Открыть сервис

CIS-сканер

CIS-сканер — это программное средство автоматизированной оценки безопасности информационных систем, предназначенное для проверки конфигураций операционных систем, сетевых устройств, серверных приложений и облачных сред на соответствие стандартам безопасной настройки, разработанным Центром интернет-безопасности (Center for Internet Security, CIS). Основная функция CIS-сканера заключается в выявлении отклонений от рекомендованных базовых конфигураций (CIS Benchmarks) и формировании отчётов о степени защищённости инфраструктуры.

История и предпосылки создания

Развитие CIS-сканеров связано с ростом числа кибератак, использующих типовые уязвимости конфигураций — слабые пароли, открытые порты, неотключённые службы, некорректные права доступа. В начале 2000-х годов Центр интернет-безопасности (CIS), некоммерческая организация, основанная в 2000 году в США, начал разработку стандартизированных руководств по безопасной настройке (CIS Benchmarks). Первые версии этих руководств охватывали операционные системы Microsoft Windows и Linux, а также основные серверные приложения (веб-серверы, базы данных).

С увеличением числа платформ и облачных сервисов (Amazon Web Services, Microsoft Azure, Google Cloud) возникла потребность в автоматизированной проверке соответствия этим рекомендациям. В 2010-х годах CIS выпустил собственный инструмент — CIS-CAT (CIS Configuration Assessment Tool), который стал первым массовым решением для сканирования. Позднее появились сторонние реализации, в том числе с открытым исходным кодом (например, InSpec, OpenSCAP), а также коммерческие продукты, интегрирующие CIS-сканирование в более широкие системы управления уязвимостями.

Принцип работы

CIS-сканер функционирует на основе заранее определённых правил (контролей), каждое из которых соответствует конкретной рекомендации из CIS Benchmarks. Процесс сканирования включает три основных этапа:

  1. Сбор информации — сканер подключается к целевой системе (локально или удалённо) и собирает данные о текущей конфигурации: версии программного обеспечения, состояние служб, настройки реестра (для Windows), содержимое конфигурационных файлов (для Linux), параметры сетевых интерфейсов, политики паролей и т. д.
  2. Сравнение с эталоном — собранные данные сопоставляются с эталонными значениями, заданными в профиле CIS Benchmark. Для каждого правила определяется статус: «соответствует» (Pass), «не соответствует» (Fail) или «не проверено» (Not Applicable/Not Reviewed).
  3. Формирование отчёта — результаты агрегируются в отчёт, который содержит общий балл соответствия (обычно в процентах), список несоответствий с указанием критичности (высокая, средняя, низкая) и рекомендации по устранению.

Сканирование может проводиться как в режиме аудита (без внесения изменений), так и в режиме автоматического исправления (remediation), когда сканер применяет корректирующие действия — например, отключает небезопасные службы или изменяет права доступа.

Виды CIS-сканеров

По способу распространения и лицензирования CIS-сканеры делятся на несколько категорий:

Официальный инструмент CIS-CAT

CIS-CAT (CIS Configuration Assessment Tool) — проприетарное решение, разрабатываемое и поддерживаемое Центром интернет-безопасности. Доступен в двух версиях:

Решения с открытым исходным кодом

Коммерческие продукты с поддержкой CIS

Многие коммерческие системы управления уязвимостями и конфигурациями (например, Qualys, Tenable Nessus, Rapid7 InsightVM, SolarWinds) включают модули сканирования по стандартам CIS. Они предоставляют интеграцию с другими инструментами безопасности, централизованное управление и расширенную отчётность.

Применение

CIS-сканеры используются в различных контекстах обеспечения информационной безопасности:

Ограничения и критика

Несмотря на широкое распространение, CIS-сканеры имеют ряд недостатков:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →