Обзор Hscan 2.0.8, отечественного сканера уязвимостей

Обзор Hscan 2.0.8, отечественного сканера уязвимостей


Обзор Hscan 2.0.8, отечественного сканера уязвимостей

Сканер уязвимостей Hscan помогает выявлять уязвимости, классифицировать и отслеживать динамику их устранения, осуществлять поиск угроз на веб-ресурсах, проводить глубокий и расширенный аудит, анализ операционных систем, инвентаризацию сетевых настроек.

Сертификат AM Test Lab

Номер сертификата: 486

Дата выдачи: 28.10.2024

Срок действия: 28.10.2029

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности Hscan
  3. Архитектура и системные требования Hscan
  4. Сценарии использования Hscan
    1. 4.1. Сводка
    2. 4.2. Активы
    3. 4.3. Уязвимости
    4. 4.4. Задачи
    5. 4.5. Управление системой
  5. Выводы

Введение

В соответствии со статистикой, начиная с 2017 года количество выявляемых уязвимостей непрерывно растёт. В среднем каждый день находят около 80 брешей — и в операционных системах, и в прикладном программном обеспечении. Как следствие, одна из задач офицера ИБ в компании — организовать процесс управления уязвимостями для минимизации возможностей эксплуатировать их с целью взлома.

 

Рисунок 1. Статистика по количеству уязвимостей за 2009–2023 гг.

Статистика по количеству уязвимостей за 2009–2023 гг.

 

В текущем году состоялся эфир AM Live, посвящённый организации процесса управления уязвимостями, дайджест которого можно прочитать здесь. Во время дискуссии проводился опрос зрителей относительно некоторых аспектов, касающихся выбора средств сканирования инфраструктуры на наличие уязвимостей. В соответствии с результатами, лишь 12 % респондентов не используют сканеров уязвимостей в своих организациях. Кроме того, по сравнению с 2023 годом увеличилась доля тех, кто применяет полноценные решения класса Vulnerability Management (VM), а не полумеры.

 

Рисунок 2. Результат опроса об использовании средств выявления уязвимостей

Результат опроса об использовании средств выявления уязвимостей

 

Три четверти опрошенных сообщили, что готовы улучшать процесс управления уязвимостями или внедрять систему класса Vulnerability Management.

 

Рисунок 3. Результат опроса респондентов о готовности к изменениям в VM

Результат опроса респондентов о готовности к изменениям в VM

 

В 2024 году на отечественный рынок вышел российский сканер уязвимостей Hscan, сочетающий в себе элементы систем класса Vulnerability Management. Он является предметом сегодняшнего обзора.

Функциональные возможности Hscan

Производитель называет HScan системой управления уязвимостями программного обеспечения активов и площадями атак. Основной целью инструмента является выявление небезопасных хостов и программного обеспечения, расположенного на них, а также поиск уязвимостей и опасных настроек контроллеров домена, которые могут быть использованы при кибератаках на предприятие. 

Управление активами

С точки зрения построения процессов ИТ и ИБ знания об активах являются одними из важнейших. Без этих знаний нельзя обеспечить ни безопасность, ни управляемость. 

В Hscan для управления активами выделен отдельный функциональный блок. В нём можно сгруппировать активы по определённому администратором алгоритму, просматривать общую и детальную информацию об активах и уязвимостях на них. 

Управление сканированиями

Модуль сканирования является одним из основных в системе. Он отвечает за поиск хостов и проведение их сканирования.

Сканирование производится двумя способами. Первый — проверка открытых портов и выявление используемого программного обеспечения, второй — сканирование с учётной записью и авторизацией инструмента на хостах с целью сбора сведений об используемой системе. В последнем случае используется учётная запись WinRM (с использованием пароля или NTLM-хеша) либо SSH (без пароля, с паролем или с публичным ключом с опцией повышения привилегий).

 

Рисунок 4. Методы обнаружения хостов в Hscan

Методы обнаружения хостов в Hscan

 

Основные функциональные возможности модуля сканирования — обнаружение активов, запущенных сетевых служб и приложений, SMB- и веб-ресурсов, сканирование, оценка и приоритизация уязвимостей. Также инструмент позволяет проводить тестирование безопасности IoT, OT и SCADA.

