Поиск уязвимостей
Задача «Поиск уязвимостей» — это ключевой этап анализа защищенности. Она сопоставляет информацию, собранную об активах (версии ПО, ОС, обновления), с актуальными базами данных уязвимостей.
Для получения наиболее точных результатов рекомендуется запускать эту задачу для активов, которые предварительно прошли Инвентаризацию.
Настройка задачи
- Название задачи: Задайте понятное имя, например, «Еженедельный поиск уязвимостей».
- Выбор активов: Выберите из списка активы, для которых будет проводиться проверка.
Опции сканирования (Фильтры)
Опции сканирования позволяют гибко управлять источниками данных об уязвимостях и логикой их обработки. Правильная комбинация фильтров помогает повысить точность результатов и значительно снизить количество ложных срабатываний.
Принцип работы
По умолчанию (когда не выбрана ни одна из опций сканирования) «Сканер-ВС» использует разные базовые источники для различных ОС:
- Для Linux-систем: поиск ведется по базе данных вендора ОС (например, репозитории безопасности Debian, Ubuntu, Red Hat, Astra Linux).
- Для Windows-систем: поиск ведется по базе данных NIST NVD.
Выбранные вами опции модифицируют этот базовый процесс, добавляя новые источники или изменяя правила обработки результатов.
Описание опций
| Опция | Влияние на Linux | Влияние на Windows |
|---|---|---|
| Использовать NIST NVD | Добавляет NVD в качестве источника. Поиск ведется по базе вендора и по NVD. | Не влияет на результат (NVD используется по умолчанию). |
| Использовать БДУ ФСТЭК | Поиск ведется только по базам БДУ ФСТЭК. Остальные источники игнорируются. | Поиск ведется только по базам БДУ ФСТЭК. |
| Использовать базу Astra Linux | Поиск ведется только по базе Astra Linux. | Приводит к ошибке при запуске задачи. |
| Использовать пользовательскую базу | Добавляет уязвимости из вашей пользовательской базы к общему результату. | Добавляет уязвимости из вашей пользовательской базы к общему результату. |
| Строгое соответствие версии ПО в NIST NVD | Не влияет на результат (приоритет у данных вендора). | Крайне рекомендуемая опция. Исключает уязвимости, где в NVD не указана конкретная версия ПО, что значительно снижает число ложных срабатываний. |
| Приоритет данных от вендора ОС | Ключевая опция для точности. При наличии уязвимости и в NVD, и в базе вендора, учитывается только запись вендора. Работает только вместе с опцией «Использовать NIST NVD». | Не влияет на результат. |
| Скрывать неизученные уязвимости | Исключает из результатов уязвимости без детальных параметров (например, CVSS). | Исключает из результатов уязвимости без детальных параметров. |
Рекомендуемые сценарии использования
| Сценарий | Цель | Рекомендуемые опции |
|---|---|---|
| Базовая проверка (по умолчанию) | Быстрый старт для смешанной инфраструктуры. | Оставить все опции выключенными. |
| Максимальная точность для Linux | Минимизировать ложные срабатывания на серверах Debian, Ubuntu, Red Hat и др. | Использовать NIST NVD + Приоритет данных от вендора ОС + Строгое соответствие... |
| Максимальная точность для Windows | Минимизировать ложные срабатывания на Windows-системах. | Строгое соответствие версии ПО в NIST NVD |
| Максимальный охват | Найти все потенциальные уязвимости, даже с риском ложных срабатываний. | Использовать NIST NVD + БДУ ФСТЭК |
| Аудит систем Astra Linux | Сканирование активов под управлением Astra Linux. | Использовать базу Astra Linux |
- БДУ ФСТЭК: при выборе этой опции все остальные источники данных (кроме пользовательской базы) будут проигнорированы.
- Приоритет вендора: опция
Приоритет данных от вендора ОСработает только при одновременном включенииИспользовать NIST NVD. - Astra Linux и Windows: не применяйте опцию
Использовать базу Astra Linuxк активам Windows, это приведет к ошибке.