Обзор сканера безопасности RedCheck версии 2.6.8

В конце 2021 года вышло обновление сканера безопасности RedCheck, которое принесло возможность проведения аудита безопасности для платформы контейнеризации Docker и системы оркестрации Kubernetes.

В этой статье смотрим новый функционал и разбираемся какие актуальные задачи могут решить сканеры безопасности.

Одни из важнейших и первостепенных задач, стоящих перед специалистами информационной безопасности — технический аудит информационной безопасности и контроль защищенности активов в ИТ-инфраструктуре.

По данным NIST количество уязвимостей, обнаруженных в операционных системах и программном обеспечении, стремительно растет.

Многие из этих уязвимостей придаются огласке, и в кратчайшие сроки в открытом доступе появляются эксплойты, позволяющие злоумышленникам проникнуть внутрь корпоративной сети и повлиять на бизнес-процессы. В свою очередь, вендоры постоянно выпускают рекомендации по безопасной настройке приложений и операционных систем, но вручную отслеживать появление новых уязвимостей невозможно. Для оперативного обнаружения новых уязвимостей в ИТ-инфраструктуре были созданы средства анализа защищенности, так называемые "Сканеры безопасности".

Помимо этого большинство сканеров имеют следующие возможности:

• провести инвентаризацию ИТ-ресурсов;
  
• определить, какие приложения и какой версии установлены на серверах и рабочих станциях;
  
• провести сканирование всей сети и определить какие именно сетевые устройства используются;
  
• идентифицировать открытые порты, провести инвентаризацию доступных сервисов и выявить использование встроенных учетных записей и т.д.
  

Изначально сканеры безопасности сканировали хосты и сетевую инфраструктуру методом черного ящика с минимальным знаниями об активах. Позднее появилась возможность проводить сканирования методом белого ящика (с использованием учетных записей необходимыми привилегиями), что позволило собирать больше информации об активах и ПО, использующемся на них.

На данный момент быстро развивается технология контейнеризации, предлагающая изоляцию приложений в пользовательских пространствах (контейнерах). Все контейнеры используют одну и ту же операционную систему. Благодаря технологии контейнеризации можно запускать приложение с нужными библиотеками в типовом контейнере, который соединяется с хостом или другой внешней компонентой при помощи простого интерфейса.

Соответственно, сканировать инфраструктуру и упускать из виду сегмент контейнеризации, в котором может находиться подавляющее большинство приложений и сервисов на данный момент, недопустимо. Современные сканеры стараются закрыть эту потребность, а одним из таких сканеров является RedCheck, в новый функционал которого добавились инструменты для сканирования и анализа контейнеров и их окружения.

С выходом версии 2.6.8 появилась поддержка проведения аудита безопасности для платформы контейнеризации Docker и системы оркестрации Kubernetes.

В рамках аудитов доступны следующие задания:

• инвентаризация образов, контейнеров и их окружения
  
• аудит уязвимостей образов, Docker и Kubernetes
  
• аудит конфигураций Docker и Kubernetes
  

При создании задачи типа "Инвентаризация" необходимо использовать заранее подготовленные учетные записи для проведения сканирования и в параметрах задачи необходимо поставить соответствующую галочку

В результате проведения инвентаризации мы можем собирать следующую информацию о платформе контейнеризации Docker:

• Плагинах тома
  
• Сетевые плагины
  
• Плагины журнала
  
• Опции безопасности
  
• Репозитории
  
• Контейнеры
  

Данный функционал доступен только в версии Enterprise. Реализовано это в виде отдельного задания "Docker аудит уязвимостей".

В качестве хоста нужно указать адрес хоста, на котором функционирует демон Docker и клиент Docker. В качестве учетной записи - учетная запись Linux c правами sudo.

Для разбора кейсов, связанных с результатами сканирования, есть функция сохранения промежуточных файлов аудита. Данная опция находится в настройках RedCheck, ее необходимо включить до выполнения задания.

