировании инструмСнт Π΄ΠΎΠ»ΠΆΠ΅Π½ ΡƒΠΌΠ΅Ρ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ с сСрвисом Ρ‡Π΅Ρ€Π΅Π· Ρ‚Π΅ ΠΆΠ΅ интСрфСйсы, Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ с Π½ΠΈΠΌ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ.

Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ инфраструктуры (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose ΠΈ Ρ‚.Π΄.) ΠΈΡ‰ΡƒΡ‚ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ сСтСвыС ΠΏΠΎΡ€Ρ‚Ρ‹, ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ Β«Π±Π°Π½Π½Π΅Ρ€Ρ‹Β», ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡŽΡ‚ вСрсии установлСнного ПО ΠΈ ΠΈΡ‰ΡƒΡ‚ Π² своСй Π±Π°Π·Π΅ Π·Π½Π°Π½ΠΈΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± уязвимостях Π² этих вСрсиях. Π’Π°ΠΊΠΆΠ΅ ΠΏΡ‹Ρ‚Π°ΡŽΡ‚ΡΡ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ ошибки ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ ΠΏΠ°Ρ€ΠΎΠ»ΠΈ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΈΠ»ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ доступ ΠΊ Π΄Π°Π½Π½Ρ‹ΠΌ, слабыС ΡˆΠΈΡ„Ρ€Ρ‹ SSL ΠΈ Ρ‚.Π΄.

Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, ΠΈ Ρ‚.Π΄.) Ρ‚ΠΎΠΆΠ΅ ΡƒΠΌΠ΅ΡŽΡ‚ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡ‚ΡŒ извСстныС ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ ΠΈ ΠΈΡ… вСрсии (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, CMS, Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΈ, JS-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ). ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ шаги сканСра β€” это ΠΊΡ€Π°ΡƒΠ»ΠΈΠ½Π³ ΠΈ Ρ„Π°Π·Π·ΠΈΠ½Π³.
Π’ Ρ…ΠΎΠ΄Π΅ ΠΊΡ€Π°ΡƒΠ»ΠΈΠ½Π³Π° сканСр собираСт ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… интСрфСйсах прилоТСния, HTTP-ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°Ρ…. Π’ Ρ…ΠΎΠ΄Π΅ Ρ„Π°Π·Π·ΠΈΠ½Π³Π° Π²ΠΎ всС ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΏΠΎΠ΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ΡΡ ΠΌΡƒΡ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΈΠ»ΠΈ сгСнСрированныС Π΄Π°Π½Π½Ρ‹Π΅ с Ρ†Π΅Π»ΡŒΡŽ ΡΠΏΡ€ΠΎΠ²ΠΎΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΎΡˆΠΈΠ±ΠΊΡƒ ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ.

Π’Π°ΠΊΠΈΠ΅ сканСры ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ относятся ΠΊ классам DAST ΠΈ IAST β€” соотвСтствСнно Dynamic ΠΈ Interactive Application Security Testing.

White Box

ΠŸΡ€ΠΈ whitebox-сканировании Ρ€Π°Π·Π»ΠΈΡ‡ΠΈΠΉ большС.
Π’ Ρ€Π°ΠΌΠΊΠ°Ρ… процСсса VM сканСрам (Vulners, Incsecurity Couch, Vuls, Tenable Nessus ΠΈ Ρ‚.Π΄.) Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ Π΄Π°ΡŽΡ‚ доступ ΠΊ систСмам, проводя Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ скан. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, сканСр ΠΌΠΎΠΆΠ΅Ρ‚ Π²Ρ‹Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ установлСнныС вСрсии ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ прямо ΠΈΠ· систСмы, Π½Π΅ угадывая ΠΈΡ… ΠΏΠΎ Π±Π°Π½Π½Π΅Ρ€Π°ΠΌ сСтСвых сСрвисов.
Π‘ΠΊΠ°Π½ получаСтся Ρ‚ΠΎΡ‡Π½Π΅Π΅ ΠΈ ΠΏΠΎΠ»Π½Π΅Π΅.

