2026 ж. 15 қаң.·7 мин

Шеткі нүктелердегі осалдықтарды сканерлеу: агент пе, желі ме?

Шеткі нүктелердегі осалдықтарды сканерлеу кемшіліктерді уақытында жапуға көмектеседі. Агенттік пен желілік тәсілдерді, кестелерді, ерекшеліктерді және жалған табулармен жұмыс жасауды талқылаймыз.

Шеткі нүктелердегі осалдықтарды сканерлеу: агент пе, желі ме?

Қандай мәселе шешіледі және неге сканерлер жиі жұмысқа кедергі жасайды

Шеткі нүктелердегі осалдықтарды сканерлеу екі практикалық сұраққа жауап беру үшін қажет: нақты қай жерлерде қауіп бар және нені бірінші жою керек. Тұрақты бақылаусыз осалдықтар көрінбей жиналады. Жаңартулардан кейін жаңа проблемалар пайда болады, ескілері патчтар өткізіліп кеткендіктен қалпына келмейді, ал «уақытша» ерекшеліктер уақыт өте тұрақтыға айналады.

Сканерлеу хаотикалық жүргізілген кезде қиындықтар басталады. Бір админ күндіз желіні тексерсе, екінші біреуі жұмыс станцияларында толық профильді қосады, ал сол уақытта бэкаптар мен жаңартулар жүреді. Пайдаланушылардың көзімен бәрі: «бәрі баяу». IT командасы шағымдардан кейін тез қорытынды шығарып: «сканерді өшіріп тастайық» деп ойлауы мүмкін.

Баяулаудың негізгі үш себебі бар:

  • сканер желі бойынша көп қарқынды сұраулар жасайды (әдетте подсеттерді тексергенде);
  • құрылғыларда CPU мен дискке жүктеме өседі (инвентаризация, реестр оқу, нұсқаларды салыстыру, компоненттерді талдау);
  • сканерлеу жаңартулар, антивирус, бэкап немесе жұмыс уақытымен қабаттасады.

Әдетте басшыларға және жүйе иелеріне «миллион табу» емес, түсінікті тізім қажет: критикалық тәуекелдер, әсер еткен құрылғылар, қайсысы патчпен жабылатыны және қай жерге басқа шара керек (баптау, қызметті өшіру, сегментация).

Жекелеген проблема — ұмытылған активтер. Көп жағдайда аптасына бір рет офиске келетін ноутбуктар, корпоративтік желіде жоқ қашықтағы ПК, «бірнеше айға» қойылған тест серверлері және оқу сыныптары немесе медициналық жабдық сияқты бөлек сегменттер түсіп қалады. Нәтижесінде есептілік тыныш көрінуі мүмкін, бірақ қамту тесіктері арқылы шабуыл өтеді.

Агенттік тәсіл: қайда күшті

Агенттік тәсіл — әр құрылғыға шағын компонент орнатуды білдіреді. Ол локалды деректерді жинап, орталық консольге жібереді. Агент желілік тексерде жиі көрінбейтін заттарды көреді: орнатылған бағдарламалардың нұсқалары, патчтар күйі, осал кітапханалар, жергілікті қауіпсіздік баптаулары, кейде іске қосылған сервистердің құрамын. Шеткі нүктелерді сканерлеуде бұл дәлірек сурет береді, әсіресе кейбір құрылғылар офис сыртында болса.

Агент ноутбуктар мен қашықтағы жұмысшыларда ең тиімді. Құрылғы NAT артында, үй желісінде немесе қызметтік сапарда болуы мүмкін, бірақ агент байланыс пайда болғанда тексеріп, есеп береді. Бұл филиалдар үшін де қолайлы: толық желілік скан үшін кең арналар тартудың қажеті жоқ.

Дәлдіктің бағасы — құрылғыға түсетін жүктеме. Агент инвентаризация және талдау сәттерінде CPU мен дискіні едәуір жүктей алады, ал ноутбуктарда батареяның тезірек таусылуына әкелуі мүмкін. Сондықтан алдын ала агенттің не істейтінін, не уақыт бойынша ғана істейтінін шешіп, пайдаланушыға кедергі келтірмейтін режимдерді таңдаңыз.

Көбіне көмектесетін қарапайым ережелер:

  • ауыр тексерістерді жұмыс уақыты емес уақытта немесе құрылғы қуатқа қосылғанда жүргізу;
  • агенттік тапсырмаларға CPU тұтынуды және диск приоритетін шектеу;
  • жиі жеңіл тексеруді (инвентаризация) және сирек терең тексеруді бөлу.

