Сертификат AM Test Lab
Номер сертификата: 522
Дата выдачи: 05.06.2025
Срок действия: 05.06.2030
- Введение
- Функциональные возможности «Сканера-ВС» версии 7
- 2.1. Исследование сети
- 2.2. Инвентаризация
- 2.3. Поиск уязвимостей
- 2.4. Подбор паролей
- 2.5. Аудит конфигураций
- 2.6. Управление активами
- Системные требования «Сканера-ВС» версии 7
- Архитектура и возможности интеграции
- Лицензирование продукта
- Сценарии использования «Сканера-ВС» версии 7
- Выводы
Введение
Тема выявления уязвимостей в используемых системах и программных компонентах на протяжении нескольких последних лет является актуальной, так как данные бреши используются злоумышленниками для взлома и проникновения в инфраструктуры предприятий.
По данным «Лаборатории Касперского», количество уязвимостей устойчиво растёт с каждым годом. По итогам 2024 года их оказалось почти 30 000 — ощутимо больше, чем годом ранее, когда их было примерно 25 тысяч. Любая из этих брешей может стать точкой входа для киберпреступников или упростить им проведение атак.
Редакция Anti-Malware регулярно публикует аналитические материалы, посвященные ранжированию уязвимостей, управлению ими, а также проводит эфиры AM Live с экспертами отрасли.
Группа компаний «Эшелон», один из известных игроков отечественного рынка сканеров уязвимостей, выпустила новую 7-ю версию своего продукта «Сканер-ВС», которая теперь функционирует в ОС Astra Linux 1.6 / 1.7 / 1.8, РЕД ОС 8, «Альт Рабочая станция 10», Windows 10 / Windows 11 / Windows Server 2022 (WSL).
Функциональные возможности «Сканера-ВС» версии 7
«Сканер-ВС» версии 7 позволяет проводить исследование сети, инвентаризацию программного и аппаратного обеспечения, поиск уязвимостей, подбор паролей и аудит конфигурации.
Рисунок 1. Доступные задачи в «Сканере-ВС 7»
Исследование сети
Исследование сети позволяет выявить активные хосты и запущенные на них сервисы, а также построить детальную карту сети. Пользователь может задавать диапазоны проверяемых IP-адресов, доменные имена или использовать ранее обнаруженные активы для дальнейшего анализа, также можно использовать теги, назначенные активам. Особое значение имеет запуск сканирования с включенной опцией определения версий сервисов, так как эта информация критически важна для последующего выявления известных уязвимостей в сетевых сервисах при условии, что тестировать защищенность необходимо без использования учетных записей.
В рамках выполнения задач по исследованию сети у пользователя есть возможность запуска собственных или системных скриптов на языке Lua.
Инвентаризация
Процесс инвентаризации предназначен для сбора данных об активах с использованием неагентского подхода, при котором подключение осуществляется по протоколам SSH или WinRM. В ходе этого процесса собирается информация об установленном программном обеспечении, аппаратной конфигурации, списках учетных записей, а также данные о фактах подключения USB-устройств и доступа к сетям Wi-Fi. Сбор информации о версиях установленного программного обеспечения позволяет находить уязвимости.
Поиск уязвимостей
В «Сканере-ВС» версии 7 реализован поиск уязвимостей на основе выявленных версий программного обеспечения. Фактически поиск уязвимостей представляет собой запрос к локальной базе уязвимостей, которая обновляется ежедневно с серверов группы компаний «Эшелон». Источниками данных для формирования агрегированной базы данных уязвимостей являются БДУ ФСТЭК России, NIST NVD, базы уязвимостей вендоров ОС Astra Linux, РЕД ОС, Ubuntu, Debian, RedHat, Windows и др.
При этом, система поддерживает возможность поиска уязвимостей с использованием исключительно таких источников, как БДУ ФСТЭК, фиды Astra Linux и РЕД ОС, т. е. в «импортозамещённом режиме». Данный подход позволяет находить уязвимости быстро, так как время поиска для одного узла занимает считанные мгновения, и безопасно, так как не запускаются никакие потенциально опасные скрипты и эксплойты.
