Automatyczne zarządzanie CVE: wykryj i napraw

Wito AI

Nie tylko widzieć luki CVE — zamykać je automatycznie

Większość skanerów zwraca długą listę otwartych podatności i pozostawia łatanie Twojemu zespołowi. Server Monitor zamyka cały obieg: wykrywanie, alarmowanie, usuwanie, raportowanie. Aktualizacje bezpieczeństwa są wdrażane w kontrolowany sposób przez ściśle ograniczony łańcuch poleceń — w oparciu o feed z wielu źródeł, w tym niemieckiego BSI, z kompletnym śladem audytowym.

Zobacz Server Monitor Poproś o demo na żywo

Problem: wykrycie podatności to dopiero połowa pracy

Klasyczne skanery podatności dobrze radzą sobie ze znajdowaniem problemów. Na końcu powstaje lista: „14 otwartych luk CVE na tym serwerze”. To, co następuje potem, to praca ręczna — ktoś musi sprawdzić, ustalić priorytety, znaleźć okno serwisowe, wgrać aktualizację i udokumentować, że to się wydarzyło. W zespołach bez dedykowanego personelu operacyjnego 24/7 ten krok często pozostaje niezrealizowany. Luka została wykryta, ale nadal jest otwarta.

Im więcej serwerów prowadzi firma, tym bardziej ten ręczny cykl łatania staje się nie do utrzymania. Pulpit miga na czerwono, lecz faktyczne ograniczenie ryzyka następuje dopiero wtedy, gdy zadziała człowiek. To właśnie tę lukę między wykryciem a usunięciem Server Monitor rozwiązuje inaczej.

Zamknięty obieg: wykrywanie → alarmowanie → usuwanie → raportowanie

Server Monitor automatyzuje nie tylko wykrywanie, ale również usuwanie podatności. Agent w Go zbiera dane o otwartych aktualizacjach, utwardzeniu SSH, stanie zapory i wersji jądra, a na tej podstawie wylicza Security Score. Wykryte podatności można następnie zamknąć bezpośrednio z poziomu platformy — w sposób kontrolowany i możliwy do prześledzenia.

Najpierw Dry-Run, potem prawdziwa aktualizacja

Usuwanie podatności przebiega przez celowo wąsko zdefiniowany łańcuch poleceń. Najpierw Dry-Run w przejrzysty sposób pokazuje, co zostałoby załatane, niczego nie zmieniając. Dopiero po zatwierdzeniu agent uruchamia prawdziwe `security_update`; restart następuje wyłącznie wtedy, gdy został zatwierdzony i przypada na poprawne okno serwisowe. Agent sam rozpoznaje, czy ponowne uruchomienie jest konieczne.

Ważne dla bezpieczeństwa: agent wykonuje wyłącznie sztywno zdefiniowaną listę dozwolonych poleceń (`dry_run`, `security_update`, `reboot`). Dane użytkownika nie są wstrzykiwane do poleceń systemowych. Dzięki temu zdalne wykonanie kodu jest architektonicznie wykluczone — automatyzacja nie powiększa powierzchni ataku.

Sześć źródeł podatności — w tym niemieckie BSI

Jakość usuwania podatności zależy wprost od jakości ich wykrywania. Server Monitor porównuje wykryte pakiety z sześcioma źródłami:

OSV — Open Source Vulnerabilities, międzyźródłowa baza podatności oprogramowania open source.
NVD — National Vulnerability Database jako międzynarodowy punkt odniesienia.
Debian i Ubuntu — security trackery poszczególnych dystrybucji dla precyzyjnego dopasowania pakietów.
CISA-KEV — katalog znanych, aktywnie wykorzystywanych podatności.
BSI — feed niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informatycznego.

Porównanie wersji uwzględniające dpkg jest zoptymalizowane pod Debiana i Ubuntu. To dopasowanie z wielu źródeł podnosi trafność wykryć i wyraźnie ogranicza fałszywe alarmy w porównaniu z narzędziami sięgającymi tylko do jednej bazy danych.

Każdy krok zapisany w sposób odporny na zmiany

Każda zmiana statusu podatności jest utrwalana w śladzie audytowym typu append-only — wpisów nie da się nadpisać ani usunąć. Z „masz 14 luk CVE” powstaje więc nie tylko „14 luk CVE zostało zamkniętych”, ale wiarygodny, możliwy do skontrolowania dowód: kiedy daną lukę wykryto, kiedy ją usunięto i w jakim kroku. Dokładnie tego potrzebujesz do audytów bezpieczeństwa i zgodności.

Planowane przestoje można odwzorować przez okna serwisowe, dzięki czemu ani alarmy, ani restarty nie prowadzą do fałszywych alarmów czy niechcianych ponownych uruchomień. Dzięki temu automatyzacja Server Monitora pozostaje przewidywalna, nawet gdy łata samodzielnie w nocy.

Zarządzanie podatnościami z UE

Dopasowanie z wielu źródeł, w tym feed niemieckiego BSI — Twoje dane pozostają w europejskiej przestrzeni prawnej.

Häufige Fragen

Jedno i drugie, w tej kolejności. Server Monitor wykrywa podatności, a następnie potrafi faktycznie je usunąć przez listę dozwolonych poleceń. Dry-Run najpierw pokazuje, co zostałoby załatane; dopiero po zatwierdzeniu agent uruchamia prawdziwe security_update. W ten sposób domyka się obieg od wykrycia po usunięcie — inaczej niż w czystych skanerach, które dostarczają jedynie listy.

Tak, i jest to celowo wąsko zaprojektowane. Agent wykonuje wyłącznie sztywno zdefiniowaną listę dozwolonych poleceń (dry_run, security_update, reboot). Dane użytkownika nie są wstrzykiwane do poleceń systemowych, a moment restartu jest walidowany. Dzięki temu zdalne wykonanie kodu jest architektonicznie wykluczone — automatyzacja nie powiększa powierzchni ataku.

Sześć źródeł: OSV, NVD, Debian, Ubuntu, CISA-KEV oraz feed niemieckiego BSI. Porównanie wersji uwzględnia dpkg i jest zoptymalizowane pod Debiana/Ubuntu. Dopasowanie z wielu źródeł, łącznie z niemieckim urzędem, podnosi trafność wykryć i ogranicza fałszywe alarmy w porównaniu z narzędziami opartymi na jednej bazie danych.

Agent sam rozpoznaje, czy restart jest konieczny. Ponowne uruchomienie następuje jednak tylko wtedy, gdy restart został wyraźnie zatwierdzony i przypada na poprawne okno serwisowe. Zachowujesz więc kontrolę nad tym, kiedy serwer faktycznie się restartuje.

Tak. Każda zmiana statusu podatności jest zapisywana w śladzie audytowym typu append-only — wpisów nie da się nadpisać ani usunąć. Otrzymujesz dzięki temu kompletny, odporny na zmiany dowód na to, kiedy daną lukę wykryto i w jakim kroku ją usunięto.

Tak. Poza hostem Server Monitor inwentaryzuje także obrazy Docker wraz z tagiem i digestem oraz skanuje je względem źródeł CVE. W zasięgu pozostaje więc nie tylko sam serwer, ale także działające na nim kontenery — a zatem podatności także w kontenerach, nie tylko na hoście.