Если ΠΆΠ΅ Π³ΠΎΠ²ΠΎΡ€ΠΈΡ‚ΡŒ ΠΎ whitebox-сканировании (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs ΠΈ Ρ‚.Π΄.) ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Ρ‚ΠΎ Ρ€Π΅Ρ‡ΡŒ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΈΠ΄Ρ‘Ρ‚ ΠΎ статичСском Π°Π½Π°Π»ΠΈΠ·Π΅ ΠΊΠΎΠ΄Π° ΠΈ использовании ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΠ±Ρ‰ΠΈΡ… инструмСнтов класса SAST β€” Static Application Security Testing.

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌ со сканированиСм Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π΅Ρ‚ мноТСство! Π‘ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎΠΌ ΠΈΠ· Π½ΠΈΡ… ΠΌΠ½Π΅ приходится ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°Ρ‚ΡŒΡΡ Π»ΠΈΡ‡Π½ΠΎ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… прСдоставлСния сСрвиса ΠΏΠΎ ΠΏΠΎΡΡ‚Ρ€ΠΎΠ΅Π½ΠΈΡŽ процСссов сканирования ΠΈ бСзопасной Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ Ρ€Π°Π±ΠΎΡ‚ ΠΏΠΎ Π°Π½Π°Π»ΠΈΠ·Ρƒ защищённости.

Π’Ρ‹Π΄Π΅Π»ΡŽ 3 основныС Π³Ρ€ΡƒΠΏΠΏΡ‹ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°ΡŽΡ‚ΡΡ ΠΈ бСсСдами с ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€Π°ΠΌΠΈ ΠΈ руководитСлями слуТб Π˜Π‘ Π² самых Ρ€Π°Π·Π½Ρ‹Ρ… компаниях.

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ сканирования Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ

