icon



  • icon



  • icon


icon



  • icon



  • icon


Illustration


Чому поєднання агентного та безагентного сканування формує повну картину ризиків


vicarius

Ваша програма управління вразливостями настільки ефективна, наскільки повну видимість вона забезпечує. Якщо ж ви використовуєте лише один метод сканування в змішаному корпоративному середовищі, частина активів просто залишиться поза його полем зору.

І це не маркетинг. Це структурна особливість самих підходів до сканування.
Агентне сканування забезпечує глибоку та безперервну видимість для кожної системи, де встановлений агент. Безагентне сканування, своєю чергою, дає швидке та широке покриття всіх активів, доступних через мережу або cloud API.

Жоден із підходів не є універсальним. Вони доповнюють один одного, адже кожен має свої «сліпі зони» — і часто саме там знаходяться найбільш критичні ризики.

CISO та фахівці, які оцінюють платформи управління вразливостями, мають насамперед відповісти на ключове питання:
чи забезпечує це рішення видимість всієї поверхні атаки — чи лише тієї її частини, яка вже під контролем?

Як працює кожен підхід

Illustration

Агентне сканування передбачає встановлення програмного забезпечення безпосередньо на кожен хост. Це дає привілейований доступ до конфігураційних файлів, запущених процесів і даних файлової системи.
Безагентні інструменти працюють інакше: вони використовують API хмарних провайдерів, знімки дисків (snapshots) та мережеві протоколи, щоб оцінювати системи «ззовні». Вони не підключаються до хоста і не виконують код всередині нього.
Практичний висновок:безагентні підходи краще відповідають на питання «що може бути атаковано», тоді як агентні — на «що відбувається прямо зараз».
Саме тому агентні рішення ефективні для виявлення загроз та поведінкового аналізу — вони відстежують, що реально відбувається на хості в конкретний момент.

Скоригована картина покриття

Початкове уявлення про цю дискусію зазвичай надто спрощене. Насправді ж дослідження показують більш складну картину покриття для різних типів активів — із урахуванням реальних нюансів.

Illustration

Є два важливі уточнення, які варто прямо виділити з початкової моделі.
По-перше, віддалені пристрої та ноутбуки поза корпоративною мережею (наприклад, у домашніх мережах) повністю невидимі для безагентного сканування. Воно потребує стабільного мережевого з’єднання, тому не підходить для віддалених співробітників, чиї пристрої недоступні зі сторони сканера. Це особливо актуально в реаліях після 2020 року.
По-друге, OT та IoT-пристрої. Безагентне сканування може виявляти IoT-девайси та мережеве обладнання (роутери, свічі), які не мають ОС із підтримкою агентів. Однак глибина аналізу вразливостей для таких пристроїв обмежена.
Такі активи не є повністю «досліджуваними»: вони видимі на рівні мережі, але дані про вразливості менш детальні, ніж для стандартних endpoint’ів. Лише за умови автентифікованого сканування можна отримати рівень деталізації, близький до агентного — але навіть тоді результат залежить від частоти сканування.

Сліпі зони, які стають точкою атаки

Ці прогалини — не теорія.Під час інциденту з Capital One у 2019 році неправильно налаштований AWS WAF відкрив доступ до даних у S3 — і безагентне сканування могло б виявити цю проблему ще до атаки.
У випадку з Uber у 2022 році runtime-телеметрія з агентного сенсора могла б зафіксувати lateral movement всередині інфраструктури.
Патерн очевидний: різні типи атак використовують саме ті прогалини, які залишає організація.

vicarius

Операційна важливість у тому, що вимоги комплаєнсу та аудитів часто штовхають організації обирати лише один підхід, створюючи хибне відчуття повного покриття.
Вимоги SOC 2 та ISO 27001 формально можуть бути виконані за рахунок безагентного сканування на рівні хмари. Але це не означає, що поведінкові загрози в runtime на керованих endpoint’ах дійсно покриті.
Аудит пройдено — але «сліпа зона» нікуди не зникає.

