Компания Amazon анонсировала Inspector — новый сервис автоматизированной оценки веб-приложений, способный, как она надеется, оправдать чаяния многих борцов за безопасность и соблюдение отраслевых стандартов.

Inspector сканирует использующие Amazon Web Services приложения, отслеживая нарушения по двум фронтам: выполнение требований конкретных стандартов, таких как PCI-DSS, и качество кода, который может содержать уязвимости, привнесенные на этапе разработки.

В своей блог-записи главный технолог компании Джефф Барр (Jeff Barr) поясняет, что агент Inspector запускается для каждого экземпляра Amazon EC2, который приложение использует в качестве хоста. Он мониторит сеть, файловую систему, процессы и фиксирует надежность соединения с AWS-сервисами и другими узлами. «Эта информация позволяет Inspector составить полную картину приложения и потенциальных проблем с безопасностью и нормативным соответствием», — пишет Барр.

Все собранные данные Inspector анализирует, руководствуясь прописанным в коде набором правил, позволяющих, к примеру, оценить совместимость с PCI 3.0. Другие возможности, включенные в первую версию «Инспектора», включают проверку на наличие CVE-уязвимостей и на соответствие передовым методам обеспечения безопасности сетей, операционных систем, приложений и аутентификации.

«Полагаю, они таким образом решили большую проблему, — комментирует Иеремия Гроссман (Jeremiah Grossman), основатель компании WhiteHat Security. — Многочисленные пользователи AWS могут испытывать затруднения при использовании облака из-за того, что их продукт не соответствует стандарту вроде PCI или плохо пропатчен. Inspector предлагает им готовые правила и сканер, позволяющие удостовериться, что настройки AMI-образа обеспечивают защищенность и адекватную совместимость, или узнать об уязвимости, которую нужно закрыть».

Запуск Inspector может вызвать нездоровое оживление на рынке сканеров сетей и уровня инфраструктуры, однако для пользователей, которым нужна лишь быстрая и простая проверка на безопасность и нормативную совместимость, он, наверное, станет желанной новинкой.

«Пока представлена лишь общая информация, однако инструмент очень интересен, — отметил Рич Могулл (Rich Mogull), учредитель консалтинговой компании Securosis. — Он сочетает оценку уязвимости облачной платформы с оценкой уязвимости на уровне узла и сопоставляет результаты. Таким образом, он конкурирует с решениями для оценки уязвимости на уровне хоста и с некоторыми новейшими инструментами этого профиля для облака, по крайней мере для AWS».

Тем не менее Inspector, похоже, имеет недоработки. Так, в своем комментарии Гроссман указал на одно упущение: новый инструмент оперирует лишь идентификаторами CVE. «В документации я не нашел ни слова об XSS или SQL-инъекциях, там речь идет только о CVE, — сетует эксперт. — Судя по опубликованным скриншотам, фиксируются лишь те уязвимости, для которых есть патчи, например, от Microsoft, и не более того».

Несмотря на это, Inspector способен решить множество проблем с безопасностью, в особенности в крупных компаниях, для которых простейшие процедуры вроде патчинга и управления уязвимостями могут оказаться серьезным вызовом.

«Если используется один AMI, поддерживать совместимость достаточно просто, — резюмирует Гроссман. — Если их сотни или тысячи, задача неизмеримо усложняется. Клиента прежде всего интересуют передовые технологии. Он должен быть уверен, что сканер прост в обращении, работает быстро и способен определить, что AMI-образ не соответствует требованиям по таким-то и таким-то причинам и что исправить ситуацию можно, установив такие-то и такие-то патчи. Полагаю, на настоящий момент это самое дешевое решение».

Категории: Кибероборона, Уязвимости