  1. Π‘Π»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ внСдрСния. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ Π½ΡƒΠΆΠ½ΠΎ Ρ€Π°Π·Π²ΠΎΡ€Π°Ρ‡ΠΈΠ²Π°Ρ‚ΡŒ, ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, ΠΊΠ°ΡΡ‚ΠΎΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ ΠΊΠ°ΠΆΠ΄ΠΎΠ΅ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, Π²Ρ‹Π΄Π΅Π»ΡΡ‚ΡŒ Ρ‚Π΅ΡΡ‚ΠΎΠ²ΡƒΡŽ срСду ΠΏΠΎΠ΄ сканы ΠΈ Π²Π½Π΅Π΄Ρ€ΡΡ‚ΡŒ Π² процСсс CI/CD, Ρ‡Ρ‚ΠΎΠ±Ρ‹ это Π±Ρ‹Π»ΠΎ эффСктивно. Π˜Π½Π°Ρ‡Π΅ это Π±ΡƒΠ΄Π΅Ρ‚ бСсполСзная Ρ„ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½Π°Ρ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Π°, Π²Ρ‹Π΄Π°ΡŽΡ‰Π°Ρ Ρ€Π°Π·Π²Π΅ Ρ‡Ρ‚ΠΎ Π»ΠΎΠΆΠ½Ρ‹Π΅ срабатывания
  2. Π”Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ сканирования. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ Π΄Π°ΠΆΠ΅ Π² 2019 ΠΏΠ»ΠΎΡ…ΠΎ ΡΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ΡΡ с Π΄Π΅Π΄ΡƒΠΏΠ»ΠΈΠΊΠ°Ρ†ΠΈΠ΅ΠΉ интСрфСйсов ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ сутками ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ тысячу страниц с 10 ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ Π½Π° ΠΊΠ°ΠΆΠ΄ΠΎΠΉ, считая ΠΈΡ… Ρ€Π°Π·Π½Ρ‹ΠΌΠΈ, хотя ΠΎΡ‚Π²Π΅Ρ‡Π°Π΅Ρ‚ Π·Π° Π½ΠΈΡ… ΠΎΠ΄ΠΈΠ½ ΠΈ Ρ‚ΠΎΡ‚ ΠΆΠ΅ ΠΊΠΎΠ΄. ΠŸΡ€ΠΈ этом Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΎ Π΄Π΅ΠΏΠ»ΠΎΠ΅ Π½Π° ΠΏΡ€ΠΎΠ΄ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… Ρ†ΠΈΠΊΠ»Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Ρ‚ΡŒ быстро
  3. Π‘ΠΊΡƒΠ΄Π½Ρ‹Π΅ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ Π²Ρ‹Π΄Π°ΡŽΡ‚ достаточно ΠΎΠ±Ρ‰ΠΈΠ΅ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ, ΠΈ Π½Π΅ всСгда Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎ Π½ΠΈΠΌ быстро ΠΏΠΎΠ½ΡΡ‚ΡŒ, ΠΊΠ°ΠΊ Π΅ΠΌΡƒ ΡΠ½ΠΈΠ·ΠΈΡ‚ΡŒ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ риска, Π° Π³Π»Π°Π²Π½ΠΎΠ΅, Π½ΡƒΠΆΠ½ΠΎ Π»ΠΈ это Π΄Π΅Π»Π°Ρ‚ΡŒ прямо сСйчас, ΠΈΠ»ΠΈ ΠΏΠΎΠΊΠ° Π½Π΅ ΡΡ‚Ρ€Π°ΡˆΠ½ΠΎ
  4. ДСструктивноС воздСйствиС Π½Π° ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ Π²ΠΏΠΎΠ»Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²ΠΈΡ‚ΡŒ DoS-Π°Ρ‚Π°ΠΊΡƒ Π½Π° ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠ³ΡƒΡ‚ Π½Π°ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ большоС количСство сущностСй ΠΈΠ»ΠΈ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡ‚ΡŒ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ дСсятки тысяч ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠ΅Π² Π² Π±Π»ΠΎΠ³Π΅), Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ Π½Π΅ стоит Π±Π΅Π·Π΄ΡƒΠΌΠ½ΠΎ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ скан Π² ΠΏΡ€ΠΎΠ΄Π΅
