Учетные данные на основе паролей – неотъемлемая часть нашей онлайн-жизни, но они подвержены уязвимостям. Борьба с этими уязвимостями была серьезным препятствием для профессионалов в области безопасности и обходилась бизнесу дорого. Rapid 7 заново изобретает процесс аутентификации для cвоего механизма сетевого сканирования с выпуском Scan Assistant – более безопасного способа сканирования ресурсов, который ограничивает присущие учетным данным недостатки.
Пароли как средство защиты компьютерных систем существуют уже 60 лет. Ученые считают, что совместимая система разделения времени Массачусетского технологического института была первой, где был реализован пароль, позволяющий входить в систему различным пользователям. С тех пор пароли стали использоваться повсеместно. Каждая операционная система, веб-сайт и соединение Wi-Fi используют пароли как средство ограничения доступа.
К сожалению, это также оказалось благодатной почвой для злоумышленников, желающих получить несанкционированный доступ к данным и компьютерным системам. Отчасти из-за популярности – и потенциальной слабости – паролей компании потратили огромное количество времени и денег на создание надежных программ безопасности для защиты своей интеллектуальной собственности.
В рамках любой хорошей программы безопасности компании регулярно сканируют свои сети, чтобы определить, где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей сканер должен иметь возможность аутентифицироваться для этих целей. Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем. Это включает:
- Повышенный риск безопасности: хранение учетных данных в приложении немедленно делает это приложение потенциальным вектором атаки. Если приложение скомпрометировано или неправильно настроено, злоумышленник может получить доступ к исчерпывающему списку учетных данных, что даст ему возможность взломать сеть клиента.
- Управление учетными данными : хранение учетных данных в приложении создает дополнительные операционные проблемы с управлением этими учетными данными. Каждый раз, когда учетные данные изменяются на целевом объекте или наборе целевых объектов, эти учетные данные должны быть обновлены в приложении. Это приводит к тому, что администраторам приходится управлять одним и тем же набором учетных данных в нескольких системах, что может быть обременительным и подверженным ошибкам. Использование централизованного хранилища учетных данных может помочь смягчить эту проблему, но не все организации могут развернуть такую службу для каждой цели в своей среде.
- Недостаточные разрешения: для того, чтобы сетевой сканер мог точно оценивать и сообщать о риске для набора целей, сканер должен уметь собирать достаточную информацию. Таким образом, предоставленные учетные данные должны иметь широкий диапазон связанных с ними разрешений – в идеале, уровня root или администратора, чтобы сетевой сканер мог выполнять полный сбор данных. На практике многие организации либо не знают об этом требовании, либо не решаются его делать. Это может привести к сбору неполной информации, что приведет к появлению отчетов, которые не полностью отражают уязвимости целей.
Представляем Scan Assistant
Команда инженеров Rapid7 провела много времени, обсуждая, исследуя и обдумывая решения проблем, связанных с предоставлением учетных данных для выполнения сканирования сети. Команда решила, что идеальным решением для наших клиентов было полное устранение необходимости в учетных данных. Это привело к разработке помощника сканирования.
Помощник по сканированию – это облегченная служба, которую можно установить на каждую сканируемую цель. Он разработан специально для работы с InsightVM и Nexpose Network Scan Engine, поэтому может сканировать объекты без необходимости предоставления учетных данных. Когда модуль сетевого сканирования сканирует цель, содержащую Помощник сканирования, он собирает всю необходимую информацию, необходимую для полной оценки этой цели.
Помощник по сканированию поддерживает сканирование уязвимостей и политик, выполняемое модулем сетевого сканирования. Обеспечение покрытия для обоих типов сканирования было ключевым требованием для команды. В результате заказчики могут быстро выявлять уязвимости и проверять политики в своей сети без операционной нагрузки, связанной с управлением учетными данными или разрешениями. Клиенты будут и дальше получать точно такое же представление о своей сети, одновременно снижая риск управления учетными данными в продукте.
Как это работает
Модуль сетевого сканирования и помощник сканирования обмениваются данными по зашифрованному каналу с помощью сертификата TLSv1.2. Когда модуль сканирования сканирует цель, есть определенные фрагменты информации, которые ему необходимо собрать от этой цели. Помощник сканирования был разработан для предоставления только тех данных, которые необходимы модулю сканирования для полной оценки цели.
Это означает, что Scan Assistant не предоставляет средств для произвольного доступа к файловой системе. Кроме того, все команды, отправляемые из модуля сканирования в помощник сканирования, подписываются, что гарантирует, что только модуль сканирования с правильным ключом подписи может запрашивать данные из помощника сканирования.
Почему это лучше, чем учетные данные
Учетные данные администратора предоставляют модулю сканирования больший доступ, чем ему необходимо, и создают риск, если эти учетные данные будут скомпрометированы. Помощник сканирования предоставляет механизму сканирования только необходимый ему доступ, снижая риск.
