Перейти к содержанию

Обзор сканера

Сканер занимается следующими задачами:

Сбор сетевого периметра

Сетевой периметр — это публичные ресурсы компании (домены и IP‑адреса), подключенные к общедоступным сетям.
Он определяет область сканирования на типичные уязвимости и является краеугольным камнем выстраивания процесса обеспечения безопасности.

При развитии проекта количество ресурсов, выводимых на периметр, неуклонно растет, а контроль за ними неизбежно снижается.

Сами ресурсы могут быть размещены не только в дата-цетрах компании, но и на
совместных хостингах, например, как часто делают маркетологи при запуске
лендингов и акций. Такие ресурсы помещаются на поддомены основного проекта
и могут скомпрометировать безопасность проекта.

Злоумышленники всегда выбирают на сетевом периметре компании самые слабо
защищенные ресурсы и стараются в первую очередь скомпрометировать их.

В Валарм реализованы все приемы по сбору периметра, используемые аудиторами
в ходе проведения консультационных работ (пентестов).

Сбор периметра не заканчивается на составлении карты IP‑адресов и доменов,
но определяет и сетевые сервисы, доступные в сети Интернет. Для этого выполняется
сначала сканирование портов, а затем определение самих сетевых сервисов,
доступных на этих портах.

В непрерывном процессе сбора и актуализации данных периметра используются различные методы:

  • В автоматическом режиме:

    • передача зоны AXFR от DNS-серверов;
    • получение NS- и MX-записей;
    • получение информации из SPF-записи;
    • перебор поддоменов по словарям;
    • парсинг данных из SSL‑сертификатов.
  • Внесение данных вручную с помощью веб‑интерфейса или API Валарм.

В результате получается карта сетевых сервисов компании, по качеству
не уступающая тем, что предоставляются аудиторами при проведении пентестов.

Поиск типовых уязвимостей и проблем безопасности

Сканер ищет и добавляет новые элементы в сетевой периметр, а затем проверяет все IP‑адреса и домены в периметре на наличие типовых уязвимостей.

Активная проверка атак

Сканер будет автоматически воспроизводить каждую атаку из трафика. Этот механизм позволяет обнаружить уязвимости, которые могли бы быть проэксплуатированы в ходе атаки.

В целях безопасности при воспрозведении атак из запросов удаляются аутентификационные данные (cookies, basic-auth, viewstate). Для корректной работы этой функциональности может потребоваться дополнительная настройка со стороны приложения.

Актуализация состояния найденных ранее уязвимостей

Сканер регулярно проверяет состояние уязвимостей и автоматически помечает их исправленными или, наоборот, переоткрывает вновь воспроизводящиеся:

  • Актуальные уязвимости и уязвимости, исправленные менее месяца назад, проверяются
    раз в день.

  • Уязвимости, исправленные более месяца назад, проверяются раз в неделю.

  • Уязвимости, помеченные как ложные, не проверяются.

Демо‑видео