  5. НизкоС качСство обнаруТСния уязвимостСй. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ фиксированный массив ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Ρ… Π½Π°Π³Ρ€ΡƒΠ·ΠΎΠΊ (Β«payloadsΒ») ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π»Π΅Π³ΠΊΠΎ ΠΏΡ€ΠΎΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, которая Π½Π΅ укладываСтся Π² извСстный ΠΈΠΌ сцСнарий повСдСния прилоТСния
  6. НСпониманиС сканСром Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ прилоТСния. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ сами ΠΏΠΎ сСбС Π½Π΅ Π·Π½Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ Β«ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-Π±Π°Π½ΠΊΒ», Β«ΠΏΠ»Π°Ρ‚Ρ‘ΠΆΒ», Β«ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉΒ». Для Π½ΠΈΡ… ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ссылки ΠΈ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹, Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ ΠΎΠ³Ρ€ΠΎΠΌΠ½Ρ‹ΠΉ пласт Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Ρ… уязвимостСй бизнСс-Π»ΠΎΠ³ΠΈΠΊΠΈ остаётся ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ Π½Π΅ΠΏΠΎΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ, ΠΎΠ½ΠΈ Π½Π΅ Π΄ΠΎΠ³Π°Π΄Π°ΡŽΡ‚ΡΡ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ Π΄Π²ΠΎΠΉΠ½ΠΎΠ΅ списаниС, ΠΏΠΎΠ΄Π³Π»ΡΠ΄Π΅Ρ‚ΡŒ Ρ‡ΡƒΠΆΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠΎ ID ΠΈΠ»ΠΈ Π½Π°ΠΊΡ€ΡƒΡ‚ΠΈΡ‚ΡŒ баланс Ρ‡Π΅Ρ€Π΅Π· ΠΎΠΊΡ€ΡƒΠ³Π»Π΅Π½ΠΈΠ΅
  7. НСпониманиС сканСром сСмантики страниц. Π‘ΠΊΠ°Π½Π΅Ρ€Ρ‹ Π½Π΅ ΡƒΠΌΠ΅ΡŽΡ‚ Ρ‡ΠΈΡ‚Π°Ρ‚ΡŒ FAQ, Π½Π΅ ΡƒΠΌΠ΅ΡŽΡ‚ Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Π²Π°Ρ‚ΡŒ ΠΊΠ°ΠΏΡ‚Ρ‡ΠΈ, сами ΠΏΠΎ сСбС ΠΎΠ½ΠΈ Π½Π΅ Π΄ΠΎΠ³Π°Π΄Π°ΡŽΡ‚ΡΡ, ΠΊΠ°ΠΊ Π½ΡƒΠΆΠ½ΠΎ Π·Π°Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ, ΠΈ Ρ‡Ρ‚ΠΎ Π·Π°Ρ‚Π΅ΠΌ Π½ΡƒΠΆΠ½ΠΎ ΠΏΠ΅Ρ€Π΅Π»ΠΎΠ³ΠΈΠ½ΠΈΠ²Π°Ρ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ нСльзя Π½Π°ΠΆΠΈΠΌΠ°Ρ‚ΡŒ Β«logoutΒ», ΠΈ ΠΊΠ°ΠΊ Π½ΡƒΠΆΠ½ΠΎ ΠΏΠΎΠ΄ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ запросы ΠΏΡ€ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΈ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ². Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ большая Ρ‡Π°ΡΡ‚ΡŒ прилоТСния ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡΡ‚Π°Ρ‚ΡŒΡΡ Π²ΠΎΠΎΠ±Ρ‰Π΅ Π½Π΅ просканированной

