😧 😻 🛁 それを読んで実行してください：自分でネットワークをスキャンしてください 🐜 👩🏼‍🤝‍👨🏾 💔

世界の最近の出来事に照らして、多くの企業が遠隔操作に切り替えました。同時に、ビジネスプロセスの効率を維持するために、企業内Webアプリケーションなど、境界に直接配置することを目的としないアプリケーションがネットワーク境界に配置されました。このトピックについて最近調査が行われました。 ITと情報セキュリティサービスの間に密接な関係がない場合、情報セキュリティサービスに情報がないビジネスアプリケーションがネットワーク境界に出現したときに状況が発生します。

このような問題の解決策は、組織の境界を定期的に調べることです。この問題の解決には、ネットワークスキャナー、IoT検索エンジン、脆弱性スキャナー、セキュリティ分析サービスが適しています。さらにこの記事では、スキャンのタイプとパラメーター、それらの長所と短所、頻繁に使用されるツール、および結果を処理する方法について検討します。

pingスキャン

考慮すべき最初のスキャンはpingスキャンです。主なタスクは、ネットワーク内の「ライブ」ノードを検出することです。pingスキャンとは、ICMPパケットのブロードキャストを指します。スキャナーは、指定されたIPアドレスにEcho REQUESTパケットを送信し、応答としてEchoREPLYパケットを期待します。応答を受信した場合、ホストはネットワーク上の指定されたIPアドレスに存在すると見なされます。

ICMPは、診断のためにネットワーク管理者によって広く使用されているため、ノードに関する情報の開示を回避するには、境界保護を正しく構成することが重要です。ほとんどのセキュリティツールはデフォルトでICMPまたはICMP応答をブロックするため、企業ネットワークの場合、このタイプのスキャンは外部スキャンには関係ありません。企業ネットワークに非標準タスクがない場合、通常、次のタイプのICMPメッセージの終了が許可されます：Destination Unreachable、Echo REQUEST、Bad IPヘッダー、およびEcho REPLY、Destination Unreachable、Source Quench、Time Exceeded、BadIPヘッダーの入力が許可されます。ローカルネットワークにはそのような厳格なセキュリティポリシーがなく、攻撃者はすでにネットワークに侵入しているときにこの方法を使用できますが、これは簡単に検出されます。

ポートスキャン

TCPスキャンとUDPスキャンを一般名（ポートスキャン）で組み合わせてみましょう。これらの方法でスキャンすると、ノードで使用可能なポートが決定され、取得されたデータに基づいて、使用されているオペレーティングシステムのタイプ、またはターゲットノードで実行されている特定のアプリケーションが想定されます。ポートスキャンとは、外部ホストに接続するためのテスト試行を指します。自動ネットワークスキャナーに実装されている主な方法を考えてみましょう。

TCP SYN、
TCP CONNECT、
UDPスキャン。

TCP SYN方式が最も一般的で、95％のケースで使用されています。接続が完全に確立されていないため、これはハーフオープンスキャンと呼ばれます。調査中のポートにSYNメッセージが送信され、応答が期待されます。これに基づいて、ポートのステータスが決定されます。 SYN / ACK応答は、ポートがリッスンしている（開いている）ことを示し、RST応答は、ポートがリッスンしていないことを示します。

いくつかの要求の後で応答が受信されない場合、宛先ポートへのネットワークトラフィックは、ファイアウォールによってフィルタリングされます（以下、「ポートはフィルタリングされます」という用語を使用します）。 ICMPメッセージがDestinationUnreachableメッセージと特定のコードおよびフラグとともに返された場合、ポートもフィルター済みとしてマークされます。

TCPCONNECTメソッドはTCPSYNほど一般的ではありませんが、実際にはまだ一般的です。 TCP CONNECTメソッドを実装する場合、ハンドシェイク手順を使用して目的のポートへのTCP接続を確立しようとします。この手順は、接続パラメーターをネゴシエートするためのメッセージ、つまり、ノード間でのSYN、SYN / ACK、ACKサービスメッセージの交換で構成されます。接続はオペレーティングシステムレベルで確立されるため、保護ツールによってブロックされ、イベントログに記録される可能性があります。