Подбор паролей
Одной из самых опасных уязвимостей является использование слабых или предсказуемых паролей. Для выявления данного класса уязвимостей в сетевых сервисах в «Сканере-ВС» версии 7 реализован модуль подбора паролей. В продукте можно использовать заранее подготовленные словари имен пользователей и паролей, а также вводить эти данные вручную при запуске задачи или использовать заранее подготовленные словари от разработчика системы.
В «Сканер-ВС» версии 7 добавлены следующие заранее подготовленные словари имён пользователей:
- топ-15 (английский);
- топ-25 женских имен (английский);
- топ-25 мужских имен (английский);
- топ-50 (английский и русский).
Добавлены также следующие заранее подготовленные словари паролей:
- цифры;
- женские имена (английский);
- клавиатурные сочетания (английский);
- мужские имена (английский);
- топ-150 (английский);
- топ-25 (английский).
«Сканер-ВС» версии 7 поддерживает следующие сетевые протоколы для подбора паролей: FTP, IMAP, IMAPS, MSSQL, MYSQL, POP3, POP3S, POSTGRES, RDP, REDIS, SMB, SMTP, SMTPS, SNMP, SSH, TELNET, VNC.
Аудит конфигураций
В продукте реализована проверка конфигураций для сканируемых активов (ОС, сетевое оборудование, СЗИ и т.д.) на базе шаблонов. Каждый шаблон содержит в себе проверки, разрабатываемые с помощью специальных команд. Пользователь может создавать свои шаблоны, исходя из существующих потребностей. Создание шаблона производится во встроенном редакторе системы.
Каждое правило включает всего два поля: «commands» (список команд) и «condition» (условие).
Команда завершается с одним из трёх результатов: PASSED — команда выполнилась успешно, NOT_PASSED — команда выполнилась неуспешно, INVALID — команда выполнилась некорректно.
Условие может иметь следующие значения: «any» — выполнять команды до первой с результатом PASSED — или «all» — выполнять команды до первой с результатом NOT_PASSED или INVALID.
Команды позволяют запустить утилиту, проверить существование объекта файловой системы или реестра Windows, а также сравнить содержимое или результаты выполнения программ по заданным критериям. Вот некоторые примеры команд:
- cmd:systemctl is-enabled cups -> r:^enabled — проверяет, что в выводе команды присутствует строка, начинающаяся на enabled;
- file:/etc/sshd_config — проверяет наличие файла /etc/sshd_config;
- reg:path/to/registry — проверяет наличие ключа в реестре Windows;
- not proc:sshd — проверяет, что в системе нет запущенного процесса с именем sshd;
- reg:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa -> LimitBlankPasswordUse -> 1 — проверяет, что значение ключа LimitBlankPasswordUse равно 1.
Система позволяет проверить работоспособность правила сразу в ходе его разработки, выбрав соответствующий тестовый актив.
Управление активами
«Сканер-ВС» версии 7 содержит подсистему управления активами, в которой ведется база контролируемых активов. По мере выполнения задач по поиску открытых портов, по поиску уязвимостей база обогащается данными о выявленном программном обеспечении, установленных обновлениях (Windows) и обнаруженных уязвимостях. Для возможности проведения инвентаризации, а также аудита конфигурации через актив задается учетная запись для подключения.
Также в актив можно импортировать перечень установленного ПО (Software Bill of Materials, SBOM) в формате CycloneDX и осуществить поиск уязвимостей по собранным таким образом версиям программного обеспечения. Каждому активу можно назначить один или несколько тегов, которые помогают фиксировать принадлежность актива к определённой группе (например, подразделению организации) и более эффективно выполнять задачи.
Системные требования «Сканера-ВС» версии 7
В отличие от предыдущей, 6-й версии продукта, код «Сканера-ВС 7» подвергся серьезной оптимизации, благодаря чему требуется меньше аппаратных ресурсов для внедрения системы. Минимальные требования к аппаратной платформе для функционирования «Сканера-ВС» версии 7 приведены в таблице 1.