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ сканирования исходного ΠΊΠΎΠ΄Π°

  1. Π›ΠΎΠΆΠ½Ρ‹Π΅ срабатывания. БтатичСский Π°Π½Π°Π»ΠΈΠ· β€” слоТная Π·Π°Π΄Π°Ρ‡Π°, ΠΏΡ€ΠΈ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ приходится ΠΏΡ€ΠΈΠ±Π΅Π³Π°Ρ‚ΡŒ ΠΊ мноТСству компромиссов. Часто приходится ΠΆΠ΅Ρ€Ρ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚ΠΎΡ‡Π½ΠΎΡΡ‚ΡŒΡŽ, ΠΈ Π΄Π°ΠΆΠ΅ Π΄ΠΎΡ€ΠΎΠ³ΠΈΠ΅ enterprise-сканСры Π²Ρ‹Π΄Π°ΡŽΡ‚ ΠΎΠ³Ρ€ΠΎΠΌΠ½ΠΎΠ΅ количСство Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний
  2. Π‘Π»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ внСдрСния. Для увСличСния точности ΠΈ ΠΏΠΎΠ»Π½ΠΎΡ‚Ρ‹ статичСского Π°Π½Π°Π»ΠΈΠ·Π° Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π΄ΠΎΡ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»Π° сканирования, ΠΈ написаниС этих ΠΏΡ€Π°Π²ΠΈΠ» ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠΊΠ°Π·Π°Ρ‚ΡŒΡΡ слишком Ρ‚Ρ€ΡƒΠ΄ΠΎΡ‘ΠΌΠΊΠΈΠΌ. Иногда ΠΏΡ€ΠΎΡ‰Π΅ Π½Π°ΠΉΡ‚ΠΈ всС мСста Π² ΠΊΠΎΠ΄Π΅ с ΠΊΠ°ΠΊΠΈΠΌ-Ρ‚ΠΎ Π±Π°Π³ΠΎΠΌ ΠΈ ΠΈΡΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ ΠΈΡ…, Ρ‡Π΅ΠΌ ΠΏΠΈΡΠ°Ρ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ для Π΄Π΅Ρ‚Π΅ΠΊΡ‚Π° Ρ‚Π°ΠΊΠΈΡ… случаСв
  3. ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ зависимостСй. Π‘ΠΎΠ»ΡŒΡˆΠΈΠ΅ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹ зависят ΠΎΡ‚ большого количСства Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ ΠΈ Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ€Π°ΡΡˆΠΈΡ€ΡΡŽΡ‚ возмоТности языка программирования. Если Π² Π±Π°Π·Π΅ Π·Π½Π°Π½ΠΈΠΉ сканСра Π½Π΅Ρ‚ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎΠ± опасных мСстах (Β«sinksΒ») Π² этих Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠ°Ρ…, это станСт слСпым пятном, ΠΈ сканСр просто Π΄Π°ΠΆΠ΅ Π½Π΅ ΠΏΠΎΠΉΠΌΡ‘Ρ‚ ΠΊΠΎΠ΄
  4. Π”Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ сканирования. Поиск уязвимостСй Π² ΠΊΠΎΠ΄Π΅ β€” это слоТная Π·Π°Π΄Π°Ρ‡Π° ΠΈ Π² Ρ‚Π΅Ρ€ΠΌΠΈΠ½Π°Ρ… Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ². ΠŸΠΎΡΡ‚ΠΎΠΌΡƒ процСсс Π²ΠΏΠΎΠ»Π½Π΅ ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°Ρ‚ΡΠ½ΡƒΡ‚ΡŒΡΡ ΠΈ Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΈ этом сущСствСнных Π²Ρ‹Ρ‡ΠΈΡΠ»ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… рСсурсов
  5. НизкоС ΠΏΠΎΠΊΡ€Ρ‹Ρ‚ΠΈΠ΅. НСсмотря Π½Π° ΠΏΠΎΡ‚Ρ€Π΅Π±Π»Π΅Π½ΠΈΠ΅ рСсурсов ΠΈ Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ сканирования, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ SAST-срСдств всё Ρ€Π°Π²Π½ΠΎ приходится ΠΏΡ€ΠΈΠ±Π΅Π³Π°Ρ‚ΡŒ ΠΊ компромиссам ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π΅ всС состояния, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΌΠΎΠΆΠ΅Ρ‚ Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°
  6. Π’ΠΎΡΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ Π½Π°Ρ…ΠΎΠ΄ΠΎΠΊ. Π£ΠΊΠ°Π·Π°Π½ΠΈΠ΅ Π½Π° ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΡƒΡŽ строку ΠΈ стСк Π²Ρ‹Π·ΠΎΠ²ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ приводят ΠΊ уязвимости β€” это прСкрасно, Π½ΠΎ Π½Π° самом Π΄Π΅Π»Π΅ часто сканСр Π½Π΅ Π΄Π°Ρ‘Ρ‚ достаточно ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ уязвимости ΠΈΠ·Π²Π½Π΅. Π’Π΅Π΄ΡŒ нСдостаток ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΈ Π² ΠΌΡ‘Ρ€Ρ‚Π²ΠΎΠΌ ΠΊΠΎΠ΄Π΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ нСдостиТим для Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ сканирования инфраструктуры