UDPスキャンはTCPスキャンよりも遅く、複雑です。ほとんどの自動スキャナーでは、ノードごとに標準パラメーターを使用して65,535個のUDPポートをスキャンするための合計時間が最大18時間かかるため、UDPポートのスキャンの詳細により、忘れられがちです。この時間は、スキャンプロセスを並列化するなど、さまざまな方法で短縮できます。 UDPサービスは、通常攻撃者が関心を持つ多数のインフラストラクチャサービスと通信するため、UDPサービスの検索を検討する必要があります。

UDPサービスDNS（53）、NTP（123）、SNMP（161）、VPN（500、1194、4500）、RDG（3391）は、多くの場合、ネットワーク境界にあります。 echo（7）、discard（9）、chargen（19）、DAYTIME（13）、TFTP（69）、SIP（5060）、NFS（2049）、RPC（111、137-139）などのあまり一般的ではないサービス、761など）、DBMS（1434）。

空のUDPヘッダーが送信され、ポートのステータスが判別されます。宛先ポート到達不能コードを含むICMP宛先到達不能到達可能性エラーが返された場合、これはポートが閉じていることを意味します。その他のICMP到達可能性エラー（宛先ホストに到達できない、宛先プロトコルに到達できない、ネットワークが管理上禁止されている、ホストが管理上禁止されている、通信が管理上禁止されている）は、ポートがフィルタリングされていることを示します。ポートがUDPパケットで応答する場合、ポートは開いています。 UDPとパケット損失の詳細により、要求は数回、通常は3回以上繰り返されます。通常、応答が受信されない場合、トラフィックの原因が明確でないため、ポートステータスは「オープン」または「フィルタリング済み」と判断されます。つまり、保護ツールまたはパケット損失によってトラフィックがブロックされます。

ポートのステータスとUDPポートで実行されているサービス自体を正確に判断するために、特別なペイロードが使用されます。その存在により、調査中のアプリケーションで特定の反応が発生するはずです。

まれなスキャン方法

実際に使用されていない方法：

TCP ACK、
TCP NULL、FIN、Xmas、
レイジースキャン。

ACKスキャン方式の直接の目的は、保護ルールを識別し、フィルタリングされたポートを識別することです。このタイプのスキャンの要求パケットには、ACKフラグのみが設定されています。ポートはACKパケットで到達可能であるため、開いているポートと閉じているポートはRSTパケットを返しますが、ステータスは不明です。特定のコードを含むICMPDestination Unreachableメッセージで応答または応答しないポートは、フィルタリングされたと見なされます。

TCP NULL、FIN、Xmasメソッドは、TCPヘッダーに無効なフラグが含まれるパケットを送信します。 NULLスキャンはビットを設定せず、FINスキャンはTCP FINビットを設定し、XmasスキャンはFIN、PSH、およびURGフラグを設定します。この方法は、RFC 793仕様の機能に基づいており、ポートが閉じられると、RSTを含まない着信セグメントにより、応答としてRSTが送信されます。ポートが開いている場合、応答はありません。 ICMP到達可能エラーは、ポートがフィルタリングされていることを意味します。これらの方法はSYNスキャンよりも秘密であると見なされますが、すべてのシステムがRFC 793に準拠しているわけではないため、精度は低くなります。

レイジースキャンは、ゾンビホストと呼ばれる別のホストを使用してスキャンするため、最もステルスな方法です。この方法は、侵入者がインテリジェンスのために使用します。このスキャンの利点は、ゾンビホストのポートステータスが決定されるため、さまざまなホストを使用して、ホスト間の信頼関係を確立できることです。メソッドの完全な説明は、ここにあります。

脆弱性の特定プロセス

脆弱性とは、攻撃を実装するために使用できる、ノード全体またはその個々のソフトウェアコンポーネントの弱点を意味します。標準的な状況では、脆弱性の存在は、使用されているプログラムコードまたはライブラリのエラー、および構成エラーによって説明されます。