При анализе веб-ресурсов выводится информация об их топологии и поддоменах.

Модуль отчётов

Выгрузка отчётов возможна со страниц активов и управления уязвимостями либо непосредственно из задач сканирования. Отчёты выгружаются в форматах HTML и CSV. В системе отсутствует нативная возможность отправки отчётов о результатах сканирования или уведомлений о статусах задач по электронной почте, однако можно настроить выгрузку по API для реализации этой функциональности.

Архитектура и системные требования Hscan

Hscan представляет собой серверную систему, осуществляющую опрос хостов путём сетевого сканирования и анализа с использованием учётных записей. Поиск угроз на хостах производится без использования клиентов. Сканер поставляется в локальном (on-premise) исполнении. 

На сервере должна быть установлена Ubuntu версии 22.04 и выше. Системные требования к серверу зависят от количества сканируемых IP-адресов и представлены ниже.

 

Таблица 1. Системные требования к серверу Hscan

Количество IP-адресов

ЦП (ядер)

ОЗУ (ГБ)

Диск (ГБ)

До 500 

8

10

120

До 1000 

8

10

120

До 2500

8

12

240

До 5000

8

16

512

До 10000

16

16

1024

До 25000

24

32

1024

До 100000

32

64

2048

 

Лицензирование системы базируется на количестве анализируемых хостов. При этом маппинг и поиск хостов выведены из-под лицензирования. Таким образом, ограничения лицензии не помешают инвентаризации активов по всей сети.

Сценарии использования Hscan

Рассмотрим практические аспекты использования Hscan в процессе управления уязвимостями.

Сводка

На стартовой странице расположена информация о количестве обнаруженных уязвимостей в инфраструктуре компании и их критической значимости, а также другие статистические сведения.

 

Рисунок 5. Стартовая страница Hscan

Стартовая страница Hscan

 

Панель мониторинга (дашборд) является сугубо информационной: нельзя индивидуализировать её, перейти из неё в карточку конкретного актива или получить сведения об уязвимости по нажатию на что-либо.

Среди полезных функций дашборда можно выделить визуализацию динамики уязвимостей на временной шкале.

Активы

Перейдём в раздел для работы с активами. Здесь имеется список обнаруженных активов, распределённых по различным группам, а также дана визуализация по отношению к хостам.

 

Рисунок 6. Список активов в Hscan

Список активов в Hscan

 

Рисунок 7. Топология веб-ресурса в Hscan

Топология веб-ресурса в Hscan

 

Здесь можно создать новые группы либо добавить активы по IP-адресам, в том числе с использованием маски сети, в существующие.

 

Рисунок 8. Добавление актива в Hscan

Добавление актива в Hscan

 

По каждому обнаруженному хосту можно открыть карточку актива, где будут показаны результаты сканирования на уязвимости и информация о ПО на хосте, об используемых SSL-сертификатах, общих SMB-ресурсах.

 

Рисунок 9. Информация об уязвимостях актива в Hscan

Информация об уязвимостях актива в Hscan

 

Уязвимости

В разделе для управления уязвимостями содержится информация обо всех обнаруженных в инфраструктуре угрозах. Реализована система фильтрации, позволяющая выводить уязвимости в зависимости от даты обнаружения, скорингового балла, статуса, актива и программного обеспечения, а также других параметров.

Необходимо отметить, что сканер находит не только бреши в прикладном и системном ПО, но и уязвимые элементы инфраструктуры, такие как резервные копии на опубликованных ресурсах, отсутствие политик аутентификации, поддержка устаревших протоколов и др.

В этом разделе можно проставить признак ложного срабатывания для выявленной уязвимости. При последующих сканированиях уязвимость с подобным признаком не будет выводиться администратору системы, а также добавляться в выгружаемые отчёты. Кроме того, в системе есть возможность установки отметок для отслеживания устранения актуальных угроз.

 

Рисунок 10. Список уязвимостей в Hscan

Список уязвимостей в Hscan

 

Нажатие на любую из угроз позволяет увидеть подробную информацию о ней и возможных последствиях её реализации, а также практические рекомендации по устранению уязвимостей.

 

Рисунок 11. Карточка угрозы в Hscan

Карточка угрозы в Hscan

 

При анализе выявленных уязвимостей есть возможность переключения языка описания угрозы с русского на английский, что может пригодиться при поиске дополнительной информации.