  1. НСдостаточная инвСнтаризация. Π’ Π±ΠΎΠ»ΡŒΡˆΠΈΡ… инфраструктурах, особСнно Ρ€Π°Π·Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… гСографичСски, часто Ρ‚Ρ€ΡƒΠ΄Π½Π΅Π΅ всСго ΠΏΠΎΠ½ΡΡ‚ΡŒ, ΠΊΠ°ΠΊΠΈΠ΅ хосты Π½ΡƒΠΆΠ½ΠΎ ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ. Π˜Π½Ρ‹ΠΌΠΈ словами, Π·Π°Π΄Π°Ρ‡Π° сканирования ΠΏΠ»ΠΎΡ‚Π½ΠΎ связана с Π·Π°Π΄Π°Ρ‡Π΅ΠΉ asset management
  2. ΠŸΠ»ΠΎΡ…Π°Ρ приоритизация. Π‘Π΅Ρ‚Π΅Π²Ρ‹Π΅ сканСры часто Π²Ρ‹Π΄Π°ΡŽΡ‚ ΠΌΠ½ΠΎΠ³ΠΎ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² с нСдостатками, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ Π½Π΅ эксплуатируСмы, Π½ΠΎ Ρ„ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ ΠΈΡ… риска высок. ΠŸΠΎΡ‚Ρ€Π΅Π±ΠΈΡ‚Π΅Π»ΡŒ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ ΠΎΡ‚Ρ‡Ρ‘Ρ‚, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ слоТно ΠΈΠ½Ρ‚Π΅Ρ€ΠΏΡ€Π΅Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, ΠΈ нСпонятно, Ρ‡Ρ‚ΠΎ Π½ΡƒΠΆΠ½ΠΎ ΠΈΡΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ Π² ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ
  3. Π‘ΠΊΡƒΠ΄Π½Ρ‹Π΅ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ. Π’ Π±Π°Π·Π΅ Π·Π½Π°Π½ΠΈΠΉ сканСра Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ лишь ΠΎΡ‡Π΅Π½ΡŒ общая информация ΠΎΠ± уязвимости ΠΈ способах Π΅Ρ‘ исправлСния, Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ Π°Π΄ΠΌΠΈΠ½Π°ΠΌ придётся Π²ΠΎΠΎΡ€ΡƒΠΆΠΈΡ‚ΡŒΡΡ Π³ΡƒΠ³Π»ΠΎΠΌ. Битуация Ρ‡ΡƒΡ‚ΡŒ Π»ΡƒΡ‡ΡˆΠ΅ с whitebox-сканСрами, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹Π΄Π°Π²Π°Ρ‚ΡŒ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΡƒΡŽ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ для исправлСния
  4. Ручная Ρ€Π°Π±ΠΎΡ‚Π°. Π’ инфраструктурах ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΌΠ½ΠΎΠ³ΠΎ ΡƒΠ·Π»ΠΎΠ², Π° Π·Π½Π°Ρ‡ΠΈΡ‚, ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΌΠ½ΠΎΠ³ΠΎ нСдостатков, ΠΎΡ‚Ρ‡Ρ‘Ρ‚Ρ‹ ΠΏΠΎ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ приходится Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚ΡŒ ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ ΠΏΡ€ΠΈ ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΠΈΡ‚Π΅Ρ€Π°Ρ†ΠΈΠΈ
  5. ΠŸΠ»ΠΎΡ…ΠΎΠ΅ ΠΏΠΎΠΊΡ€Ρ‹Ρ‚ΠΈΠ΅. ΠšΠ°Ρ‡Π΅ΡΡ‚Π²ΠΎ сканирования инфраструктуры Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ зависит ΠΎΡ‚ ΠΎΠ±ΡŠΡ‘ΠΌΠ° Π±Π°Π·Ρ‹ Π·Π½Π°Π½ΠΈΠΉ ΠΎΠ± уязвимостях ΠΈ вСрсиях ПО. ΠŸΡ€ΠΈ этом, оказываСтся, Π΄Π°ΠΆΠ΅ Ρƒ Π»ΠΈΠ΄Π΅Ρ€ΠΎΠ² Ρ€Ρ‹Π½ΠΊΠ° Π±Π°Π·Π° Π·Π½Π°Π½ΠΈΠΉ Π½Π΅ Π²ΡΠ΅ΠΎΠ±ΡŠΠ΅ΠΌΠ»ΡŽΡ‰Π°Ρ, ΠΈ Π² Π±Π°Π·Π°Ρ… бСсплатных Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Π΅ΡΡ‚ΡŒ ΠΌΠ½ΠΎΠ³ΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π½Π΅Ρ‚ Ρƒ Π»ΠΈΠ΄Π΅Ρ€ΠΎΠ²
  6. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с ΠΏΠ°Ρ‚Ρ‡ΠΈΠ½Π³ΠΎΠΌ. Π§Π°Ρ‰Π΅ всСго ΠΏΠ°Ρ‚Ρ‡ΠΈΠ½Π³ уязвимостСй Π² инфраструктурС β€” это ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ΠΏΠ°ΠΊΠ΅Ρ‚Π° ΠΈΠ»ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠ³ΠΎ Ρ„Π°ΠΉΠ»Π°. Π‘ΠΎΠ»ΡŒΡˆΠ°Ρ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° здСсь Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ систСма, особСнно legacy, ΠΌΠΎΠΆΠ΅Ρ‚ нСпрСдсказуСмо повСсти сСбя Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ обновлСния. По сути придётся ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ тСсты Π½Π° ΠΆΠΈΠ²ΠΎΠΉ инфраструктурС Π² ΠΏΡ€ΠΎΠ΄Π΅