После выполнения сканирования данные файлы будут сохранены в файловой системе той машины, на которой расположена служба сканирования, по-умолчанию это тот же хост, где установлен сам RedCheck. Найти их можно по пути:
C:\ProgramData\ALTEX-SOFT\RedCheck\Temp\OutputSchemes\{UUID}

Значение {UUID} можно увидеть в свойствах задания.

Данный тип проверки запускается как общее задание типа "Аудит конфигурации", и в дальнейшем выбирается необходимый профиль конфигурации.

В результате теперь вы можете контролировать конфигурацию безопасности контейнеров, используемых в вашей ИТ-инфраструктуре.

Также в новой версии у RedCheck появилась возможность использовать PostgreSQL в качестве собственной базы данных. БД поддерживается как в в версии Postgres Pro, так и в бесплатной версии PostgeSQL.

Стоит еще отметить переработанный механизм "пинг". Теперь проверка доступности реализована через отдельное задание, позволяющее определять доступность хостов перед сканированием и улучшить диагностику проблем работы RedCheck в сложных сетях.

RedCheck лицензируется по количеству сканируемых (проверяемых) FQDN- или IP-адресов одним сканером, а также по количеству инсталляций экземпляров сканера и его дополнительных модулей. Для корпоративного использования предусмотрено три редакции программы RedCheck, отличающихся функциональными возможностями.

Варианты редакций:

• RedCheck Base - младшая редакция продукта, включающая необходимые инструменты для полноценного аудита уязвимостей и обновлений Windows и Linux систем. Позволяет осуществлять контроль целостности, инвентаризацию, сетевые проверки и другие процедуры, необходимые при повседневном контроле защищенности информационных систем
  
  
• RedCheck Professional - полнофункциональная редакция, включающая широкий арсенал инструментов для мониторинга и управления защищенностью сетей корпоративного уровня. Лицензируется по количеству сканируемых IP-адресов (DNS-имен)
  
  
• RedCheck Professional для сертифицированных версий Microsoft - по своим возможностям программа аналогична редакции RedCheck Professional, при этом дополнена возможностью управлять конфигурациями и установкой обновлений для сертифицированных по требованиям безопасности версий Microsoft. Редакция поставляется только пользователям сертифицированного программного обеспечения Microsoft
  
  
• RedCheck Enterprise - редакция включает все имеющиеся функциональные возможности программы и ориентирована на крупные и распределенные информационные системы с возможностью неограниченного масштабирования. Лицензируется по количеству инсталляций, не имеет ограничений на количество сканируемых IP-адресов (DNS-адресов). Для масштабирования возможно подключение дополнительных модулей сканирования. Дополнительный модуль устанавливается на отдельный сервер для увеличения производительности сканера. В состав лицензии включена расширенная техническая поддержка.
  
  
• Дополнительный модуль сканирования ScanModule RedCheck и сервер локальных обновлений RedCheck Update Server лицензируются по количеству инсталляций и приобретаются отдельно
  

RedCheck — комплексное решение для выполнения широкого спектра задач, таких как:

• централизованный и локальный аудит информационной безопасности
  
  
• контроль уровня защищенности серверов, рабочих станций, сетевых устройств и прикладного программного обеспечения
  
  
• контроль соответствия требованиям политик и стандартов
  
  
• инвентаризация всей ИТ-инфраструктуры
  
  
• проведение аудита платформы контейнеризации

Продукт обладает удобным интерфейсом и множеством дополнительных функций. Использование RedCheck позволяет выявлять проблемы безопасности, получать их подробные описания и рекомендации по их устранению, а также поддерживать установленный уровень защищенности системы.
Отличительной особенностью сканера является наличие модуля Patch Manager, что позволяет не только обнаруживать уязвимости, но и устранять их путем установки обновлений из того же интерфейса программы.

Автор статьи: Роман Журавлев, инженер TS Solution.