TS Solution
TS Solution
Click to order
Запрос на спецификацию:
Total: 
3 февраля 2022

Обзор сканера безопасности RedCheck версии 2.6.8

В конце 2021 года вышло обновление сканера безопасности RedCheck, которое принесло возможность проведения аудита безопасности для платформы контейнеризации Docker и системы оркестрации Kubernetes.

В этой статье смотрим новый функционал и разбираемся какие актуальные задачи могут решить сканеры безопасности.

Вы узнаете о:

  • Краткой истории развития сканеров безопасности
  • Технологии контейнеризации
  • Новых возможностях RedCheck по защите контейнеров и их окружения
  • Политике лицензирования RedCheck

Введение

Одни из важнейших и первостепенных задач, стоящих перед специалистами информационной безопасности — технический аудит информационной безопасности и контроль защищенности активов в ИТ-инфраструктуре.

По данным NIST количество уязвимостей, обнаруженных в операционных системах и программном обеспечении, стремительно растет.
Многие из этих уязвимостей придаются огласке, и в кратчайшие сроки в открытом доступе появляются эксплойты, позволяющие злоумышленникам проникнуть внутрь корпоративной сети и повлиять на бизнес-процессы. В свою очередь, вендоры постоянно выпускают рекомендации по безопасной настройке приложений и операционных систем, но вручную отслеживать появление новых уязвимостей невозможно. Для оперативного обнаружения новых уязвимостей в ИТ-инфраструктуре были созданы средства анализа защищенности, так называемые "Сканеры безопасности".

Помимо этого большинство сканеров имеют следующие возможности:
  • провести инвентаризацию ИТ-ресурсов;
  • определить, какие приложения и какой версии установлены на серверах и рабочих станциях;
  • провести сканирование всей сети и определить какие именно сетевые устройства используются;
  • идентифицировать открытые порты, провести инвентаризацию доступных сервисов и выявить использование встроенных учетных записей и т.д.
Современные сканеры уязвимости поддерживают практически все операционные системы: как серверные, так и пользовательские
Изначально сканеры безопасности сканировали хосты и сетевую инфраструктуру методом черного ящика с минимальным знаниями об активах. Позднее появилась возможность проводить сканирования методом белого ящика (с использованием учетных записей необходимыми привилегиями), что позволило собирать больше информации об активах и ПО, использующемся на них.

На данный момент быстро развивается технология контейнеризации, предлагающая изоляцию приложений в пользовательских пространствах (контейнерах). Все контейнеры используют одну и ту же операционную систему. Благодаря технологии контейнеризации можно запускать приложение с нужными библиотеками в типовом контейнере, который соединяется с хостом или другой внешней компонентой при помощи простого интерфейса.

Соответственно, сканировать инфраструктуру и упускать из виду сегмент контейнеризации, в котором может находиться подавляющее большинство приложений и сервисов на данный момент, недопустимо. Современные сканеры стараются закрыть эту потребность, а одним из таких сканеров является RedCheck, в новый функционал которого добавились инструменты для сканирования и анализа контейнеров и их окружения.

Новые возможности

С выходом версии 2.6.8 появилась поддержка проведения аудита безопасности для платформы контейнеризации Docker и системы оркестрации Kubernetes.

В рамках аудитов доступны следующие задания:
  • инвентаризация образов, контейнеров и их окружения
  • аудит уязвимостей образов, Docker и Kubernetes
  • аудит конфигураций Docker и Kubernetes

Инвентаризация образов, контейнеров и их окружения

При создании задачи типа "Инвентаризация" необходимо использовать заранее подготовленные учетные записи для проведения сканирования и в параметрах задачи необходимо поставить соответствующую галочку
В результате проведения инвентаризации мы можем собирать следующую информацию о платформе контейнеризации Docker:
  • Плагинах тома
  • Сетевые плагины
  • Плагины журнала
  • Опции безопасности
  • Репозитории
  • Контейнеры

Аудит уязвимостей образов

Данный функционал доступен только в версии Enterprise. Реализовано это в виде отдельного задания "Docker аудит уязвимостей".
В качестве хоста нужно указать адрес хоста, на котором функционирует демон Docker и клиент Docker. В качестве учетной записи - учетная запись Linux c правами sudo.

Для разбора кейсов, связанных с результатами сканирования, есть функция сохранения промежуточных файлов аудита. Данная опция находится в настройках RedCheck, ее необходимо включить до выполнения задания.
После выполнения сканирования данные файлы будут сохранены в файловой системе той машины, на которой расположена служба сканирования, по-умолчанию это тот же хост, где установлен сам RedCheck. Найти их можно по пути:
C:\ProgramData\ALTEX-SOFT\RedCheck\Temp\OutputSchemes\{UUID}

Значение {UUID} можно увидеть в свойствах задания.