Тағы бір мәселе — құқықтар. Патчтарды және осал компоненттерді көру үшін агентке көбіне көтерілген артықшылықтар керек. Демек орнатуды, тұтастықты және жаңартуларды бақылау қажет. Агентті жаңарту кезіндегі тәсіл корпоративтік ПО жаңартуындегідей болуы керек: шағын топта тест, содан кейін кезең-кезеңмен rollout, және тек содан кейін жаппай енгізу.

Желілік тәсіл: қай кезде сәйкес және қай кезде емес

Желілік скан сырттан жұмыс істейді. Ол IP ауқымдары арқылы өтеді, тірі хосттарды тауып, қандай порттар мен қызметтер ашық екенін тексереді. Құрылғылардың жауаптары бойынша сканер қызмет түрін, нұсқасын және базалық баптауларды анықтай алады (мысалы, TLS-тағы қолдайтын шифрлар). Негізінде ол желідегі кез келген көршінің көретінін көреді.

Шеткі нүктелерге ПО орнатпай-ақ қай сервистер желіде «қолға түсіп тұрғанын», қай жерде артық порттар ашық екенін, қай жерде ескірген протокол қолданылып жатқанын тез анықтауға болады. Инвентаризация мен бастапқы экспозицияны бақылау үшін бұл жиі ең жылдам старт.

Бірақ желілік тәсілдің қатаң шектеулері бар. Ол ішкі көріністі талап ететін сұрақтарға жауап бермейді: қандай жаңартулар нақты орнатылған, қандай кітапханалар дискінің түбінде жатыр, қандай саясат параметрлері қосылған, қандай осал компоненттер тек локалды қолданыста. Тіпті сервис баннері арқылы нұсқаны анықтау сенімді емес: баннерлер жасыруы, ауыстыруы немесе нақты нұсқаны көрсетпеуі мүмкін.

Желілік скан қай кезде сәйкес

Желілік скан шабуыл беттерін тез тексеру және серверлік ролдерді бақылау үшін ыңғайлы:

  • ашық порттар мен күтпеген қызметтерді бақылау;
  • бір сегменттегі серверлер мен желілік жабдықтарды тексеру;
  • ескірген протоколдар мен әлсіз TLS баптауларын іздеу;
  • экспонирленген web-сервистердің бастапқы тексерісі;
  • желідегі өзгерістерден кейінгі тұрақты қайта тексеру.

Қай кезде пайдасы аз және кедергі келтіруі мүмкін

Ноутбуктар, қашықтағы пайдаланушылар және жиі желіден тыс болатын хосттар үшін қамту толық болмайды. Белсенді скан кейде шу тудырады: жергілікті желіде жүктеме өседі, IDS/IPS әрекет етеді, брандмауэр сұрауларды қиып тастауы мүмкін, ал қауіпсіздік құралдары сканерді күдікті белсенділік деп уақытша бұғаттауы ықтимал.

Тәуекелді азайту үшін желі және қауіпсіздікпен алдын ала келісіңіз: сұрау жылдамдығын шектеңіз, сегменттер бойынша сканерлеңіз, төмен жүктемелі терезелер таңдаңыз және тәуелсіз есептік жазбаларды абайлап қолданыңыз. Әйтпесе аутентификация қатесі кезінде аккаунттардың бұғатталуы мүмкін.

Аралас схема: қажет қамту, артық шу жоқ

Көп жағдайда аралас тәсіл ең жақсы нәтиже береді. Агент ішкі көріністі жинаса, желілік скан желідегі нақты қолжетімділікті және конфигурация қателерін тексереді. Осылайша жақсы қамту алуға және шеткі нүктелерді сканерлеуді тұрақты шағым көзіне айналдырмауға болады.

Инфрақұрылымды аймақтарға бөліңіз — олардың тәуекелі мен шектеулері әртүрлі. Офисте пайдаланушыларға кедергі келтірмеу және жергілікті желіні толтырудан сақтану маңызды. Дата-центрде дәлдік пен ашық сервистердің жылдам тексерісі маңызды. Қашықтағы сегменттер мен филиалдарда өткізу қабілеті шектеулі болғандықтан трафикті артық жібермеу маңызды.