脆弱性はMITRECVEに提出され、詳細はNVDで公開されています。脆弱性には、CVE識別子と全体的なCVSS脆弱性スコアが割り当てられます。これは、脆弱性がエンドシステムにもたらすリスクのレベルを反映しています。脆弱性の評価の詳細については、記事を参照してください。スキャンのタスクは脆弱なソフトウェアを検出することであるため、一元化されたMITRECVEリストは脆弱性スキャナーの参照ポイントです。

構成エラーも脆弱性ですが、そのような脆弱性がMITREデータベースで見つかることはめったにありません。ただし、それらは依然として内部識別子を持つスキャナーのナレッジベースになります。MITER CVEにない他のタイプの脆弱性はスキャナーの知識ベースに分類されるため、スキャン用のツールを選択するときは、開発者の専門知識に注意を払うことが重要です。Vulnerability Scannerはノードをポーリングし、収集した情報を脆弱性データベースまたは既知の脆弱性のリストと比較します。スキャナーが持つ情報が多ければ多いほど、結果はより正確になります。

スキャンパラメータ、スキャンの種類、および脆弱性スキャナーを使用して脆弱性を検出する原理を見てみましょう。

スキャンオプション

1か月以内に、組織の境界は繰り返し変化する可能性があります。額の周囲のスキャンを実行すると、結果が無関係になる時間を無駄にする可能性があります。スキャン速度が大幅に向上すると、サービスが「ドロップ」する可能性があります。バランスを見つけて、適切なスキャンパラメータを選択する必要があります。費やした時間、結果の正確性と関連性は、選択によって異なります。合計65,535個のTCPポートと同じ数のUDPポートをスキャンできます。私たちの経験では、スキャンプールに分類される企業の平均統計境界は、マスクが24の2つの完全なCクラスネットワークです。

基本パラメータ：

ポートの数、
スキャン深度、
スキャン速度、
脆弱性を判断するためのパラメータ。

ポートの数によって、スキャンは3つのタイプに分けることができます-TCPおよびUDPポートのリスト全体のスキャン、TCPポートおよび一般的なUDPポートのリスト全体のスキャン、一般的なTCPおよびUDPポートのスキャン。ポートの人気を判断する方法は？ nmapユーティリティでは、ユーティリティ開発者が収集した統計に基づいて、最も人気のある1000個のポートが構成ファイルで定義されています。市販のスキャナーにも、最大3500ポートが事前構成されています。

ネットワークが非標準ポートでサービスを使用している場合は、それらもスキャンリストに追加する必要があります。通常のスキャンでは、すべてのTCPポートと一般的なUDPポートをスキャンする中央のオプションを使用することをお勧めします。このオプションは、結果の時間と精度の点で最もバランスが取れています。侵入テストまたは完全なネットワーク境界監査を実行するときは、すべてのTCPおよびUDPポートをスキャンすることをお勧めします。

重要な注意：内部ネットワークからのトラフィックに対するファイアウォールルールがスキャナーに適用されるため、ローカルネットワークからスキャンする場合、境界の実際の画像を表示することはできません。周辺スキャンは、1つ以上の外部サイトから実行する必要があります。異なる国にある場合にのみ、異なるサイトを使用することは理にかなっています。

スキャン深度とは、スキャンターゲットに関して収集されるデータの量を指します。これには、オペレーティングシステム、ソフトウェアバージョン、さまざまなプロトコルに使用される暗号化に関する情報、Webアプリケーションに関する情報が含まれます。同時に、直接的な関係があります。知りたいことが多いほど、スキャナーが動作し、ノードに関する情報を収集する時間が長くなります。

速度を選択するときは、スキャンが行われるチャネルの帯域幅、スキャンされるチャネルの帯域幅、およびスキャナーの機能によってガイドされる必要があります。しきい値がありますが、これを超えると、結果の正確性、スキャンされたノードおよび個々のサービスの操作性の維持が保証されません。スキャンを完了するのにかかる時間を考慮することを忘れないでください。

