Это перевод статьи на форуме поддержки Tenable Understanding Tenable.sc Mitigations.
Если уязвимость обнаружена и исправлена, повторное сканирование хоста с помощью Tenable.sc не вызывает срабатывание плагина, ранее выявившего уязвимость. В зависимости от плагина Tenable.sc может пометить эту уязвимость как устраненную.
Это поверхностное описание. На самом деле процесс проверки устранения уязвимости чуть более сложный. Tenable.sc использует следующие факторы, чтобы определить, устранена ли уязвимость:
- Какой тип сканирования использовался?
- Какие результаты получены?
- Каково текущее состояние плагина в Cumulative View (совокупном виде) Tenable.sc?
- Для локальных проверок — удалось ли сканированию пройти аутентификацию на целевом хосте?
Что нужно, чтобы пометить уязвимость как устраненную
Во-первых, чтобы уязвимость можно было пометить как устраненную, она должна присутствовать в списке Cumulative View. Затем процесс импорта результатов сканирования сравнит уязвимость в целевом репозитории с результатом нового сканирования. Уязвимость будет помечена как устраненная, если:
- IP-адрес уязвимости был в списке целей сканирования.
- Plugin ID был в списке проверяемых плагинов.
- Порт уязвимости должен быть в разделе сканера портов политики сканирования, даже если уязвимость была обнаружена с помощью локальных перечислителей портов.
- Порт уязвимости был в списке просканированных портов.
- Уязвимости с этой комбинацией IP / порта / идентификатора плагина не было в результатах сканирования.
- Процесс импорта также проверит, что аутентификация прошла успешно, прежде чем устранять любые уязвимости на основе локальных проверок, которые соответствуют указанным выше критериям. Примечание. Если исходным результатом плагина была локальная (аутентифицированная) проверка, а проверочное сканирование запущенно без учетных данных, уязвимость не будет помечена как устраненная.
Блок-схема устранения уязвимостей
Сканирование с использованием менее 100 плагинов
Сканирование на Tenable.sc с 100 или менее плагинами в политике будет выполняться по той же схеме, что и выше, с одной дополнительной проверкой. Если хост присутствует в списке на сканирование, но не доступен по сети, любые существующие уязвимости, которые соответствуют остальной части целевого определения (ID плагина, порт и протокол), будут считаться устраненными.
Примером этого может быть сканирование на проверку одного плагина, с целью убедиться, что конкретная уязвимость исправлена на конкретном хосте:
- Если это единственный плагин в скане, он не вернет результат для этого хоста, если уязвимость была исправлена.
- Поскольку невозможно определить, отключен ли хост или уязвимость была фактически устранена, Tenable.sc предполагает, что уязвимость была устранена.
Тщательные тесты (Thorough Tests)
Если уязвимость может быть обнаружена только с помощью Тщательных тестов (Thorough Tests), последующие запуски сканирования, для которых не включены тщательные тесты, приведут к пометке уязвимости как устраненной. Это может привести к тому, что уязвимость будет казаться «колеблющейся» между устранением и повторным выявлением. Чтобы решить эту проблему, убедитесь, что для всех сканирований режим «Тщательные тесты» для заданного хоста либо включен, либо выключен.
Уязвимости, которые никогда не исправляются
Бывают случаи, когда данные об уязвимостях никогда не попадают в базу устраненных уязвимостей:
- Пассивные уязвимости
- DHCP-миграция
Пассивные уязвимости
Пассивные уязвимости относятся к уязвимостям, обнаруженным с помощью следующих модулей:
- Сканирование мобильных устройств (MDM)
- Движок корреляции логов (LCE)
- Nessus Network Monitor (NNM)
Поскольку на основе этих источников невозможно определить, действительно ли уязвимость была устранена, Tenable.sc удаляет все обнаруженные уязвимости на основе срока действия данных, установленного в настройках администрирования.
DHCP-миграция
DHCP-миграция — это ситуация, когда в Tenable.sc включено отслеживание DHCP для задачи сканирования и IP-адрес целевого хоста изменился. Tenable.sc попытается переместить уязвимости со старого IP-адреса на новый IP-адрес. Например, хост A имеет IP-адрес 172.20.0.1, а хост B имеет IP-адрес 172.20.0.2. Для обоих хостов есть данные в базе уязвимостей. Если сканирование обнаруживает, что хост A переместился на 172.20.0.2 и не видит, что хост B мигрировал на новый IP-адрес, Tenable.sc отбрасывает уязвимости, находящиеся в настоящее время на 172.20.0.2, чтобы гарантировать, что они не связаны с хостом А.
Что можно сделать с устраненными уязвимостями?
В отличие от текущих данных по актуальным уязвимостям (раздел Cumulative View), раздел Mitigated View (устраненные уязвимости) имеют меньше возможностей для работы с ними. Однако пользователь может создавать дашборды и отчеты по ним.