Практикалық міндеттерді бөлу мынадай:

  • Агент: орнатылған ПО, кітапханалар нұсқасы, жергілікті баптаулар, жоқ патчтар, желіден көрінбейтін осалдықтар.
  • Желі: қолжетімді порттар мен протоколдар, сервистердегі әлсіз баптаулар, сыртқа ашықтық, сегментация қателері.
  • Қашықтағы сегменттер: агентке басымдық, желілік скан нүктелі және жергілікті (локал) сканер немесе сирек терезелер арқылы.

Дубликаттар мен артық хабарламалар болмас үшін алдын ала ережелер келісіңіз: егер осалдық екеуінен де табылса, қайсысы негізгі есеп болып саналады. Мысалы, «патч жоқ» жағдайда негізгі дерек — агент, ал «офис желісінде қауіпті сервис ашық» болса — желілік скан.

Есептерді бір форматқа келтіріңіз, әйтпесе ҚБ мен IT сандар бойынша келіспеушілікке түседі. Міндетті сәйкестік: бірегей құрылғы идентификаторы, иесі (бөлім), критикалдылығы, жою мерзімі, статус (жаңа, жұмыс барысында, ерекшелік, жалған расталған).

Мысал: офисте агенттер аптав сайын түнде патчтар туралы деректер жинайды, ал желілік скан тек ЦОД сервертері мен негізгі офис VLAN-дары бойынша қысқа терезелерде жүргізіледі. Қамту кең, ал «шу» айтарлықтай азаяды.

Сканерлеу кестелері: жиілік пен қақтығыстарсыз терезелер

Жақсы кесте шеткі нүктелерді сканерлеуді айтарлықтай байқалмайтындай етеді. Нашар кестелеу пайдалы тексерісті шағымға айналдырады: жұмыс станцияларын тежейді, арнаны бітейді, бэкаптарға және жаңартуларға кедергі жасайды.

Жиілікті тәуекелге және құрылғының қаншалықты тез өзгередігіне қарай анықтаңыз. Практикалық нұсқа:

  • критикалық серверлер және периметр (VPN, пошта, веб, DMZ): апталық және елеулі өзгерістерден кейін;
  • қалған серверлер: 2–4 аптада бір рет;
  • кәдімгі ПК мен ноутбуктер: айына бір рет, үлкен жаңартулардан кейін жылдам қайта тексеру;
  • сирек қолданылатын құрылғылар (киоспендер, терминалдар, оқу сыныптары): оқиға бойынша (қосылды, көшірді, образ өзгерді) және тоқсан ішінде бір рет;
  • жаңа активтер: доменге қосылғанда немесе пайдаланушыға берілгенде дереу.

Терезелерді ИБ-ға ыңғайлы ғана емес, ресурстарға бәсекелестік аз жерде таңдаңыз. Офистік ПК үшін түн немесе түскі үзіліс жарайды, серверлер үшін — демалыс күндері немесе қызметтер бойынша бөлек түнгі слоттар. Қашықтағы қызметкерлер болса «ылғалды» терезе (мысалы, 3–5 күн ішінде) қосу арқылы ноутбуктар байланысқа шыққан кезде тексерілу мүмкіндігін беріңіз.

Алдымен сырттан көрінетін және критикалық сегменттерге басымдық беріңіз — бұл алғашқы апталарда әсер береді, тіпті толық қамту кейінге қалса да.

«Патч-сейсенбілерді» және кез келген жаппай өзгерістерді ескеріңіз: ОС, антивирус, образтар, гипервизор жаңартулары. Логика қарапайым: алдымен патчтарды орнатып, 24–72 сағат тұрақтандыруға мүмкіндік беріп, содан кейін толық скан жүргізіңіз — өту кезеңіндегі «шуды» алмау үшін.

Сканерлер бэкаптар мен техникалық терезелермен қабаттаспас үшін жалпы күнтізбе жүргізіңіз (ИБ, инфрақұрылым, сервистік деск). Онда:

  • тұрақты бэкаптар мен қалпына келтіру тесттері;
  • ОС және бизнес-қосымшалардың жаңарту терезелері;
  • жоғары жүктемелі кезеңдер (айдың жабылуы, есеп беру);
  • жоспарлы миграциялар мен желі жұмыстары;
  • филиалдар мен баяу арналар бойынша ерекшеліктер.

Осылайша кесте IT үшін болжамды және бизнес үшін қауіпсіз процесске айналады.