脆弱性検出オプションは、スキャンオプションの最も広範なセクションであり、スキャンの速度と検出できる脆弱性の量を決定します。たとえば、バナーチェックは長くはかかりません。攻撃のシミュレーションは特定のサービスに対してのみ実行され、時間もかかりません。最も長いビューはWebクロールです。

使用する語彙やチェックする必要のあるアプリケーションエントリポイントの数によっては、数百のWebアプリケーションのフルスキャンに数週間かかる場合があります。 WebモジュールとWebクローラーが実装されているため、Webの脆弱性を機器で検証しても、100％の精度は得られませんが、プロセス全体の速度が大幅に低下する可能性があることを理解することが重要です。

スキャンするアプリケーションを慎重に選択して、通常のスキャンとは別にWebクロールを実行することをお勧めします。詳細な分析には、静的および動的なアプリケーション分析ツールまたは侵入テストサービスを使用します。サービスを中断するリスクがあるため、定期的なスキャンを実行するときに危険なスキャンを使用することはお勧めしません。チェックの詳細については、以下のスキャナーの操作に関するセクションを参照してください。

ツール

サイトのセキュリティログを調べたことがあれば、インターネットが多数の研究者、オンラインサービス、およびボットネットによってスキャンされていることに気付いたと思います。すべてのツールを詳細に説明することは意味がありません。ネットワーク境界とインターネットをスキャンするために使用されるいくつかのスキャナーとサービスをリストします。スキャンツールはそれぞれ異なる目的を果たすため、ツールを選択するときは、そのツールが使用されている理由を理解する必要があります。完全で正確な結果を得るために、複数のスキャナーを使用することが正しい場合があります。

ネットワークスキャナー：Masscan、Zmap、nmap..。実際、ネットワークをスキャンするためのユーティリティは他にもたくさんありますが、境界をスキャンするために他のユーティリティが必要になることはほとんどありません。これらのユーティリティは、ポートとサービスのスキャンに関連するほとんどのタスクを解決します。

Internet of Thingsの検索エンジン、またはオンラインクローラーは、インターネット全般に関する情報を収集するための重要なツールです。これらは、サイトメンバーシップ、証明書、アクティブなサービス、およびその他の情報の要約を提供します。このタイプのスキャナーの開発者に同意して、スキャンリストからリソースを除外したり、企業での使用のみを目的としてリソースに関する情報を保持したりすることができます。最も有名な検索エンジン：初段、Censys、Fofa。

この問題を解決するために、多数のチェックを備えた複雑な商用ツールを使用する必要はありません。いくつかの「軽い」アプリケーションやサービスをスキャンする必要はありません。このような場合、無料のスキャナーで十分です。無料のWebクローラーはたくさんあり、最も効果的なものを選択するのは困難です。ここでは、選択はむしろ好みの問題です。最も有名なもの：Skipfish、Nikto、ZAP、Acunetix、SQLmap。

最小限のスキャンタスクを実行し、「紙」のセキュリティを確保するには、脆弱性に関する知識ベースを常に更新し、ベンダーからのサポートと専門知識を備えた商用スキャナーの予算を立て、FSTEC証明書が適している場合があります。最も有名なもの：XSpider、RedCheck、Scanner-VS。

注意深く手動で分析するには、Burp Suite、Metasploit、OpenVASツールが便利です。GoogleのTsunamiスキャナーが最近リリースされました。

言及する価値のある別の行は、オンライン脆弱性検索エンジンVulnersです。..。これは、多数のソースから脆弱性に関する情報を収集する情報セキュリティコンテンツの大規模なデータベースであり、標準のデータベースに加えて、ベンダーのセキュリティ情報、バグ報奨金プログラム、およびその他のテーマ別リソースが含まれます。このリソースは、結果を取得するためのAPIを提供するため、ここで実際にスキャンしなくても、システムにバナーチェックを実装できます。または、Vulners脆弱性スキャナーを使用します。これは、オペレーティングシステム、インストールされたパッケージに関する情報を収集し、VulnersAPIを介して脆弱性をチェックします。リソースの機能の一部は有料です。

