Данная статья применима начиная с:

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и РУСБ.10015-10, РУСБ.10015-17
Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7

Аннотация

Протокол автоматизации содержимого безопасности (SCAP, Security Content Automation Protocol) — это набор стандартов и спецификаций, разработанных для автоматизации управления безопасностью информационных систем. SCAP позволяет организациям оценивать состояние безопасности своих систем, выявлять уязвимости и соответствие политике безопасности. Он включает в себя несколько компонентов, таких как языки для описания уязвимостей (CVE), конфигураций (CIS) и проверок соблюдения политик (XCCDF). Основная цель SCAP — упростить и ускорить процесс оценки и управления рисками, обеспечивая автоматизированные и стандартизированные методы анализа безопасности. SCAP включает в себя язык описания уязвимостей OVAL.

OVAL-описания

Язык уязвимостей и оценки (OVAL, Open Vulnerability and Assessment Language) — это стандартный язык, используемый для описания уязвимостей в системах и программном обеспечении, а также для оценки их наличия. OVAL позволяет автоматически собирать информацию о состоянии безопасности систем и проводить анализ уязвимостей. В качестве файла базы данных уязвимостей в Astra Linux Special Edition используется OVAL-файл в формате xml.

Общий принцип работы сканеров

Обнаружение узлов сети: сканер выявляет доступные по сети устройства и их характеристики.
Сканирование портов: сканер проверяет открытые порты, исследуя сетевые сервисы и протоколы.
Идентификация уязвимостей: сканер ищет уязвимости в конфигурациях устройств, операционных систем и приложений, сопоставляя найденные конфигурации с имеющимися в собственной базе данных.
Генерация отчетов: по итогам сканирования создается отчет с перечнем обнаруженных уязвимостей и отображаются рекомендации по их исправлению.

Сканирование уязвимостей выполняется с использованием файла базы данных уязвимостей, рекомендуемого ФСТЭК России и содержащего сведения об уязвимостях банка данных угроз безопасности информации ФСТЭК России.

Обзор сканеров уязвимости

OpenScap

Набор библиотек с открытым исходным кодом, обеспечивающий более простой способ интеграции линейки стандартов SCAP. Включает в себя инструмент openscap-scanner, доступен в основном репозитории Astra Linux Special Edition.

ScanOVAL

Сканер разработан для ФСТЭК России и работает с БДУ ФСТЭК. При загрузке OVAL-файла проверяется его цифровая подпись.

VulScan

Скрипт для работы с инструментом Nmap, специализированный для работы в качестве сканера уязвимостей. Написан на Lua. Не требует установки из репозитория.

Установка OpenScap

Сканер уязвимостей OpenScap входит в расширенный репозиторий Astra Linux Special Edition начиная с версии 1.7.5

Установка OpenScap:

Работа с OpenScap

Работа с Scanoval. VulScan

Сканирование в образах Docker/Podman

Проверка образов и контейнеров на наличие уязвимостей выполняется автоматически при следующих событиях:

создание образа из Dockerfile или из контейнера;
загрузка образа из архива или потока ввода;
создание файловой системы образа из архива;
скачивание образа из реестра;
запуск или перезапуск контейнера.

Регистрация событий безопасности, связанных с образами и контейнерами Podman и Docker осуществляется подсистемой регистрации событий. Событиям безопасности, связанным с образами и контейнерами Docker, присваиваются метки dockerd_audit. Событиям безопасности, связанным с образами и контейнерами Podman, присваиваются метки podman_audit. Записи в журнале имеют следующий формат:

podman.audit | user ; uid | событие | результат | дополнительная информация

При обнаружении уязвимостей дальнейшее использование образа контейнера запрещено.

Для устранения обнаруженной уязвимости и последующего запуска контейнера без блокировки, необходимо:

Запустить средство контейнеризации в режиме отладки (6 класс защиты).
Запустить контейнер и устранить уязвимость.
Запустить средство контейнеризации с требуемым классом защиты.

Для блокировки запуска контейнера, в образе которого обнаружена уязвимость, применяется глобальный параметр astra-sec-level в конфигурационных файлах средств контейнеризации. В качестве значения параметра задается число от 1 до 6, которое определяет класс защиты:

1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.

В случае если класс защиты не задан или задан не из диапазона 1-6, то при обнаружении уязвимости в контейнере автоматически задается 1 класс защиты с выводом соответствующего сообщения в журнал и запуск контейнера блокируется.

Docker

Для указания класса защиты контейнеров Docker допускается использовать только один из способов.

Установить значение параметра astra-sec-level можно двумя способами:

при запуске процесса:
sudo dockerd --astra-sec-level 4 # значение от 1 до 6
при запуске сервиса:
1. Остановить службу:
  sudo systemctl stop docker
2. В файле /etc/docker/daemon.json добавить поле astra-sec-level:
  sudo cat /etc/docker/daemon.json
  {
  "astra-sec-level" : 3
  }
3. Повторно запустить службу:
  sudo systemctl start docker

Podman

Создать конфигурационный файл /etc/podman.conf, если он не был создан ранее, и указать в нем значение параметра astra-sec-level:

{
"astra-sec-level" : <класс_защиты> # значение от 1 до 6
}

Для просмотра настроек выполнить:

podman astra-config
{
"astra-sec-level": 4,
"oscap-report-dir": "/home/astra/.podman/scanoval/reports",
"oscap-exec": "/usr/bin/oscap",
"oscap-db-xml": "/usr/share/oval/db.xml"
}

Дерево страниц

[ЧЕРНОВИК] Проверка на уязвимости средствами Astra Linux [ЧЕРНОВИК]