Таблица 1. Системные требования к серверу «Сканера-ВС 7»
Параметр | Значение |
|---|---|
Операционная система | Astra Linux Special Edition 1.6 / 1.7 / 1.8, РЕД ОС 8, «Альт Рабочая станция 10», Windows 10 / Windows 11 / Windows Server 2022 (WSL) |
Процессор | Количество ядер — 4, базовая тактовая частота — 2 ГГц |
Оперативная память | DDR3 8 ГБ, частота — 1600 МГц |
SSD | Один накопитель SSD, объёмом 100 ГБ |
Дополнительные требования | Интерфейс для подключения монитора с разрешением 1280×1024 пикселей |
Архитектура и возможности интеграции
«Сканер-ВС 7» построен на основе трёхуровневой архитектуры:
- Фронтенд — интерфейс управления приложением, обеспечивающий взаимодействие с системой через браузер.
- Бэкенд — ядро приложения, содержащее алгоритмы обработки данных, необходимых для выполнения поставленных задач.
- База данных — хранилище результатов выполнения задач.
Несмотря на такое разделение, система разворачивается как единое монолитное приложение, что обеспечивает лёгкость установки и снижает требования к инфраструктуре.
Для удобства интеграции с внешними системами «Сканер-ВС 7» предоставляет:
- Swagger — интерактивную документацию, позволяющую отправлять запросы напрямую к серверу, без использования пользовательского интерфейса.
- Открытый API — набор методов для автоматизации работы, управления задачами и выгрузки данных.
- Экспорт результатов в формате CSV — возможность выгружать данные для анализа и последующей обработки сторонними сервисами.
- Интеграцию с SIEM-системой через протокол Syslog.
- Аутентификацию и авторизацию через LDAP / Active Directory (опционально), что позволяет централизованно управлять доступом.
- Защищённое соединение (HTTPS) для всех API-запросов, обеспечивающее конфиденциальность и целостность передаваемых данных.
- Гибкую настройку журналирования — выбор уровня детализации записей (INFO, WARNING, ERROR) и маршрутизация логов в сторонние хранилища (файловая система, ELK Stack и так далее).
Варианты развёртывания:
- DEB- и RPM-пакеты — готовые сборки для распространённых дистрибутивов Linux.
- WSL (Windows Subsystem for Linux) — пакет для установки и работы на Linux в рамках Windows.
- Docker — контейнерная версия продукта для быстрого старта.
Таким образом, архитектура системы обеспечивает гибкость при её внедрении в инфраструктуру.
Лицензирование продукта
Средство анализа защищенности «Сканер-ВС 7» доступно в двух редакциях: Base и Enterprise. В новой версии сохранена уникальность продукта: «Сканер-ВС 7» лицензируется по количеству контролируемых активов (хостов) без привязки к конкретным IP-адресам.
Таблица 2. Сравнение вариантов лицензирования «Сканера-ВС 7»
Функциональность / параметр | «Сканер-ВС 7 Base» | «Сканер-ВС 7 Enterprise» |
Минимальное количество IP-адресов | 1 | 256 |
Исследование сети | Да | Да |
Пользовательские скрипты | Да | Да |
Сетевая инвентаризация | Да | Да |
Поиск уязвимостей | Да | Да |
Пользовательская база уязвимостей | Нет | Да |
Аудит конфигурации | Да | Да |
Создание / редактирование шаблонов аудита конфигурации | Нет | Да |
Сетевой подбор паролей | Да | Да |
Подсистема отчётов | Да | Да |
Импорт шаблонов аудита | Нет | Да |
Количество шаблонов аудита «из коробки» | 2 | 50+ |
Сценарии использования «Сканера-ВС» версии 7
«Сканер-ВС 7» оптимизирован для использования в следующих сценариях:
- постоянный мониторинг защищенности ИТ-инфраструктуры;
- периодический контроль.
В первом сценарии компания сама осуществляет мониторинг своей защищенности. В данном случае продукт разворачивается внутри корпоративной сети и настраивается регулярная проверка защищенности узлов, при необходимости события «Сканера-ВС» отправляются в SIEM-систему.
Во втором сценарии «Сканер-ВС» версии 7 используется для проведения периодических проверок. В данном сценарии «Сканер-ВС» устанавливается, как правило, на ноутбук и аудиторы-пентестеры подключают его к различным сегментам проверяемой сети, после чего запускаются задачи. Стоит отметить возможность создания загрузочного носителя (LiveUSB) на базе Astra Linux. В этом случае проверяющий получает возможность использовать имеющееся в проверяемой инфраструктуре оборудование.