セキュリティ分析ツール

すべての商用セキュリティシステムは、以下で説明する基本的なスキャンモード、SIEMシステム、パッチ管理システム、CMBD、チケットシステムなどのさまざまな外部システムとの統合をサポートしています。商用の脆弱性分析システムは、さまざまな基準に基づいてアラートを送信し、さまざまな形式とタイプのレポートをサポートできます。すべてのシステム開発者は、共通の脆弱性データベースと、調査に基づいて絶えず更新される独自のナレッジベースを使用しています。

商用セキュリティ分析ツールの主な違いは、サポートされている標準、政府機関のライセンス、実行されるチェックの数と品質、および国内ソフトウェアのスキャンのサポートなど、1つまたは別の販売市場への焦点です。この記事は、脆弱性分析システムの定性的な比較を提供することを目的としていません。私たちの意見では、各システムには独自の長所と短所があります。：リストされているツールを使用すると、これらの組み合わせを使用することができ、セキュリティ分析に適しているのQualys、MaxPatrol 8、急速7 InsightVM、Tenable社のSecurityCenterを。

セキュリティ分析システムのしくみ

スキャンモードは、次の3つの同様の原則に従って実装されます。

監査、またはホワイトボックスモード。
コンプライアンス、または技術標準へのコンプライアンスの検証。
ペンテスト、またはブラックボックスモード。

境界スキャンの主な関心は、スキャンされたノードについて何も知らない外部の攻撃者のアクションをシミュレートするため、ブラックボックスモードです。以下は、すべてのモードのクイックリファレンスです。

監査はホワイトボックスモードであり、ネットワークの完全なインベントリを実行し、すべてのソフトウェアを検出し、そのバージョンとパラメータを決定し、これに基づいて、システムの脆弱性について詳細なレベルで結論を導き出し、弱いパスワードの使用についてシステムをチェックできます。スキャンプロセスには、企業ネットワークとのある程度の統合が必要です。特に、ノードを承認するにはアカウントが必要です。

スキャナーである許可されたユーザーが、ノード、そのソフトウェア、および構成パラメーターに関する詳細情報を受け取るのははるかに簡単です。スキャン中、データが収集されるシステムの詳細に応じて、オペレーティングシステムのさまざまなメカニズムとトランスポートがデータの収集に使用されます。トランスポートのリストには、WMI、NetBios、LDAP、SSH、Telnet、Oracle、MS SQL、SAP DIAG、SAP RFC、適切なプロトコルとポートを使用するリモートエンジンが含まれますが、これらに限定されません。

コンプライアンスは、セキュリティ標準、要件、またはポリシーへのコンプライアンスを確認するモードです。このモードは、監査と同様のメカニズムとトランスポートを使用します。このモードの機能は、セキュリティスキャナーに組み込まれている標準に準拠しているかどうか企業システムをチェックする機能です。標準の例としては、支払いシステムと処理用のPCI DSS、ロシアの銀行用のSTO BR IBBS、EU要件に準拠するためのGDPRがあります。もう1つの例は、内部セキュリティポリシーです。これは、標準で指定されている要件よりも高い要件を持つ場合があります。さらに、アップデートのインストールチェックやその他のカスタムチェックがあります。

Pentestは、スキャナーがターゲットアドレスまたはドメイン名以外のデータを持たないブラックボックスモードです。モードで使用されるチェックのタイプを考えてみましょう。

バナーチェック、
攻撃の模倣、
ウェブチェック、
構成の確認、
危険なチェック。

バナーチェックは、スキャナーが使用されているソフトウェアとオペレーティングシステムのバージョンを判別し、内部の脆弱性データベースに対してこれらのバージョンを検証するという事実に基づいています。バナーとバージョンを検索するために、さまざまなソースが使用されますが、その信頼性も異なり、スキャナーの内部ロジックによって考慮されます。ソースには、サービスバナー、ログ、アプリケーションの応答、およびそれらのパラメーターと形式を指定できます。Webサーバーとアプリケーションを分析する場合、エラーページとアクセス拒否ページからの情報がチェックされ、これらのサーバーとアプリケーションの応答、およびその他の考えられる情報源が分析されます。スキャナーは、バナースキャンによって検出された脆弱性を、疑わしい脆弱性または未確認の脆弱性としてマークします。

