Эффективное сканирование безопасности

Сканирование безопасности — это распространенная процедура, используемая для оценки состояния безопасности системы или приложения. Это сканирование может принимать различные формы: от автоматизированного сканирования, которое проверяет различные правила или условия сбоя, до инструментов, которые проверяют API, предоставляя намеренно случайные или вредоносные входные данные для поиска уязвимостей, а также до активных мер, таких как тестирование на проникновение, проводимое командами профессионалов.

Сканирование безопасности может быть выполнено для определенного приложения, например, созданного с помощью ArcGIS SDK или включенного в качестве встроенного приложения ArcGIS. Кроме того, оно может быть применено ко всей системе, используя множество различных типов и методов сканирования в зависимости от количества систем, которые нужно проверить. Многочисленные проверки безопасности выявляют ряд проблем, варьирующихся по степени серьезности от низкой или информационной до высокой или критической, и основанных на известных уязвимостях или потенциально уязвимых условиях. Оценка того, что является низким или высоким риском, часто очень субъективна и может зависеть от платформы сканирования или поставщика, предоставляющего услуги, или может основываться на внешней оценке рисков, такой как оценка Общей системы оценки уязвимостей (CVSS). В любом случае, первоначальный риск должен быть сопоставлен с возможностью эксплуатации, что связано с доступностью системы, тем, открыто ли затронутое программное обеспечение для запросов пользователей, а также тем, используется ли оно или реализовано так, что делает систему уязвимой к выявленной проблеме.

ArcGIS создан с использованием широкого спектра сторонних библиотек и предоставляет ряд API и конечных точек, разработанных Esri. Обычно сканирования безопасности приводят к выявлению потенциальных проблем, которые организация должна проверить и подтвердить для оценки их потенциала использования и актуальности, прежде чем они будут отправлены в Esri для рассмотрения и принятия мер. Например, при сканировании, обнаружившем уязвимость на административной конечной точке ArcGIS Server, может не учитываться тот факт, что в этой среде административные конечные точки не доступны конечным пользователям (например, путем отключения административного доступа в ArcGIS Web Adaptor), и поэтому обнаружение может считаться ложным срабатыванием, поскольку для этой проблемы нет реальной возможности эксплуатации.

Рекомендации

Примите во внимание следующие важные замечания и рекомендации, связанные со сканированием безопасности:

• Перед запуском автоматического сканирования убедитесь, что ваша система настроена в соответствии с рекомендациями по безопасности от Esri. Это можно сделать с помощью инструмента ArcGIS Security and Privacy Advisor или следуя рекомендациям инструментов serverScan.py и portalScan.py . Более подробную информацию о том, как обеспечить безопасность вашей конфигурации, можно найти в ArcGIS Trust Center.
• Активное тестирование на проникновение (или тестирование на проникновение) ArcGIS Online не разрешено в соответствии с Основным лицензионным соглашением Esri. Свяжитесь с вашей командой по работе с учетными записями Esri для получения дополнительных вопросов о тестировании безопасности в ArcGIS Online.
• Отчеты о сканировании безопасности должны быть сначала проверены командой безопасности вашей организации, чтобы определить, какой уровень серьезности вызывает наибольшее беспокойство, и выяснить, являются ли эти проблемы действительно актуальными или потенциальными ложноположительными результатами, либо же это реально эксплуатируемые уязвимости.
• Многие библиотеки или модули с открытым исходным кодом исправляют проблемы безопасности с помощью патчей или новых версий, но имейте в виду, что ручное обновление внутреннего компонента ArcGIS оставит вашу систему в неподдерживаемом и потенциально нестабильном состоянии. Единственным верным способом устранения подобной проблемы является использование патча или нового релиза программного обеспечения от Esri, который обновляет сторонний компонент или библиотеку. Esri активно отслеживает публично объявленные проблемы и добавляет обновления сторонних компонентов в каждый выпуск, чтобы минимизировать эти риски.

Дополнительные ресурсы, связанные со сканированием безопасности, доступны в документе ArcGIS Vulnerability Scanning Guide в ArcGIS Trust Center (для доступа требуется вход в ArcGIS).