Rapid7 запустила сервис сканирования сети без пароля

29 ноября 2021 г., 14:39

Компания Rapid7 представила Scan Assistant — беспарольное сканирование сети.

Как отмечается, Rapid7 Scan Assistant — это облегченный сервис в InsightVM Network Scan Engine, который может сканировать цели без необходимости предоставления учетных данных.

Пароли как средство защиты компьютерных систем существуют уже 60 лет. Каждая операционная система, веб-сайт и соединение Wi-Fi используют пароли как средство ограничения доступа.

Отчасти из-за популярности и потенциальной слабости паролей, компании тратят огромное количество времени и денег на создание надежных программ безопасности для защиты своей интеллектуальной собственности.

Компании регулярно сканируют свои сети, чтобы определить, где они уязвимы. Один из самых неудобных нюансов сканирования сети заключается в том, что для полной оценки набора целей, сканер должен иметь возможность аутентифицироваться для этих целей. Предоставление необходимых учетных данных ядру сетевого сканирования сопряжено с рядом проблем, который включает в себя:

Повышенный риск безопасности: хранение учетных данных в приложении немедленно делает это приложение потенциальным вектором атаки. Если приложение скомпрометировано или неправильно настроено, злоумышленник может получить доступ к исчерпывающему списку учетных данных, что даст ему возможность взломать сеть клиента.
Управление учетными данными: хранение учетных данных в приложении создает дополнительные операционные проблемы с управлением учетных данных. Каждый раз, когда учетные данные изменяются на целевом объекте или наборе целевых объектов, учетные данные должны быть обновлены в приложении. Это приводит к тому, что администраторам приходится управлять одним и тем же набором данных в нескольких системах, что может быть обременительным и содержать ошибки. Использование централизованного хранилища учетных данных может помочь смягчить эту проблему, но не все организации могут развернуть такую службу для каждой цели в своей среде.
Ограниченный доступ: для того, чтобы сетевой сканер мог точно оценивать и сообщать о риске для набора целей, сканер должен уметь собирать достаточную информацию. Таким образом, предоставленные учетные данные должны иметь широкий диапазон связанных с ними разрешений, в идеале уровня root или администратора, чтобы сетевой сканер мог выполнять полный сбор данных. На практике многие организации либо не знают об этом требовании, либо не решаются его сделать. Это может привести к сбору неполной информации, что приведет к появлению отчетов, которые не полностью отражают уязвимости целей.

Команда инженеров Rapid7 решила, что идеальным решением для клиентов при сканирование сети было бы полное устранение необходимости в учетных данных.

Scan Assistant разработан специально для работы с InsightVM и Nexpose Network Scan Engine, поэтому может сканировать объекты без необходимости предоставления учетных данных. Когда модуль сетевого сканирования сканирует цель, содержащую Scan Assistant, он собирает всю необходимую информацию для полной оценки данной цели.

Scan Assistant поддерживает сканирование уязвимостей и политик, выполняемых модулем сетевого сканирования. Обеспечение покрытия для обоих типов сканирования было ключевым требованием для команды. В результате заказчики могут быстро выявлять уязвимости и проверять политики в своей сети без операционной нагрузки, связанной с управлением учетных данных или разрешений. Клиенты будут продолжать получать те же сведения о своей сети, одновременно снижая риск управления учетными данными в продукте.

Модуль сетевого сканирования и Scan Assistant обмениваются данными по зашифрованному каналу с помощью сертификата TLSv1.2. Когда модуль сканирования сканирует цель, есть определенные фрагменты информации, которые ему необходимо собрать от этой цели. Scan Assistant был разработан для предоставления только тех данных, которые необходимы модулю сканирования для полной оценки цели.

Это означает, что Scan Assistant не предоставляет произвольный доступ к файловой системе. Кроме того, все команды отправляемые из модуля сканирования в Scan Assistant, подписываются, это гарантирует, что только модуль сканирования с правильным ключом подписи может запрашивать данные из Scan Assistant.