模擬攻撃は、ホストの脆弱性を悪用する安全な試みです。シミュレートされた攻撃は誤検知の可能性が低く、徹底的にテストされています。スキャナーがスキャンターゲットで脆弱性シグネチャを検出すると、脆弱性が悪用されます。チェックでは、脆弱性を検出するために必要な方法を使用します。たとえば、非定型の要求は、サービスの拒否を引き起こさないアプリケーションに送信され、脆弱性の存在は、脆弱なアプリケーションに典型的な応答によって決定されます。

別の方法：コードの実行を可能にする脆弱性の悪用に成功すると、スキャナーは脆弱なホストからそれ自体に発信PINGまたはDNS要求を送信できます。脆弱性を安全にチェックできるとは限らないことを理解することが重要です。したがって、ペンテストモードでは、チェックが他のスキャンモードよりも遅く表示されることがよくあります。

Webチェックは、検出されたWebアプリケーションが実行できる最も広範囲で時間のかかるタイプのチェックです。最初の段階では、Webアプリケーションのディレクトリがスキャンされ、潜在的な脆弱性がある可能性のあるパラメータとフィールドが検出されます。このようなスキャンの速度は、ディレクトリの検索に使用される辞書とWebアプリケーションのサイズによって異なります。

同じ段階で、CMSのバナーとアプリケーションプラグインが収集され、既知の脆弱性のバナーチェックに使用されます。次の段階は、基本的なWebチェックです。さまざまなタイプのSQLインジェクションの検索、認証およびセッションストレージシステムのエラーの検索、機密データと保護されていない構成の検索、XXEインジェクションのチェック、クロスサイトスクリプト、安全でない逆シリアル化、任意のファイルのロード、リモートコードの実行、パストラバーサル..。リストは、スキャンパラメータとスキャナー機能に応じて広くなる可能性があります。通常、最大パラメーターでは、OWASPトップ10リストに従ってチェックが実行されます。

構成チェックは、ソフトウェア構成エラーの検出を目的としています。デフォルトのパスワードを識別したり、異なるアカウントの短いパスワードセットを使用してパスワードを試したりします。管理認証パネルと制御インターフェース、使用可能なプリンター、弱い暗号化アルゴリズム、アクセス権のエラー、および標準パスに沿った機密情報の開示を明らかにします。ダウンロードバックアップや、ITシステムおよび情報セキュリティシステムの管理者によるその他の同様のエラーに使用できます。

危険なチェックの中には、それらを使用すると、データの整合性または可用性の違反につながる可能性があるものがあります。これには、サービス拒否のチェック、データの削除または変更を行うためのパラメーターを使用したSQLインジェクションオプションが含まれます。アカウントのブロックにつながるブルートフォースの試みに制限のないブルートフォース攻撃。危険なチェックは、起こりうる結果のために使用されることはめったにありませんが、データの安全性を心配しない攻撃者のアクションをエミュレートする手段として、セキュリティスキャナーによってサポートされています。

スキャンと結果

基本的なスキャン方法とツールを確認しました。この知識を実際にどのように使用するかという質問に移りましょう。まず、何をどのようにスキャンするかという質問に答える必要があります。この質問に答えるには、組織に属する外部IPアドレスとドメイン名に関する情報を収集する必要があります。私たちの経験では、スキャンターゲットをインベントリと脆弱性の識別に分ける方が良いでしょう。

インベントリスキャンは、脆弱性スキャンよりもはるかに頻繁に実行できます。インベントリでは、サービス管理者、NATが使用されている場合はサービスの内部IPアドレス、およびサービスの重要性とその目的に関する情報で結果を充実させることをお勧めします。将来的には、情報は、不要または脆弱なサービスの検出に関連するインシデントを迅速に排除するのに役立ちます。理想的には、企業には、ITおよび情報セキュリティサービスが関与する、ネットワーク境界にサービスを配置するためのプロセスとポリシーがあります。