Аудит конфигураций Docker и Kubernetes

Данный тип проверки запускается как общее задание типа "Аудит конфигурации", и в дальнейшем выбирается необходимый профиль конфигурации.
В результате теперь вы можете контролировать конфигурацию безопасности контейнеров, используемых в вашей ИТ-инфраструктуре.
Также в новой версии у RedCheck появилась возможность использовать PostgreSQL в качестве собственной базы данных. БД поддерживается как в в версии Postgres Pro, так и в бесплатной версии PostgeSQL.

Стоит еще отметить переработанный механизм "пинг". Теперь проверка доступности реализована через отдельное задание, позволяющее определять доступность хостов перед сканированием и улучшить диагностику проблем работы RedCheck в сложных сетях.

Возможности RedCheck

  • Сканирование портов реализовано через утилиту Nmap, сканирование проводится в безагентном режиме

  • Подбор паролей производит попытки подбора паролей к различным службам. Для сканирования используется та же утилита Nmap

  • Аудит уязвимостей позволяет выполнять сканирование узлов сети на наличие уязвимостей в ОС и ПО. Сканирование может проводиться как в безагентном режиме (с использованием транспортов), так и с использованием агентов сканирования, установленных на целевых активах

  • Аудит обновлений проводит сканирование и определяет, на каких узлах отсутствуют обновления безопасности

  • Контроль конфигурации и оценка соответствия политикам безопасности автоматизирует процесс отслеживания и контроля параметров безопасности

  • Аудит уязвимостей в режиме "Пентест" проводит оценку уровня защищенности информационных систем с минимальными привилегиями и знаниями о сканируемом хосте (методом Черного ящика)

  • Контроль целостности позволяет использовать RedCheck для обнаружения и оповещения о несанкционированных изменениях в конфигурационных файлах, папках, ветках реестра или важных файлах данных
Узнать больше
Станьте участником вебинара "Анализ защищенности хостов и контейнеров в одной консоли", где мы вместе с Дмитрием Черняковым, руководителем отдела по работе с партнерами и заказчиками компании «АЛТЭКС-СОФТ», ответим на все вопросы

Лицензирование

RedCheck лицензируется по количеству сканируемых (проверяемых) FQDN- или IP-адресов одним сканером, а также по количеству инсталляций экземпляров сканера и его дополнительных модулей. Для корпоративного использования предусмотрено три редакции программы RedCheck, отличающихся функциональными возможностями.

Варианты редакций:

  • RedCheck Base - младшая редакция продукта, включающая необходимые инструменты для полноценного аудита уязвимостей и обновлений Windows и Linux систем. Позволяет осуществлять контроль целостности, инвентаризацию, сетевые проверки и другие процедуры, необходимые при повседневном контроле защищенности информационных систем

  • RedCheck Professional - полнофункциональная редакция, включающая широкий арсенал инструментов для мониторинга и управления защищенностью сетей корпоративного уровня. Лицензируется по количеству сканируемых IP-адресов (DNS-имен)

  • RedCheck Professional для сертифицированных версий Microsoft - по своим возможностям программа аналогична редакции RedCheck Professional, при этом дополнена возможностью управлять конфигурациями и установкой обновлений для сертифицированных по требованиям безопасности версий Microsoft. Редакция поставляется только пользователям сертифицированного программного обеспечения Microsoft

  • RedCheck Enterprise - редакция включает все имеющиеся функциональные возможности программы и ориентирована на крупные и распределенные информационные системы с возможностью неограниченного масштабирования. Лицензируется по количеству инсталляций, не имеет ограничений на количество сканируемых IP-адресов (DNS-адресов). Для масштабирования возможно подключение дополнительных модулей сканирования. Дополнительный модуль устанавливается на отдельный сервер для увеличения производительности сканера. В состав лицензии включена расширенная техническая поддержка.

  • Дополнительный модуль сканирования ScanModule RedCheck и сервер локальных обновлений RedCheck Update Server лицензируются по количеству инсталляций и приобретаются отдельно

Вывод

RedCheck — комплексное решение для выполнения широкого спектра задач, таких как:

  • централизованный и локальный аудит информационной безопасности

  • контроль уровня защищенности серверов, рабочих станций, сетевых устройств и прикладного программного обеспечения

  • контроль соответствия требованиям политик и стандартов

  • инвентаризация всей ИТ-инфраструктуры

  • проведение аудита платформы контейнеризации

Продукт обладает удобным интерфейсом и множеством дополнительных функций. Использование RedCheck позволяет выявлять проблемы безопасности, получать их подробные описания и рекомендации по их устранению, а также поддерживать установленный уровень защищенности системы.
Отличительной особенностью сканера является наличие модуля Patch Manager, что позволяет не только обнаруживать уязвимости, но и устранять их путем установки обновлений из того же интерфейса программы.

Автор статьи: Роман Журавлев, инженер TS Solution.