Учетные данные root предоставляют Scan Engine неограниченный доступ для выполнения команд через OpenSSH, что также может представлять опасность. Ограничение команд с помощью sudo или подобных инструментов может быть проблемой. Чтобы решить эту проблему, Scan Assistant требует, чтобы команды были подписаны Rapid7. Это снижает риск и прозрачно ограничивает то, что разрешено запускать Scan Assistant.
Почему это безопасно (в более технических терминах)
Помощник сканирования построен на протоколе безопасности транспортного уровня (TLS) и включает только алгоритмы, указанные в Коммерческом наборе алгоритмов национальной безопасности (CNSA) Агентством национальной безопасности (NSA). Сюда входит поддержка алгоритма Диффи-Хеллмана с эллиптической кривой (ECDH) и алгоритма цифровой подписи с эллиптической кривой (ECDSA) с кривой P-521 для установления доверия с механизмом сканирования и 256-битного стандарта Advanced Encryption Standard (AES) для обеспечения секретности данных между модуль сканирования и помощник сканирования.
Модуль сетевого сканирования и помощник сканирования используют TLSv1.2 с двусторонней аутентификацией по сертификату (аутентификация на стороне клиента). Однако сервер не проверяет клиента. При каждом запуске Scan Assistant генерирует новый сертификат. Это делает невозможным отслеживание актива путем отслеживания сертификата помощника сканирования, используемого в прослушивателе HTTPS. Это означает, что модуль сканирования не может проверить сертификат от помощника сканирования. По сути, это обратная односторонняя аутентификация.
Insight Agent против Scan Assistant
На первый взгляд может показаться, что Insight Agent и Scan Assistant служат одной цели. Это небольшие фоновые службы, которые развертываются на множестве целей с целью оценки уязвимости и политик. Однако на этом их сходство заканчивается. Insight Agent и Scan Assistant принципиально различаются с точки зрения вариантов использования, которым они удовлетворяют.
Insight Agent подходит для активов, имеющих подключение к Интернету и способных периодически публиковать данные на платформе. Для таких типов активов, как ноутбуки и рабочие станции, Insight Agent является предпочтительной технологией.
Помощник по сканированию предназначен для активов и сред, для которых подключение к Интернету либо недоступно, либо сильно ограничено. Сюда могут входить такие активы, как контроллеры домена или серверы баз данных. Любое устройство, которое эффективно закрыто от внешнего мира, не сможет использовать Insight Agent. Эти устройства необходимо просканировать с помощью механизма сетевого сканирования, чтобы оценить их на наличие уязвимостей. В этом случае помощник по сканированию может помочь повысить производительность этих сканирований без необходимости хранить учетные данные в продукте.
В конечном итоге вы можете развернуть как Insight Agent, так и Scan Assistant в разных частях вашей сети, чтобы обеспечить быструю, безопасную и всестороннюю оценку уязвимостей.
| Характерная черта | Агент инсайта | Помощник сканирования |
|---|---|---|
| Тип коллекции | Активный – периодически собирает данные и публикует их на платформе. | Пассивный – собирает данные только по запросу сканирующего ядра. |
| Собранные данные | Собирает все данные, необходимые для проведения оценки | Собирает только данные, запрошенные сканирующим ядром |
| Платформа подключена? | да | Нет |
| Неактивный след | Когда данные не собираются, периодически сигнализирует о состоянии работоспособности платформы. | Содержит прослушиватель HTTPS, ожидающий входящих подключений, в противном случае не выполняет никаких действий |
Разбивка различий между Insight Agent и Scan Assistant
Анализ улучшения производительности
Предварительный анализ производительности показал многообещающие улучшения при сканировании с установленным Scan Assistant. Сканирование уязвимостей выполнялось быстрее, а общее время сканирования было более стабильным, чем сканирование, основанное на получении данных через SMB или WMI.
Кроме того, время сканирования для сканирования на основе политик значительно улучшилось, особенно для серверов с большим количеством пользователей и групп (таких как контроллеры домена). На следующей диаграмме сравнивается время сканирования для сканирования на основе политик, выполняемого для разных типов серверов. Команда планирует продолжить сбор и анализ производительности Scan Assistant и поделится этим анализом в следующей статье.
Что дальше
Вот некоторые из основных вопросов, над которыми мы планируем работать дальше.
- Добавить поддержку дополнительных операционных систем, включая Linux, Unix и macOS.
- Поддержка возможности выполнять сканирование политик на основе DISA.
- Обновите консоль безопасности для поддержки управления сертификатами в антивирусных ядрах.
Если у вас есть предложения по функциям, которые вы хотели бы видеть, обратитесь к своему менеджеру по работе с клиентами.
Купить или протестировать Rapid Scan Assistant
Scan Assistant в настоящее время находится в стадии раннего тестирования и доступен только для операционных систем Windows. Если вы заинтересованы в тестировании Scan Assistant хотите развернуть его в своей среде, обратитесь в компанию Soft Inc.