Для второго сценария реализована возможность поддержки множества проектов (для разных сетей / организаций).
Рисунок 2. Панель проектов в «Сканере-ВС 7»
Для каждого проекта автоматически производится расчет влияния уязвимостей на ИС по методике оценки уровня критической значимости уязвимостей программных, программно-аппаратных средств от ФСТЭК России (2022).
Создадим новый проект и последовательно запустим задачу исследования сети, в рамках которой будет исследована заданная подсеть и обнаружены узлы, а затем произведено сканирование 1000 наиболее популярных портов с включенной опцией определения версий сервисов.
Рисунок 3. Создание задачи «Исследование сети» в «Сканере-ВС 7»
После выполнения задачи можно посмотреть ее результаты.
Рисунок 4. Результаты задачи «Исследование сети» в «Сканере-ВС 7»
Также, после выполнения задачи в списке активов отобразятся хосты, найденные в процессе сканирования. Выбрав интересующий, пользователь получает собранную информацию о нем (открытые порты, версии сетевых сервисов, установленное ПО, определенное в результате сканирования). Можно задать уровень критической значимости, теги и т.п.
Рисунок 5. Открытые порты, внесенные в карточку актива в «Сканере-ВС 7»
Так как версии сервисов были определены, имеет смысл провести поиск уязвимостей. Для этого создается отдельная задача, в которой указываются активы и запускается поиск, который занимает несколько секунд.
Рисунок 6. Задание поиска уязвимостей в «Сканере-ВС 7»
Поиск уязвимостей в отличие от сканеров, основанных на запуске скриптов, занимает непродолжительное время.
Рисунок 7. Задачи в «Сканере-ВС 7»
В результатах задачи поиска уязвимостей формируется список обнаруженных на хостах уязвимостей с указанием в списке уровня критической значимости, версий программного обеспечения, к которому они относятся, наличия эксплойтов для них, что позволяет сразу обратить внимание на самые опасные бреши.
Рисунок 8. Перечни выявленных уязвимостей в результатах задачи «Сканера-ВС 7»
Карточки активов теперь также обогащены, и во вкладке «Уязвимое ПО» присутствуют списки выявленных уязвимостей. В карточке каждой бреши можно найти следующую информацию:
- описание уязвимости;
- идентификаторы CVE / BDU и др.;
- балл по CVSS2 / CVSS3 / CVSS4;
- вектор CVSS c описанием компонентов;
- оценка эксплуатируемости по EPSS;
- версия уязвимого программного обеспечения;
- рекомендации по устранению уязвимости в текстовом виде и в виде ссылок;
- сработавшая конфигурация из базы уязвимостей;
- ссылка на эксплойт или запись в каталоге KEV.
Рисунок 9. Карточка уязвимости в «Сканере-ВС 7»
В результате проведен анализ уязвимостей для обнаруженных сетевых сервисов. «Сканер-ВС» версии 7 позволяет провести анализ уязвимостей для всего установленного на узле программного обеспечения, но для этого необходимо провести инвентаризацию с учетной записью. Поддерживаются различные варианты аутентификации, включая использование сертификатов.
Проведем инвентаризацию программного обеспечения на одном из хостов. Для этого необходимо настроить учетную запись с соответствующими правами.
Рисунок 10. Подключение к активу по SSH в «Сканере-ВС 7»
Путём инвентаризации можно получить информацию об установленном программном и аппаратном обеспечении, журнал подключения к беспроводным сетям и USB-устройств, а также информацию о пользователях сканируемой системы.
Рисунок 11. Проведение инвентаризации в «Сканере-ВС 7»
Теперь проведем поиск уязвимостей и в локальном программном обеспечении.
Рисунок 12. Список установленного на активе программного обеспечения в «Сканере-ВС 7»
После проведения поиска уязвимостей во вкладке «Конфигурация» карточки уязвимости мы видим, что в ходе поиска уже использовалась база уязвимостей вендора.