ΠŸΠΎΠ΄Ρ…ΠΎΠ΄Ρ‹

Как ΠΆΠ΅ Π±Ρ‹Ρ‚ΡŒ?
ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°Ρ… ΠΈ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ Π±ΠΎΡ€ΠΎΡ‚ΡŒΡΡ со ΠΌΠ½ΠΎΠ³ΠΈΠΌΠΈ ΠΈΠ· пСрСчислСнных ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ, я расскаТу Π² ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… частях, Π° ΠΏΠΎΠΊΠ° ΡƒΠΊΠ°ΠΆΡƒ основныС направлСния, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ:

  1. АгрСгация Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… инструмСнтов сканирования. ΠŸΡ€ΠΈ ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΌ использовании Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… сканСров ΠΌΠΎΠΆΠ½ΠΎ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ увСличСния Π±Π°Π·Ρ‹ Π·Π½Π°Π½ΠΈΠΉ ΠΈ качСства Π΄Π΅Ρ‚Π΅ΠΊΡ‚Π°. МоТно Π½Π°ΠΉΡ‚ΠΈ Π΄Π°ΠΆΠ΅ большС уязвимостСй, Ρ‡Π΅ΠΌ суммарно всС сканСры, Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Π΅ ΠΏΠΎ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ, ΠΏΡ€ΠΈ этом ΠΌΠΎΠΆΠ½ΠΎ Ρ‚ΠΎΡ‡Π½Π΅Π΅ ΠΎΡ†Π΅Π½ΠΈΠ²Π°Ρ‚ΡŒ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ риска ΠΈ Π΄Π°Π²Π°Ρ‚ΡŒ большС Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΉ
  2. Π˜Π½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΡ SAST ΠΈ DAST. МоТно ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΡ‚ΡŒ ΠΏΠΎΠΊΡ€Ρ‹Ρ‚ΠΈΠ΅ DAST ΠΈ Ρ‚ΠΎΡ‡Π½ΠΎΡΡ‚ΡŒ SAST Π·Π° счёт ΠΎΠ±ΠΌΠ΅Π½Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ ΠΌΠ΅ΠΆΠ΄Ρƒ Π½ΠΈΠΌΠΈ. Из исходников ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… Ρ€ΠΎΡƒΡ‚Π°Ρ…, Π° ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ DAST ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ, Π²ΠΈΠ΄Π½ΠΎ Π»ΠΈ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΈΠ·Π²Π½Π΅
  3. Machine Learningβ„’. Π’ 2015 Π³ΠΎΠ΄Ρƒ я рассказывал (ΠΈ Π΅Ρ‰Ρ‘) ΠΏΡ€ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ статистики для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π΄Π°Ρ‚ΡŒ сканСрам ΠΈΠ½Ρ‚ΡƒΠΈΡ†ΠΈΡŽ Ρ…Π°ΠΊΠ΅Ρ€Π°, ΠΈ ΡƒΡΠΊΠΎΡ€ΠΈΡ‚ΡŒ ΠΈΡ…. Π­Ρ‚ΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½ΠΎ являСтся ΠΏΠΈΡ‰Π΅ΠΉ для развития автоматичСского Π°Π½Π°Π»ΠΈΠ·Π° защищённости Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ
  4. Π˜Π½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΡ IAST с автотСстами ΠΈ OpenAPI. Π’ Ρ€Π°ΠΌΠΊΠ°Ρ… CI/CD-pipeline Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ созданиС процСсса сканирования Π½Π° основС инструмСнтов, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… Π² качСствС HTTP-прокси, ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Ρ… тСстов, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… ΠΏΠΎ HTTP. ВСсты ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€Π°ΠΊΡ‚Ρ‹ OpenAPI/Swagger Π΄Π°Π΄ΡƒΡ‚ сканСру Π½Π΅Π΄ΠΎΡΡ‚Π°ΡŽΡ‰ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΠΏΠΎΡ‚ΠΎΠΊΠ°Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Π΄Π°Π΄ΡƒΡ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π² Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… состояниях
