Цикл статей
«Сканируй, управляй, защищай: MaxPatrol VM под микроскопом»
Статья 4. Методы проведения сканирования
HostDiscovery
Это начальный этап сканирования, целью которого является идентификация активных (работающих) хостов в заданной сети или диапазоне IP-адресов.
MaxPatrol VM использует различные техники для обнаружения:
ICMP-сканирование
Отправка ICMP-запросов (например, Echo-Request, Timestamp-Request) для проверки отклика от хостов.
TCP-сканирование портов
Попытки установки TCP-соединения с наиболее распространенными или указанными портами (например, SYN-сканирование, Connect-сканирование). Открытый порт указывает на активный хост.
UDP-сканирование портов
Отправка UDP-пакетов на определенные порты. Отсутствие ICMP-сообщения "Port Unreachable" или получение ответа может указывать на активный хост и открытый порт.
ARP-сканирование (в локальной сети)
Отправка ARP-запросов для определения MAC-адресов, соответствующих IP-адресам в локальном сегменте сети.Результатом HostDiscovery является список активных IP-адресов, которые затем могут быть подвергнуты более глубокому анализу на наличие уязвимостей. Этот метод помогает составить карту сети и выявить ранее неизвестные или неучтенные активы.
ICMP-сканирование
Отправка ICMP-запросов (например, Echo-Request, Timestamp-Request) для проверки отклика от хостов.
TCP-сканирование портов
Попытки установки TCP-соединения с наиболее распространенными или указанными портами (например, SYN-сканирование, Connect-сканирование). Открытый порт указывает на активный хост.
UDP-сканирование портов
Отправка UDP-пакетов на определенные порты. Отсутствие ICMP-сообщения "Port Unreachable" или получение ответа может указывать на активный хост и открытый порт.
ARP-сканирование (в локальной сети)
Отправка ARP-запросов для определения MAC-адресов, соответствующих IP-адресам в локальном сегменте сети.Результатом HostDiscovery является список активных IP-адресов, которые затем могут быть подвергнуты более глубокому анализу на наличие уязвимостей. Этот метод помогает составить карту сети и выявить ранее неизвестные или неучтенные активы.
Pentest
В контексте разговора о MaxPatrol VM, модуль "Pentest" обычно подразумевает более углубленное и активное сканирование, направленное на выявление не только теоретических уязвимостей, но и на проверку их практической эксплуатации (без нанесения вреда).
Это может включать в себя:
Использование более агрессивных проверок
Применение техник, которые могут генерировать больше сетевого трафика или интенсивнее взаимодействовать со службами.
Проверка на наличие и возможность эксплуатации известных эксплойтов
Система может пытаться (безопасным образом) проверить, действительно ли уязвимость может быть проэксплуатирована с учетом текущей конфигурации хоста.
Анализ сложных векторов атак
Поиск нетривиальных цепочек уязвимостей, которые могут привести к компрометации.
Сбор расширенной информации
Более детальный сбор данных о конфигурации, версиях ПО, используемых протоколах для выявления потенциальных слабых мест, которые не всегда видны при стандартном сканировании
Проверки на слабые пароли
Попытки подбора паролей к различным службам с использованием словарных атак или стандартных учетных данных (с соблюдением политики безопасности).Этот режим требует больше времени и ресурсов, но позволяет получить более точную оценку реальных рисков. Он часто используется для наиболее критичных активов.
Использование более агрессивных проверок
Применение техник, которые могут генерировать больше сетевого трафика или интенсивнее взаимодействовать со службами.
Проверка на наличие и возможность эксплуатации известных эксплойтов
Система может пытаться (безопасным образом) проверить, действительно ли уязвимость может быть проэксплуатирована с учетом текущей конфигурации хоста.
Анализ сложных векторов атак
Поиск нетривиальных цепочек уязвимостей, которые могут привести к компрометации.