 

Рисунок 12. Карточка угрозы в Hscan

Карточка угрозы в Hscan

 

Задачи

Этот раздел предназначен для постановки задач по изучению инфраструктуры и поиску уязвимостей на выявленных активах. 

 

Рисунок 13. Перечень задач в Hscan

Перечень задач в Hscan

 

Среди задач, которые можно назначать по отношению к активам, необходимо отметить поиск веб-уязвимостей и аудит контроллера домена. Подобные функциональные возможности встречаются не у всех отечественных сканеров уязвимостей.

При проведении аудита контроллера домена запускается более 50 скриптов проверки и проводится анализ таких параметров, как наличие LAPS, минимальная длина пароля, отключение опции «бессрочный пароль» и др.

 

Рисунок 14. Задача на проведение аудита DC в Hscan

Задача на проведение аудита DC в Hscan

 

Рисунок 15. Задача на проведение веб-поиска в Hscan

Задача на проведение веб-поиска в Hscan

 

В задаче можно включить периодическое сканирование и оперативно контролировать появление новых проблем на критически важных активах.

 

Рисунок 16. Настройка периодического сканирования в Hscan

Настройка периодического сканирования в Hscan

 

Кроме того, можно запускать единую задачу по разным группам активов.

 

Рисунок 17. Создание задачи на разных группах активов в Hscan

Создание задачи на разных группах активов в Hscan

 

Результаты выполнения задач протоколируются в этом же разделе. Можно увидеть и прогресс по текущей задаче.

 

Рисунок 18. Результат выполнения задач в Hscan

Результат выполнения задач в Hscan

 

В любой задаче есть отчёт по каждому проведённому сканированию.

 

Рисунок 19. Результат выполнения сканирования в Hscan

Результат выполнения сканирования в Hscan

 

Управление системой 

Рассмотрим сопутствующие возможности Hscan.

Безопасность системы

В связи с высокой критической значимостью информации, которая содержится в системе, у пользователя есть возможность подключить многофакторную аутентификацию с использованием таких решений, как Google Authenticator, «Яндекс.Ключ» и др. При этом администратор Hscan видит, у кого из пользователей подключена многофакторная аутентификация, а у кого — нет, контролируя таким образом защиту системы от использования скомпрометированных учётных записей.

 

Рисунок 20. Просмотр списка пользователей в Hscan

Просмотр списка пользователей в Hscan

 

Пользователи вносятся в Hscan вручную, с присвоением пароля и указанием ролей и назначений в системе. При этом сканер уязвимостей не интегрируется с AD и не позволяет проставить признак необходимости смены пароля при первом входе. 

Hscan обладает гибкой ролевой моделью с 18 разновидностями доступа, что уменьшает вероятность компрометации системы и данных.

 

Рисунок 21. Настройка ролевой модели в Hscan

Настройка ролевой модели в Hscan

 

Документация и техническая поддержка

В нижней части экрана есть кнопка для обращения в техническую поддержку, переадресовывающая в телеграм-чат, где можно задать вопрос. Время работы технической поддержки — с понедельника по пятницу с 10 до 18 часов по московскому времени. Также в техническую поддержку можно обратиться через электронную почту. В планах вендора — запуск портала для упрощения процесса оказания поддержки пользователям.

Возможности интеграции

Интеграция реализована за счёт API.

 

Рисунок 22. Описание API для взаимодействия с другими системами

Описание API для взаимодействия с другими системами

 

Выводы

Hscan представляет собой перспективный продукт, обладающий дружественным интерфейсом и предоставляющий широкие возможности по поиску уязвимостей как внутри инфраструктуры компании, так и за её пределами — на опубликованных веб-ресурсах.

Достоинства:

  • Сканирование веб-ресурсов.
  • Аудит безопасности контроллера домена.
  • Многофакторная аутентификация.
  • Большое количество типов сканирования инфраструктуры.
  • Гибкая ролевая модель.

Недостатки:

  •   Отсутствие встроенной доменной аутентификации.
  •   Отсутствие справочной информации в продукте.
  •   Отсутствие в реестре отечественного ПО.
  •   Нередактируемый и неинтерактивный дашборд.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.