Сканер уязвимостей — это компьютерная программа, предназначенная для оценки компьютеров, сетей или приложений на наличие известных уязвимостей. Эти сканеры используются для выявления слабых мест в конкретной системе. Они используются для идентификации и обнаружения уязвимостей, возникающих из-за неправильной настройки или ошибок в программировании сетевых ресурсов, таких как брандмауэр, маршрутизатор, веб-сервер, сервер приложений и т. д.
Современные сканеры уязвимостей позволяют выполнять как аутентифицированное, так и неаутентифицированное сканирование. Современные сканеры обычно доступны в виде SaaS («программное обеспечение как услуга»); они предоставляются через Интернет и работают как веб-приложение. Современные сканеры уязвимостей часто позволяют настраивать отчёты об уязвимостях, а также информацию об установленном программном обеспечении, открытых портах, сертификатах и других данных о хосте, которые можно запрашивать в рамках рабочего процесса.
- Сканирование с проверкой подлинности позволяет сканеру напрямую обращаться к сетевым ресурсам с использованием протоколов удаленного администрирования, таких как secure shell (SSH) или протокол удаленного рабочего стола (RDP), и проходить аутентификацию с использованием предоставленных системных учетных данных. Это позволяет сканеру уязвимостей получать доступ к низкоуровневым данным, таким как конкретные службы и сведения о конфигурации операционной системы хоста. Затем он может предоставить подробную и точную информацию об операционной системе и установленном программном обеспечении, включая проблемы с конфигурацией и отсутствующие исправления безопасности.
- Сканирование без проверки подлинности - это метод, который может привести к большому количеству ложных срабатываний и не может предоставить подробную информацию об активах, операционной системе и установленном программном обеспечении. Этот метод обычно используется субъектами угроз или аналитиками безопасности, пытающимися определить уровень безопасности активов, доступных извне.
Сканеры уязвимостей должны быть способны обнаруживать риски в зависимостях с открытым исходным кодом. Однако, поскольку разработчики обычно повторно объединяют операционные системы, один и тот же код будет отображаться в разных зависимостях, что затем повлияет на производительность и способность сканеров обнаруживать уязвимые операционные системы.
В CIS Critical Security Controls for Effective Cyber Defense непрерывное сканирование уязвимостей определяется как критический контроль для эффективной киберзащиты.
Trivy
Универсальный сканер безопасности с открытым исходным кодом. Trivy — это самый популярный сканер безопасности с открытым исходным кодом, надёжный, быстрый и простой в использовании. Используйте Trivy для поиска уязвимостей и неправильных настроек инфраструктуры как кода, обнаружения SBOM, сканирования облака, рисков для безопасности Kubernetes и многого другого.
О Trivy
Trivy (произношение) — это комплексный и универсальный сканер безопасности. Trivy имеет сканеры, которые ищут проблемы с безопасностью, и цели, на которых он может найти эти проблемы.
Цели (что Trivy может сканировать):
- Изображение контейнера
- Файловая система
- Репозиторий Git (удаленный)
- Образ виртуальной машины
- Kubernetes
- AWS
Сканеры (что Trivy может там найти):
- Используемые пакеты операционной системы и программные зависимости (SBOM)
- Известные уязвимости (CVE)
- Проблемы с IaC и неправильные настройки
- Конфиденциальная информация и секреты
- Лицензии на программное обеспечение
Trivy поддерживает большинство популярных языков программирования, операционных систем и платформ. Полный список приведен на странице Охват сканирования.
Охват сканирования
Trivy может выявлять проблемы с безопасностью на самых разных платформах, языках и в файлах конфигурации. Более подробную информацию о конкретных платформах и языках можно найти в соответствующей документации.
- Пакеты операционной системы
- Языковые пакеты для конкретных пользователей
- Файлы IaC
- Кластеры Kubernetes