Желі мен құрылғыларға түсетін жүктемені қалай азайтуға болады

Шеткі құрылғыларды жаңартыңыз
Офис пен филиалға сенімді жұмыс орындарын — ПК, моноблок және станциялар ұсынамыз.
ПК таңдау

«Тормозтардың» басты көзі — тексерістің өзі емес, оның қалай ұйымдастырылғаны: қанша тапсырма бір уақытта іске қосылады, опрос қаншалықты тез жүріп жатыр және қандай сегменттер қамтылады.

Бірінші тез нәтиже беретін қадам — параллельдік пен опрос жылдамдығын шектеу. Егер сканер мүмкін болса, бір уақытта өңделетін хосттар мен бір хостқа арналған бір уақытта тексерулер санын шектеңіз, сондай-ақ сұраулар арасында паузалар қойыңыз. Желіні 20 минутта «жарғаннан» гөрі, ұзақ және біркелкі сканерлеу жақсы.

Мақсатты қарапайым етіңіз: инфрақұрылымды топтарға бөліңіз. Әдетте подсеттер (офистер, Wi-Fi, серверлік), құрылғы түрі (ПК, VDI, серверлер, кассалар) және критикалдылық бойынша бөлу ыңғайлы. Осылай толығымен бәрін бірден жүктемей, толқындармен сканерлеуге болады.

Мүмкін болса, жұмыстың бір бөлігін агентке беріңіз. Құрылғыдағы локалдық тексеріс ауыр желілік қадамдарды азайтады және арна сапасына аз тәуелді болады. Практикада бұл шыңды трафик пен бір уақытта ашылатын сессиялардың төмендеуіне әкеледі.

Көп көмектесетін негізгі баптаулар:

  • параллельділікті төмендетіп, хосттар мен сұраулар/сек шектеулерін қосу;
  • тапсырмаларды подсеттер мен құрылғы рөлдері бойынша бөлу, толқындармен іске қосу;
  • тұрақты активтерге агенттік сканер беру, ал желімен тек негізгі қолжетімділікті тексеру;
  • жауапкершілігі жоқ үлкен диапазондарды шығарып тастау (қонақ желілері, басқа VLAN-дар, зертханалар);
  • серверлер мен пайдаланушылар ПК-ларын бөлек терезелерде жоспарлау.

Өзгерістер әсерін қарапайым метрикалар арқылы тексеріңіз. Күрделі графиктер қажет емес, тенденциялар жеткілікті:

  • шекарааралық сымдар мен офисаралық байланыстағы арнаның шыңы;
  • бір уақытта ашылған қосылымдар саны және таймаут қателерінің көбеюі;
  • скан кезінде соңғы құрылғылардағы CPU, RAM және диск жүктемесі;
  • пайдаланушылардан келетін шағымдар және типтік сервистердің (пошта, файлдар, ERP) жауап уақытының өсуі.

Ерекшеліктер: қалай баптап, жағдайды нашартпау керек

Ерекшеліктер — сканерлеудің жұмысын бұзбай, артық шуды азайту үшін қажет. Бірақ әрбір ерекшелік — көріністегі саналы «тиесі» болып табылады, сондықтан оны «қолайлы батырма» ретінде емес, уақытша тәуекел ретінде қарастырыңыз.

Көбіне толық хостты емес, нақты объектіні шығарады. Мысалы, бэкап процесі желілік скан кезінде таймаут беріп жатса, уақытша бэкап терезесінде нақты портты немесе қызметті шығару оңайырақ болады.

Типтік ерекшеліктер:

  • хосттар немесе подсеттер (сирек, тек ерекше аймақтарға);
  • порттар немесе сервистер (нақты және себеппен);
  • директорялар мен файлдар (агенттік скан үшін маңызды);
  • процестер мен қосымшалар (маңызды операцияларды зақымдамау үшін);
  • нақты тексерістер мен осалдықтар (идентификатор бойынша, егер растама болса).

Негізгі критерий — «неге шығарамыз және қанша уақытқа». Әдетте ерекшелікке мерзім берілуі керек (мысалы, 30–90 күн) және оның иесі болуы қажет. Мерзімсіз ерекшелік тұрақты көрінбейтін аймаққа айналады.

Ерекшеліктер тым көбеймесін десеңіз, оларды шағын өзгеріс ретінде рәсімдеңіз. Өтініште жеткілікті ақпарат болсын:

  • не және нақты параметрлерімен нешеу шығарылады;
  • себеп пен бизнеске әсері (сызылғанда не бұзылады);
  • өтемді шаралар (мысалы, ай сайын қолмен тексеру);
  • мерзім мен алып тастаудың шарттары (патч, жаңарту, сервис көшірмесі);
  • кім бекіткен (ҚБ) және жүйе иесі (IT немесе бизнес).

