Сканер уязвимостей

Сканер уязвимостей — комплекс программно-аппаратных или только программных решений, используемый в процессе сканирования инфраструктуры данных в режиме реального времени. При его помощи можно определять уязвимости в сетевой защите, БД, ОС, ПО и т. д. Основная цель применения этого решения — выявить и устранить все уязвимости системы, а также получить отчет о проделанной работе.

Используя сканер уязвимостей, администратор может выявлять бреши, которые могут применяться злоумышленниками для проникновения в сетевую инфраструктуру с целью кражи конфиденциальных корпоративных данных. Он также может контролировать запущенные службы, процессы, а также выполнять сканирование всех задействованных (активных) портов.

Функции

Сканер уязвимостей может иметь различные дополнительные функции, но независимо от конкретного решения этого типа, выполняет 4 важных действия:

  1. Поиск различных уязвимостей в сетевой инфраструктуре в режиме онлайн.
  2. Анализ всех задействованных сетевых ресурсов, ОС, используемых периферических устройств, портов.
  3. Анализ работы активных процессов, журналирует действия запущенного ПО, процессов и т. д.
  4. Формирование отчетов для администратора, в которых описываются все найденные уязвимости.

Принцип действия

После запуска сканер уязвимостей выполняет следующие действия:

  1. Собирает данные относительно исследуемой ИТ-инфраструктуры, всех активных процессов, открытых приложений и программ, активных портов, запущенных сценариев, служб и т. д.
  2. Начинает искать потенциальные бреши в системе — проводит сканирование и зондирования, берет за основу косвенные признаки уязвимостей без подтверждения их наличия (например, версии программного обеспечения).
  3. Моделирует разные варианты атак таким образом, чтобы подтвердить или опровергнуть наличие бреши в системе, однако такие функции поддерживают не все сканеры.
  4. Генерирует детализированный отчет о проделанной работе, где содержится информация обо всех найденных уязвимостях.

Сканеры уязвимости могу быть как агрессивными, так и пассивными. Первый вариант подразумевает активное использование найденной бреши для того, чтобы вызвать реальный сбой в работе ИТ-инфраструктуры. Второй вариант просто выполняет сбор данных, после чего не проводит моделирование реальной атаки.