Рисунок 13. Обнаруженная уязвимость в Bash
В последних версиях Windows «Сканер-ВС» версии 7 определяет перечень установленных обновлений системы, которые влияют на детектирование уязвимостей.
Рисунок 14. Установленные обновления Windows в «Сканере-ВС 7»
Рисунок 15. Уязвимый софт в Windows
«Сканер-ВС» версии 7 позволяет выявлять факты использования слабых паролей. Для подбора паролей можно использовать как встроенные словари, так и пользовательские.
Рисунок 16. Использование встроенных словарей для подбора паролей в «Сканере-ВС 7»
Рисунок 17. Подобранный пароль в «Сканере-ВС 7»
В «Сканере-ВС» версии 7 полностью переработан механизм аудита конфигураций, причем в редакции Enterprise есть возможность не только использовать готовые шаблоны, но и создавать их самостоятельно.
Проведем аудит конфигурации установленной операционной системы Ubuntu 18.04 на предмет соответствия лучшим практикам обеспечения безопасности. Для этого создается отдельная задача. Необходимо отдельно отметить, что расширенный набор шаблонов проверок конфигурации доступен для редакции Enterprise, в редакции Base есть шаблоны только для Windows 11 и Astra Linux 1.8.
Рисунок 18. Создание задачи на проверку конфигурации в «Сканере-ВС 7»
Рисунок 19. Результаты аудита конфигурации в «Сканере-ВС 7»
Рисунок 20. Правило аудита конфигурации в «Сканере-ВС 7»
В редакции Enterprise пользователям предоставляется возможность регистрировать свои уязвимости самостоятельно при помощи удобного конструктора, задавать им уровень критической значимости, а также прикреплять пользовательскую уязвимость к уже существующим при помощи функции «Связанные уязвимости».
Рисунок 21. Конструктор пользовательских записей об уязвимостях в «Сканере-ВС 7»
«Сканер-ВС» версии 7 позволяет формировать краткий и полный отчеты о выявленных уязвимостях. Краткий отчет позволяет увидеть, какие уязвимости присутствуют сразу на нескольких узлах, а полный включает все карточки уязвимостей для каждого актива по заданным критериям формирования отчета (перечень активов, уровни критической значимости).
Также данные таблиц могут быть экспортированы в CSV-формате. Для задач инвентаризации, поиска уязвимостей и аудита доступен каскадный экспорт данных.
Обновление баз уязвимостей в «Сканере-ВС» возможно проводить как автоматически — из интернета, — так и вручную с использованием внешних носителей. Для этого пользователям доступен интернет-ресурс, с которого можно скачать файл с обновлениями. Обновления базы уязвимостей выпускаются ежедневно.
Пользователь «Сканера-ВС» версии 7 может в любой момент изучить актуальную базу уязвимостей.
Рисунок 22. База уязвимостей в «Сканере-ВС 7»
Выводы
«Сканер-ВС» версии 7 предназначен для поиска уязвимостей в программном обеспечении и выявления ошибок конфигурации. Благодаря выбранному производителем подходу к определению уязвимостей время на эту процедуру сокращается до минимума, а охват увеличивается до максимума. «Сканер-ВС» версии 7 предъявляет минимальные требования к аппаратному обеспечению и поддерживает широкий спектр сред функционирования.
Из расширенных функциональных возможностей, доступных в редакции Enterprise, можно выделить возможность проверок по созданной пользовательской базе уязвимостей, а также проверку конфигураций активов по разработанным пользователем шаблонам.
Достоинства:
- Простая установка, минимальные требования к аппаратным ресурсам.
- Широкий спектр поддерживаемых ОС в качестве сред функционирования.
- Лицензирование по количеству активов в базе без привязки к конкретным IP-адресам.
- Ежедневное обновление базы уязвимостей.
- Большая скорость поиска уязвимостей.
- Поиск ошибок конфигурации в ОС, сетевом оборудовании, СЗИ как с помощью встроенных, так и пользовательских шаблонов.
- Входит в реестр российского ПО.
Недостатки:
- Наличие ложноположительных срабатываний.
- Отсутствие сертификата ФСТЭК России (на момент публикации обзора запущена процедура внесения изменений в действующий сертификат).
- Отсутствие круглосуточной поддержки от вендора.