Пайдалы практика — ай сайын немесе тоқсан сайын қайта қарау: қай ерекшеліктер мерзімі өтіп кеткен, қайсысы қажет емес, қай жерде шекті тарылтуға болады ("хост"-тан "порт"-қа) немесе ерекшелікті дұрыс кестемен алмастыруға болады.

Жалған табулар: тексеру, растау, есепке алу

ЦОД-та контурды күшейтіңіз
Консоль мен қауіпсіздік тапсырмаларына сай серверлік инфрақұрылымды таңдап, интеграциялаймыз.
Шешім таңдау

Жалған табулар агенттік те, желілік те сканерлеуде болмасы мүмкін емес. Әр табуды инцидент деп қарастырсаңыз, команда күйзеліске ұшырайды, ал бизнес есептерді елемеуі мүмкін. Мақсат — нақты осалдықты сканер қателігінен тез ажырату және нәтижені мұқият тіркеу.

Жылдам триаж

Алдымен сканер хост пен ПО нұсқасын дұрыс көргенін тексеріңіз. Көп жағдайда мәселе осалдық емес, керісінше порттың қолжетімсіздігі, уақытша таймаут, прокси, NAT немесе агенттің инвентарьды жаңартпай қалуы болады.

Практикалық тәртіп:

  • сол әдіспен қайта тексеріп, нәтижелерді салыстырыңыз;
  • ПО нұсқасы мен патч деңгейін салыстырыңыз: сканер не жазады және нақты не орнатылған;
  • скан кезінде CPU немесе диск жүктемесі, желі үзілуі болмады ма тексеріңіз;
  • табылған нәрсені CVE және срабатывания шарттарымен салыстырыңыз (нұсқа, компонент, қосылған функция);
  • егер тек бір белгі ұштаспаса (мысалы, порт көрінеді, бірақ нұсқа оқылмайды) — «растауды қажет етеді» деп белгілеңіз.

Жалған срабатывание мен уақытша қатені ажырату: жалған тұрақты түрде қайталанса, ал уақытша қате симптомдары ауысып тұрса (хост қолжетімсіз, баннер оқу мүмкін емес, авторизация төмендейді) — уақытша деп қарастырыңыз.

Есеп және шешімдер

Қолмен растау көбінесе критикалық сервистер үшін, сервердегі даулы табуларда және желілік детект баннер сияқты жанама белгілерге сүйенгенде қажет. Нәтижені бір реестрде тіркеңіз: «расталды», «расталмады», «қауіп ретінде қабылданды» (қайта қарау мерзімімен). Ерекшелікті техникалық шара ретінде — мысалы, нақты нұсқаның жалған детектісі — пайдаланыңыз, бірақ оны мәселені «жасыру» ретінде қолданбаңыз. Ерекшеліктің иесі, себебі және мерзімі болуы міндетті.

Процесті қалай кезең-кезеңімен баптау

Шеткі нүктелерді сканерлеуден пайда алу үшін әр табылған нүктенің иесі және нақты әрекеті болуы керек. Әйтпесе есептер жылдам шуға айналады.

Бастапқыда инвентарь жинаңыз. Қай құрылғыларды сканерлейтініңіз (ПК, ноутбуктар, серверлер), олардың қайда екені (офис, филиал, VPN), актив иесі кім (IT, бухгалтерия, мердігер) және тоқтатылғанда қаншалықты маңызды екені — осының кешені жеткілікті. Осы қадамда жиі ұмытылған машиналар анықталады.

Кейін топтар бойынша тәсілді таңдаңыз. Агент ноутбуктар мен қашықтағы қызметкерлерге ыңғайлы, желілік скан тұрақты сегменттер мен серверлерде тиімді. Аралас схема көбіне ең практикалық: мысалы, мобильді ПК-ларға агент, ЦОД-дегі серверлерге желілік тексеріс.

Қол жеткізу мәселесіз іске қосылу үшін қай жерде есептік жазбалар мен әкімші құқықтары қажет екенін алдын ала анықтаңыз. Уақытша домен админді бірнеше жылға беруден гөрі минималды құқықтары бар сервистік есептік жазбаларды пайдалану қауіпсіз.