Сбор расширенной информации
Более детальный сбор данных о конфигурации, версиях ПО, используемых протоколах для выявления потенциальных слабых мест, которые не всегда видны при стандартном сканировании
Проверки на слабые пароли
Попытки подбора паролей к различным службам с использованием словарных атак или стандартных учетных данных (с соблюдением политики безопасности).Этот режим требует больше времени и ресурсов, но позволяет получить более точную оценку реальных рисков. Он часто используется для наиболее критичных активов.
Audit
Модуль предназначен для аудита активов методом белого ящика.
Для модуля созданы стандартные профили:
Также в состав Audit входит встроенный модуль AuditCheck для проверки подключения к целевым активам и транспортам.
Настраивать параметры модуля вы можете при создании пользовательского профиля на базе стандартного или при создании задачи на сбор данных. Для этого в панели с параметрами профиля в иерархическом списке нужно выбрать секцию параметров.
В следующей статье цикла мы рассмотрим построение процесса поиска и устранения различных уязвимостей в MaxPatrol VM.
До встречи на портале!
Для модуля созданы стандартные профили:
- Checkpoint Management Server SSH Audit. Для аудита сервера управления систем информационной безопасности Check Point GAIA или Check Point SPLAT по протоколу SSH.
- Checkpoint OPSEC Audit. Для аудита систем информационной безопасности Check Point через API OPSEC.
- Microsoft Active Directory Audit. Для аудита ресурсов службы каталогов Microsoft Active Directory по протоколу LDAP.
- MSSQL Audit. Для аудита СУБД Microsoft SQL Server. Собирает данные о версии и конфигурации СУБД Microsoft SQL.
- Oracle Audit. Для аудита СУБД Oracle Database. Собирает данные о версии и конфигурации СУБД Oracle Database.
- SNMP Network Device Audit. Для аудита сетевых устройств по протоколу SNMP.
- SSH Cisco Audit in Enable Mode. Для аудита сетевых устройств компании Cisco по протоколу SSH.
- SSH Network Device Audit. Для аудита сетевых устройств по протоколу SSH. Профиль также может использоваться для сканирования устройств Cisco, не требующих повышения привилегий.
- Unix SSH Audit. Для аудита ОС семейства Unix и ПО, установленного на активах с такими ОС. Сканирование одного актива занимает до 5 минут.
- Unix SSH and Web API Audit. Для аудита ПО, установленного на активах с ОС семейства Unix. Сканирование осуществляется одновременно через веб-API и по протоколу SSH.
- vSphere Audit. Для аудита платформ виртуализации VMware vSphere.
- Web API Audit. Для аудита систем через веб-API. Например, систем Check Point, JetBrains TeamCity, JFrog Artifactory и Zabbix.
- Windows Audit. Для аудита Windows и ПО, установленного на активах под управлением Windows. Сканирование одного актива занимает до 15 минут. Собирает данные о приложениях и ОС, необходимые для поиска уязвимостей на узлах c Windows. Не выполняет аудит ресурсов службы каталогов Microsoft Active Directory.
- Windows Audit Vulnerabilities Discovery. Для сбора данных о приложениях и ОС, необходимых для поиска уязвимостей на узлах с Windows.
- Windows DC Audit. Для сбора данных о ресурсах службы каталогов Microsoft Active Directory и аудита Windows по протоколам LDAP и RPC.
- Windows Updates Discovery. Для обновления данных о приложениях и ОС, необходимых для поиска уязвимостей на узлах с Windows. Задачи с этим профилем собирают ограниченный объем информации. Сканирование одного актива занимает до 2 минут.
Также в состав Audit входит встроенный модуль AuditCheck для проверки подключения к целевым активам и транспортам.
Настраивать параметры модуля вы можете при создании пользовательского профиля на базе стандартного или при создании задачи на сбор данных. Для этого в панели с параметрами профиля в иерархическом списке нужно выбрать секцию параметров.
В следующей статье цикла мы рассмотрим построение процесса поиска и устранения различных уязвимостей в MaxPatrol VM.
До встречи на портале!