  5. ΠŸΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠ΅ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅. Под ΠΊΠ°ΠΆΠ΄ΠΎΠ΅ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ ΠΈ инфраструктуру Π½ΡƒΠΆΠ½ΠΎ ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ подходящий ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ сканирования, ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΠΉ количСство ΠΈ Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€ интСрфСйсов, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ
  6. ΠšΠ°ΡΡ‚ΠΎΠΌΠΈΠ·Π°Ρ†ΠΈΡ сканСров. Π—Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ нСльзя ΠΏΡ€ΠΎΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π±Π΅Π· Π΄ΠΎΡ€Π°Π±ΠΎΡ‚ΠΊΠΈ сканСра. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ β€” ΠΏΠ»Π°Ρ‚Ρ‘ΠΆΠ½Ρ‹ΠΉ шлюз, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ запрос Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ подписан. Π‘Π΅Π· написания ΠΊΠΎΠ½Π½Π΅ΠΊΡ‚ΠΎΡ€Π° ΠΊ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρƒ шлюза сканСры Π±ΡƒΠ΄ΡƒΡ‚ Π±Π΅Π·Π΄ΡƒΠΌΠ½ΠΎ Π΄ΠΎΠ»Π±ΠΈΡ‚ΡŒΡΡ запросами с Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΉ подписью. Π’Π°ΠΊΠΆΠ΅ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΠΈΡΠ°Ρ‚ΡŒ спСциализированныС сканСры ΠΏΠΎΠ΄ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΉ Π²ΠΈΠ΄ нСдостатков, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ Insecure Direct Object Reference
  7. Риск-ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚. ИспользованиС Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… сканСров ΠΈ интСграция с внСшними систСмами, Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΊΠ°ΠΊ Asset Management ΠΈ Threat Management, ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для ΠΎΡ†Π΅Π½ΠΊΠΈ уровня риска мноТСство ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ², Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ руководство смоТСт ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Π°Π΄Π΅ΠΊΠ²Π°Ρ‚Π½ΡƒΡŽ ΠΊΠ°Ρ€Ρ‚ΠΈΠ½Ρƒ ΠΎ Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΌ состоянии бСзопасности Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈΠ»ΠΈ инфраструктуры

Stay tuned and let’s disrupt the vulnerability scanning!

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com