Жұмыс тәртібі:

  • активтерді 3–5 топқа бөліп, әрқайсысына агенттік, желілік немесе аралас режим таңдаңыз;
  • қажет жерлерде ғана қолжетімділікті орнатыңыз (мысалы, орнатылған патчтарды тексеру үшін);
  • кесте мен шектеулерді (жылдамдық, параллельділік) қойып, 10–20 құрылғыда пилот жасаңыз;
  • есеп форматында келісіңіз: не критикалық, тапсырма қалай келеді, кім тәуекелді растайды;
  • процесті циклға айналдырыңыз: скан, триаж, түзету, қайта тексеру.

Жақсы пилот — бір бөлім және бір сервер сегменті. Егер бірінші іске қосқаннан кейін пайдаланушылар «тормоз» туралы шағым айтса немесе желі төмендесе, қамтуды кеңейтуге асықпаңыз. Алдымен параллельділікті азайтыңыз, терезелерді жылжытыңыз және ерекшеліктерді нақтылаңыз.

Соңғы қадам — табуларды өңдеу маршруты. Қай осалдық патчпен жауылады, қайсысы баптаулармен, қайсысы тәуекел ретінде қабылданады — барлығын келісіңіз. Осылай нәтижелер басқарылатын болады, жай тағы бір есеп емес.

Іске қосар алдында және кейін қысқа чек-лист

Тіпті жақсы сканерлеу де дайындықсыз іске қосылса артық шу тудырады.

Іске қоспас бұрын

Алдымен ережелер бойынша келісіңіз. IT, ҚБ және сервистік дескпен бір сөйлесу кейінгі талқылауға кеткен сағаттарды үнемдейді.

  • терезелер мен жиілікті келісіңіз: қашан желі мен ПК жүктелуі мүмкін емес (мысалы, айдың жабылуы, оқу сабақтары, түнгі бэкаптар);
  • жүктеме лимиттерін анықтаңыз: сегментте қанша бір уақытта тексеру рұқсат етіледі және CPU/желі шекті мәндері қандай;
  • активтердің инвентарын тексеріңіз: қай подсет пен топтар қамтылуы керек және әр тобының иесі кім;
  • ерекшеліктерді қайта қараңыз: уақытша ерекшеліктерге мерзім беріңіз, тұрақты ерекшеліктерді негіздеңіз;
  • инциденттерде байланыс пен әрекеттерді анықтаңыз: егер сканер әлсіз Wi‑Fi-ды немесе ескі принтерді түсіріп қалса, қайда хабарлау керек.

Іске қосқаннан кейін

Алғашқы 1–2 циклды сынақ ретінде қарастырыңыз. Тек қана осалдық есептерін емес, сканерлеудің нақты желіде қалай жүретінін бағалаңыз.

  • нақты уақытты өлшеңіз: топтар бойынша цикл қанша уақыт алады, қай жерде кешігулер бар, не терезеге сыймай тұр;
  • жүктемені бағалаңыз: пайдаланушылар шағымдары, трафик шыңдары, домен контроллері, файрвол және VPN шлюзтеріндегі жүктеме;
  • жалған табуларды талдаңыз: жиілігі бойынша top‑10 алыңыз, ПО нұсқаларын қайта тексеріп шығыңыз, содан кейін осы табуды растау, басу немесе түзету туралы шешім қабылдаңыз;
  • қабылданған өзгерістерді тіркеңіз: қандай ерекшеліктер қосылды, қандай ережелер қатайды, кім бекіткенін жазыңыз;
  • өзгерістерден кейін кестені қайта қараңыз: жаңа подсет, жаппай ОС жаңартулары немесе серверлердің көшірмесі әрдайым баптауды қажет етеді.

Бастапқы іске қосқаннан кейін егер «интернет баяу» деген тикеттер көбейсе және есепте бірдей өнім бойынша көп осалдық табылса, алдымен параллельділік пен детектті тексеруді шектеуден бастаңыз, қамтуды кеңейтуден емес.

Мысал: желі жүктемесін жасамай 300 ПК және 20 серверден тұратын компания

Серверлерді жаңартыңыз
Қуат пен орналастыру талаптарына сай жергілікті GSE S200 серверлерін ұсынамыз.
Сервер таңдау

Компания: 300 ПК (оның 80‑і ноутбук), 20 сервер. Негізгі офис және 4 филиал бар, филиалдар VPN арқылы шектеулі өткізу қабілетімен байланысады. ПК-лар жұмыс түріне қарай бөлінген: бухгалтерия, колл‑центр, инженерлер. Мақсат: сканерлеулерді тұрақты жүргізу, «тормоз» пен арналардың бітелуінсіз.