Що насправді означає «комбінований підхід»

Використання двох окремих інструментів і зведення CSV-файлів — це не комбінований підхід.
Це проблема узгодження даних, замаскована під програму безпеки.

Повноцінна мультиметодна архітектура потребує трьох речей, яких більшість point-рішень не забезпечують:

По-перше — єдина ідентифікація активів.
Поєднання двох методів сканування дає ширше покриття і більше даних, особливо в гібридних і віддалених середовищах. Але це працює лише тоді, коли платформа може коректно зіставити актив, знайдений без агента, з тим самим активом, де встановлений агент — без дублювання записів.

IP-адреси змінюються. Імена хостів «дрейфують». Якщо платформа сприймає їх як різні активи, кількість вразливостей штучно зростає, а метрики їх усунення втрачають сенс.

По-друге — єдине уявлення про ризик.
Результати обох підходів мають бути нормалізовані та пріоритезовані разом.
Наприклад, CVSS 9.8, знайдений безагентно в cloud-середовищі, і CVSS 9.8, знайдений агентом на сервері, повинні потрапляти в одну чергу на усунення — з однаковою логікою пріоритезації.

По-третє — чесна звітність про покриття.
Найнебезпечніший наслідок використання лише одного методу — це хибна впевненість.

Платформа, яка показує «12 000 вразливостей під управлінням», але не уточнює, що вона покриває лише 60% активів, — це не інструмент управління ризиками, а джерело ризику.

vicarius

Операційна реальність для змішаних корпоративних середовищ

Для середовищ, що охоплюють on-prem інфраструктуру, cloud-навантаження, OT-мережі та пристрої підрядників (а це більшість компаній сьогодні), комбінований підхід — це не опція.
Це мінімально необхідна архітектура для керованого ризик-менеджменту.

Агентні рішення — доцільний вибір для критичних on-prem систем, де ключовими є безпека та надійність.
Безагентний підхід — більш гнучкий і масштабований для середовищ із різнорідними пристроями.

Практична рекомендація від фахівців виглядає стабільно однаково:
використовуйте безагентне сканування для досягнення повного покриття організації, інвентаризації активів та перевірок конфігурацій і вразливостей у всіх cloud-акаунтах. Після цього — розгортайте агентів на критично важливих системах, де потрібна глибока runtime-видимість.

Це і є цільова архітектура. Питання лише в тому, чи підтримує її ваша платформа нативно — чи змушує збирати її вручну з набору інтеграцій.

Illustration

Чому vRx створений для обох підходів

vRx від Vicarius спроєктований саме під таку архітектуру: агентне та безагентне сканування як нативні можливості єдиної платформи, що працюють на спільний інвентар активів.

Якщо пристрій спочатку виявлено безагентно, а згодом на ньому розгортається агент — дублювання записів не виникає. Дані про вразливості з обох джерел нормалізуються та потрапляють в єдину чергу на обробку — з однаковою логікою оцінки ризику.

Для CISO у змішаному середовищі використання двох окремих інструментів і спроби узгодити їхні результати створюють ті самі проблеми цілісності даних, про які йшлося раніше:
інвентар активів «плаває», дедуплікація не масштабується, а звіти для керівництва виглядають чисто — навіть якщо реальне покриття має прогалини.

Ключове питання — не «агент чи без агента».
Питання в іншому: яка платформа дозволяє отримати обидва підходи нативно — без необхідності підтримувати дві різні моделі даних.

Illustration

Замовити демонстрацію рішення Vicarius

Хочете побачити, як це працює на практиці? Заплануйте демо та дізнайтесь, як скоротити час від виявлення до усунення.

Форма для замовлення демо

Дякуємо, ми отримали ваше повідомлення і звʼяжемось в найближчий час! :)


Can't send form

Please try again later.

ST&T — ваш надійний дистриб'ютор кібербезпеки

cll.tts%40ofni

ST&T — ваш надійний дистриб'ютор кібербезпеки

cll.tts%40ofni