このアプローチを使用しても、人的要因やさまざまな技術的障害によるエラーが発生し、境界に不要なサービスが表示される可能性があります。簡単な例：内部ネットワークから境界にポート443をブロードキャストするチェックポイントネットワークアプライアンスにルールが記述されています。そこにあったサービスは古く、サービスを停止しています。 ITサービスはこれについて知らされていなかったので、ルールは残りました。この場合、境界は、チェックポイントアプライアンスの管理パネルまたはそこでホストされるように計画されていなかった他の内部サービスへの認証で終わる可能性があります。同時に、境界線の画像は正式に変更されておらず、ポートが使用可能です。

このような変化を検出するには、定期的にスキャンして結果の差分比較を適用する必要があります。そうすると、サービスバナーに顕著な変化が生じ、注目を集めてインシデントの分析につながります。

脆弱性の排除

脆弱性除去プロセスを正しく技術的に実装するための最初のステップは、操作する必要のあるスキャン結果を正しく表示することです。複数の異なるスキャナーを使用する場合は、ノードの情報を1か所で分析して組み合わせる方が適切です。このため、在庫に関するすべての情報も保存する分析システムを使用することをお勧めします。

脆弱性を修正する基本的な方法は、アップデートをインストールすることです。別の方法を使用することもできます-境界からサービスを取り出します（セキュリティ更新プログラムをインストールする必要があります）。

代償的な調整手段を適用できます。つまり、脆弱なコンポーネントまたはアプリケーションの使用を除外できます。もう1つのオプションは、IPSやアプリケーションファイアウォールなどの特殊なセキュリティツールを使用することです。もちろん、ネットワーク境界に不要なサービスが表示されないようにする方が正しいですが、さまざまな状況、特にビジネス要件のために、このアプローチが常に可能であるとは限りません。

脆弱性排除の優先順位

脆弱性を修正する優先順位は、組織の内部プロセスによって異なります。ネットワーク境界の脆弱性を排除するために作業するときは、サービスが境界に配置されている理由、サービスを管理しているユーザー、およびサービスを所有しているユーザーを明確に理解することが重要です。まず、会社の重要なビジネス機能を担当するノードの脆弱性を排除できます。当然、そのようなサービスを境界から削除することはできませんが、補償措置または追加のセキュリティ措置を適用することはできます。重要度の低いサービスを使用すると、簡単になります。一時的に境界から削除し、ゆっくりと更新してサービスに戻すことができます。

もう1つの方法は、ノードの脆弱性の重大度または数に応じた除去の優先順位です。ノードがバナースキャンの脆弱性の疑いを10〜40検出した場合、それらがすべてそこに存在するかどうかを確認しても意味がありません。まず、これは、このノードのソフトウェアを更新する時期であるというシグナルです。更新の機会がない場合は、補償措置を講じる必要があります。組織に、更新がない脆弱なソフトウェアコンポーネントが見つかったノードが多数ある場合は、更新（サポート）サイクルにあるソフトウェアへの切り替えを検討するときが来ました。ソフトウェアを更新するには、最初にオペレーティングシステムを更新する必要がある可能性があります。

結果

ネットワーク境界上のサービスおよびサービスに関するすべての情報は、あなただけでなく、インターネットの誰もが取得できます。スキャンしなくても、システムの脆弱性を一定の精度で特定することができます。情報セキュリティインシデントのリスクを軽減するには、ネットワーク境界を監視し、不要なサービスを時間内に非表示または保護し、更新をインストールする必要があります。

プロセスが社内で組織されているか、境界制御またはセキュリティ分析のためのサービスを提供するサードパーティの専門家が関与して組織されているかは関係ありません。最も重要なことは、境界制御と脆弱性の修復を定期的に確実にすることです。

投稿者MaximFedotov、シニアスペシャリスト、オンラインサービス部門、PTエキスパートセキュリティセンター、Positive Technologies

それを読んで実行してください：自分でネットワークをスキャンしてください