Аралас модель таңдалды. Ноутбуктарға агент орнатылды — олар жиі офис сыртында, агент құрылғыны желіде болмаса да тексеріп, байланыс болған соң есеп береді. Сервер подсеттерінде желілік сканерлеу жүргізілді: серверлер әрқашан қолжетімді, сондықтан ашық порттар мен конфигурацияны «сыртан» көру маңызды.

Кестелер жүктемелерге қарай бөлінді:

  • Колл‑центр: қысқа тексерістер түнде апталап, толық тексеріс жексенбі күні;
  • Бухгалтерия: жұмыс күнінен кейін толық тексеріс аптасына 2 рет;
  • Инженерлер: түскі үзілісте жеңіл профиль, толық тексеріс сенбіде;
  • Серверлер: рөлдер бойынша желілік скан әр түрлі түндерде, дискілер мен бэкаптарға тимеу үшін.

Филиалдарда арналарды «тұрақтандыру» үшін агенттердің нәтижесін жіберу мен жаңартуларға бір уақытта қосылатын агенттер санын шектеу орнатылды: филиал бойынша 10‑нан артық агент бір уақытта жұмыс істемеуі керек және стартқа 30–60 минуттық кездейсоқ ығысу (джиттер) пайдаланылды. Желілік сканерлеуде филиалдар үшін бөлек терезелер және төмен параллельдік таңдап, VPN‑ды бітемеуді қамтамасыз етті.

Бірінші аптаның аяғында 10 табу пайда болды. Үшеуі жалған екен: сканер ескі компонент нұсқасына қатысты ескерту жасады, бірақ ПК‑да патч орнатылған еді, жай файлдың билд нөмірі басқа болды. Екі табу бухгалтерияда уақытша ерекшелік талап етті: legacy‑қосымша кітапхананы жаңартқанда бұзылатын болған. Бұл ерекшеліктер уақытша, қайта қарау мерзімі мен жауапты иесі және өтемдік шара (желіге қолжетімділікті шектеу және күшейтілген мониторинг) көрсетіліп рәсімделді.

Келесі қадамдар: процесті тұрақты және басқарылатын ету

Бір рет сканерлеу пайдалы сурет береді. Шын мәнінде құндылық — оны тұрақты циклге айналдыруда: тапқан, тексерген, түзеткен, жабуды растайтын процесс. Бастапқыда қарапайымнан бастаңыз: процесс иелерін тағайындап, шешім қабылдау ережелерін келісіңіз.

Рөлдер мен ережелерді бекіту

Егер жауапкершілік анықталмаса, ерекшеліктер көбейіп, түзетулер кейінге қалуы мүмкін. Көбіне үш рөл жеткілікті:

  • сканерлеу иесі: кестелер, қамту, жүктемені бақылау;
  • түзету иесі: патчтар, баптаулар, ПО жаңартулары;
  • ерекшеліктер иесі: келісім, мерзім, қайта қарау.

Ерекшеліктер уақытша шара ретінде сақталсын. Әрбір ерекшелік себеп, қайта қарау мерзімі және өтемдік шаралармен тіркелсін (сегментация, қолжетімділікті шектеу, күшейтілген мониторинг).

Басқаруға қажетті метрикалар

Көп графиктер қажет емес. Аптасына 3–4 көрсеткішті қадағалаңыз:

  • қамту: қандай пайыз ПК және серверлер нақты сканерленеді;
  • жабу уақыты: табуден түзетуге дейін қанша күн өтеді;
  • қайталанатын табулар: қай мәселе қайтадан шығады;
  • жалған табулар үлесі: қанша нәтижелер расталмайды.

Содан кейін тоқсанға жоспар құрыңыз: қамтуды кеңейту (алдымен критикалық серверлер мен «ерекше» сегменттер), параллельділікті азайту арқылы шуды төмендету. Бұл үшін шағын реестр жасаңыз: қай осалдықтар жиі жалған шығады, қандай тексерістер қолмен растауды талап етеді, қандай ерекшеліктерді алып тастауға болады.

Егер мердігер керек болса, көп жағдайда енгізу жұмыстарын (кестелерді баптау, агенттік және желілік контурларды орнату, инциденттермен интеграция) және тұрақты сүйемелдеуді (ерекшеліктерді қайта қарау, жалған табуларды талдау, басқарушы есептер) тапсыру пайдалы болады. GSE.kz (gse.kz) мұндай процесті сіздің инфрақұрылымда құруға және оны жұмыс күйінде ұстауға көмектесе алады.

