Встречайте Rapid7 Scan Assistant — сканирование сети без пароля

Rapid7 Scan Assistant — это облегченный сервис в InsightVM Network Scan Engine, который может сканировать цели без необходимости предоставления учетных данных.

Подводные камни и риски классического сканирования сети

Учетные данные на основе паролей — неотъемлемая часть нашей онлайн-жизни, но они подвержены уязвимостям. Борьба с этими уязвимостями была серьезным препятствием для профессионалов в области безопасности и обходилась бизнесу дорого. Мы заново изобретаем процесс аутентификации для нашего механизма сетевого сканирования с выпуском Scan Assistant — более безопасного способа сканирования ресурсов.

Пароли как средство защиты компьютерных систем существуют уже 60 лет. Каждая операционная система, веб-сайт и соединение Wi-Fi используют пароли как средство ограничения доступа.

К сожалению, это также оказалось благодатной почвой для злоумышленников, желающих получить несанкционированный доступ к данным и компьютерным системам. Отчасти из-за популярности и потенциальной слабости паролей, компании тратят огромное количество времени и денег на создание надежных программ безопасности для защиты своей интеллектуальной собственности.

В рамках любой хорошей программы ИТ безопасности компании регулярно сканируют свои сети, чтобы определить, где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей, сканер должен иметь возможность аутентифицироваться для этих целей. Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем, который включает в себя:

1. Повышенный риск безопасности: хранение учетных данных в приложении немедленно делает это приложение потенциальным вектором атаки. Если приложение скомпрометировано или неправильно настроено, злоумышленник может получить доступ к исчерпывающему списку учетных данных, что даст ему возможность взломать сеть клиента.
2. Управление учетными данными: хранение учетных данных в приложении создает дополнительные операционные проблемы с управлением учетных данных. Каждый раз, когда учетные данные изменяются на целевом объекте или наборе целевых объектов, учетные данные должны быть обновлены в приложении. Это приводит к тому, что администраторам приходится управлять одним и тем же набором данных в нескольких системах, что может быть обременительным и содержать ошибки. Использование централизованного хранилища учетных данных может помочь смягчить эту проблему, но не все организации могут развернуть такую ​​службу для каждой цели в своей среде.
3. Ограниченный доступ: для того, чтобы сетевой сканер мог точно оценивать и сообщать о риске для набора целей, сканер должен уметь собирать достаточную информацию. Таким образом, предоставленные учетные данные должны иметь широкий диапазон связанных с ними разрешений, в идеале уровня root или администратора, чтобы сетевой сканер мог выполнять полный сбор данных. На практике многие организации либо не знают об этом требовании, либо не решаются его сделать. Это может привести к сбору неполной информации, что приведет к появлению отчетов, которые не полностью отражают уязвимости целей.

Представляем Rapid7 Scan Assistant — беспарольное сканирование сети

Команда инженеров Rapid7 провела много времени, обсуждая, исследуя и обдумывая решения проблем, связанных с предоставлением учетных данных для выполнения сканирования сети. Команда решила, что идеальным решением для клиентов было полное устранение необходимости в учетных данных. Это привело к разработке сервиса Scan Assistant.

Scan Assistant — это облегченный сервис, который можно подключить к каждой сканируемой цели. Он разработан специально для работы с InsightVM и Nexpose Network Scan Engine, поэтому может сканировать объекты без необходимости предоставления учетных данных. Когда модуль сетевого сканирования сканирует цель, содержащую Scan Assistant, он собирает всю необходимую информацию для полной оценки данной цели.

Scan Assistant поддерживает сканирование уязвимостей и политик, выполняемых модулем сетевого сканирования. Обеспечение покрытия для обоих типов сканирования было ключевым требованием для команды. В результате заказчики могут быстро выявлять уязвимости и проверять политики в своей сети без операционной нагрузки, связанной с управлением учетных данных или разрешений. Клиенты будут продолжать получать те же сведения о своей сети, одновременно снижая риск управления учетными данными в продукте.

Как работает Rapid7 Scan Assistant

Модуль сетевого сканирования и Scan Assistant обмениваются данными по зашифрованному каналу с помощью сертификата TLSv1.2. Когда модуль сканирования сканирует цель, есть определенные фрагменты информации, которые ему необходимо собрать от этой цели. Scan Assistant был разработан для предоставления только тех данных, которые необходимы модулю сканирования для полной оценки цели.

Это означает, что Scan Assistant не предоставляет произвольный доступ к файловой системе. Кроме того, все команды отправляемые из модуля сканирования в Scan Assistant, подписываются, это гарантирует, что только модуль сканирования с правильным ключом подписи может запрашивать данные из Scan Assistant.

Почему беспарольное сканирование сети лучше, чем сканирование с учетными данными

Учетные данные администратора предоставляют модулю сканирования больший доступ, чем ему необходимо, и ставят вас под угрозу в случаи компрометации. Scan Assistant предоставляет механизму сканирования только необходимый ему доступ, снижая риск.

Учетные данные root предоставляют модулю сканирования неограниченный доступ для выполнения команд через OpenSSH, что также может представлять опасность. Ограничение команд с помощью sudo или подобных инструментов может быть проблемой. Чтобы решить эту проблему, Scan Assistant требует, чтобы команды были подписаны Rapid7. Это снижает риск и прозрачно ограничивает то, что разрешено запускать Scan Assistant.

Insight Agent в сравнении со Scan Assistant

На первый взгляд может показаться, что Insight Agent и Scan Assistant служат одной и той же цели. Оба они представляют собой небольшие фоновые сервисы, которые развертываются на множестве целей с задачей оценки уязвимости и политики. Однако на этом их сходство заканчивается. Insight Agent и Scan Assistant принципиально различаются с точки зрения вариантов использования, которым они удовлетворяют.

Insight Agent подходит для активов, имеющих подключение к Интернету и способных периодически публиковать данные на платформе. Для таких типов активов, как ноутбуки и рабочие станции, Insight Agent является предпочтительной технологией.

Scan Assistant предназначен для активов и сред, для которых подключение к Интернету либо недоступно, либо сильно ограничено. Сюда могут входить такие активы, как контроллеры домена или серверы баз данных. Любое устройство, которое эффективно закрыто от внешнего мира, не сможет использовать Insight Agent. Эти устройства необходимо просканировать с помощью механизма сетевого сканирования, чтобы оценить их на наличие уязвимостей. В этом случае Scan Assistant может помочь повысить производительность этих сканирований без необходимости хранить учетные данные в продукте.

В конечном итоге вы можете развернуть как Insight Agent, так и Scan Assistant в разных частях вашей сети, чтобы обеспечить быструю, безопасную и всестороннюю оценку уязвимостей.

Запуск Scan Assistant

Scan Assistant в настоящее время находится в раннем доступе и доступен только для операционных систем Windows. Если вас интересует Scan Assistant и вы хотите развернуть его в своей среде, обратитесь к дистрибьютору, компании Softprom.