FAQ

Қашан агенттік тәсілді таңдау, қашан желілік скан?

Егер сізде көп ноутбук, қашықтағы жұмысшы құрылғылар және офиске сирек келетін құрылғылар болса, агент олардағы патчтар мен орнатылған ПО туралы дәлірек ақпарат береді. Желілік скан серверлер мен тұрақты сегменттер үшін ыңғайлы — сол жерден «сырттан» ашық порттар мен қызметтердің күйін көруге болады.

Неліктен бір ғана әдісті қолданбай, аралас схема керек?

Шеткі нүктелер үшін ең тиімдісі — аралас тәсіл: агент ішкі көріністі береді, ал желі қызметтердің нақты экспозициясын және конфигурация қателерін көрсетеді. Осылайша «көрінбейтін» аймақтар азаяды және офис желісіне тым қатты жүктеме келтірмейсіз.

Сканерлеу кезінде «тормоздар» неге жиі пайда болады?

Агент инвентаризация және талдау сәтінде CPU мен дискке үлкен жүктеме түсіруі мүмкін; ноутбуктарда батарея тезірек таусылуы мүмкін. Желілік скан көп параллель сұраулар арқылы желіні жүктейді және IDS/IPS арқылы «шуды» тудыруы әбден мүмкін.

Желілік сканерлеуден келетін жүктемені қалай тез азайтуға болады?

Параллельділік пен сұрау жылдамдығын шектеуден бастаңыз, ал ауыр тексерістерді төмен жүктемелі терезелерге ауыстырыңыз. Желіні бірден «жоғарғы қуатқа» әкелгеннен гөрі, ұзақ әрі тұрақты сканерлеу жақсы.

Қай кесте сканерлеулер үшін конфликтерсіз жұмыс істейді?

Ең қарапайым тәсіл — ауыр агенттік тексерістерді жұмыс уақыты емес уақытта жүргізу және ноутбуктардың онлайн болуына мүмкіндік беру үшін бірнеше күндік «плавающее окно» орнату. Масштабты жаңартулардан кейін 24–72 сағат күту пайдалы — бұл өтпелі кезеңдегі «шуды» азайтады.

Офистен сирек қосылатын ноутбуктармен не істеу керек?

Ноутбуктер мен қашықтағы ПК үшін агент міндетті құрал: құрылғы NAT артында немесе корпоративтік желіден тыс болуы мүмкін. Нәтижелер байланыс пайда болғанда консольге жіберілуі керек, ал сканерлеу пайдаланушыға кедергі жасамауы тиіс.

Қауіпсіздікті нашарлатпай ерекшеліктерді қалай дұрыс жасау керек?

Жалпы ретінде құрылғыны түгел өшірудің орнына нақты портты, процессті, папканы немесе тексеруді уақытша қоспау дұрыс. Әрбір ерекшеліктің иесі мен мерзімі болуы тиіс; әйтпесе ол тұрақты «көрінбейтін аймаққа» айналып кетеді.

Жалған табуды нақты осалдықтан қалай ажыратамыз?

Алдымен сол табылған нәрсені қайта тексеріп, сканер хост пен ПО нұсқасын дұрыс анықтағанына көз жеткізіңіз. Егер уақытша таймауттар, прокси немесе NAT әсері байқалса — жазбаны «растау керек» ретінде белгілеңіз және нақты құрылғыда тексеріңіз.

Сканерлеу үшін есептік жазбалар және админ құқығы керек пе?

Көп ішкі тексерістер үшін көбіне көтерілген құқықтар қажет болады. Қауіпсіз жүргізу үшін минималды қажетті құқықтары бар сервистік есептік жазбаларды қолданыңыз және олардың өмір сүру мерзімін анықтаңыз. Аутентификация қатесі блоктауға немесе көп оповещениелерге әкелмеуі үшін алдын ала тексеріңіз.

Процесті бір ай ішінде құлауға жол бермей қалай ендіру керек?

10–20 құрылғы және бір сервер сегментіндегі шағын пилоттан бастаңыз — жүктемені, жалған табулар санын өлшеңіз, содан кейін қамтуды кеңейтіңіз. Процесті басқару үшін негізгі метрика: нақты қамту, жоюға кеткен уақыт, қайталанып табылатындар және расталмаған табулардың үлесі.