533 подписчика

Обзор сканера безопасности RedCheck версии 2.6.8

14 марта 202214 мар 2022

128

8 мин

Оглавление

Вы узнаете о:
Ведение
Новые возможности

В конце 2021 года вышло обновление сканера безопасности RedCheck, которое принесло возможность проведения аудита безопасности для платформы контейнеризации Docker и системы оркестрации Kubernetes.

В этой статье посмотрим новый функционал и разберем, какие актуальные задачи могут решить сканеры безопасности. Также дадим ссылку на вебинар, где вы узнаете ещё больше о возможностях обновленной версии RedCheck.

Вы узнаете о:

Краткой истории развития сканеров безопасности
Технологии контейнеризации
Новых возможностях RedCheck по защите контейнеров и их окружения
Политике лицензирования RedCheck

Ведение

Одни из важнейших и первостепенных задач, стоящих перед специалистами информационной безопасности — технический аудит информационной безопасности и контроль защищенности активов в ИТ-инфраструктуре.

По данным NIST количество уязвимостей, обнаруженных в операционных системах и программном обеспечении, стремительно растет.

Многие из этих уязвимостей придаются огласке, и в кратчайшие сроки в открытом доступе появляются эксплойты, позволяющие злоумышленникам проникнуть внутрь корпоративной сети и повлиять на бизнес-процессы. В свою очередь, вендоры постоянно выпускают рекомендации по безопасной настройке приложений и операционных систем, но вручную отслеживать появление новых уязвимостей невозможно. Для оперативного обнаружения новых уязвимостей в ИТ-инфраструктуре были созданы средства анализа защищенности, так называемые "Сканеры безопасности".

Помимо этого большинство сканеров могут:

провести инвентаризацию ИТ-ресурсов;
определить, какие приложения и какой версии установлены на серверах и рабочих станциях;
провести сканирование всей сети и определить какие именно сетевые устройства используются;
идентифицировать открытые порты, провести инвентаризацию доступных сервисов и выявить использование встроенных учетных записей и т.д.

Современные сканеры уязвимости поддерживают практически все операционные системы: как серверные, так и пользовательские.

Изначально сканеры безопасности сканировали хосты и сетевую инфраструктуру методом черного ящика с минимальным знаниями об активах. Позднее появилась возможность проводить сканирования методом белого ящика (с использованием учетных записей необходимыми привилегиями), что позволило собирать больше информации об активах и ПО, использующемся на них.

На данный момент быстро развивается технология контейнеризации, предлагающая изоляцию приложений в пользовательских пространствах (контейнерах). Все контейнеры используют одну и ту же операционную систему. Благодаря технологии контейнеризации можно запускать приложение с нужными библиотеками в типовом контейнере, который соединяется с хостом или другой внешней компонентой при помощи простого интерфейса.

Соответственно, сканировать инфраструктуру и упускать из виду сегмент контейнеризации, в котором может находиться подавляющее большинство приложений и сервисов на данный момент, недопустимо. Современные сканеры стараются закрыть эту потребность, а одним из таких сканеров является RedCheck, в новый функционал которого добавились инструменты для сканирования и анализа контейнеров и их окружения.

Новые возможности

С выходом версии 2.6.8 появилась поддержка проведения аудита безопасности для платформы контейнеризации Docker и системы оркестрации Kubernetes.

В рамках аудитов доступны следующие задания:

инвентаризация образов, контейнеров и их окружения;
аудит уязвимостей образов, Docker и Kubernetes;
аудит конфигураций Docker и Kubernetes.

Инвентаризация образов, контейнеров и их окружения

При создании задачи типа "Инвентаризация" необходимо использовать заранее подготовленные учетные записи для проведения сканирования и в параметрах задачи необходимо поставить соответствующую галочку.

В результате проведения инвентаризации мы можем собирать следующую информацию о платформе контейнеризации Docker:

Плагинах тома
Сетевые плагины
Плагины журнала
Опции безопасности
Репозитории
Контейнеры

Аудит уязвимостей образов

Данный функционал доступен только в версии Enterprise. Реализовано это в виде отдельного задания "Docker аудит уязвимостей".

В качестве хоста нужно указать адрес хоста, на котором функционирует демон Docker и клиент Docker. В качестве учетной записи — учетная запись Linux c правами sudo.

Для разбора кейсов, связанных с результатами сканирования, есть функция сохранения промежуточных файлов аудита. Данная опция находится в настройках RedCheck, ее необходимо включить до выполнения задания.

После выполнения сканирования данные файлы будут сохранены в файловой системе той машины, на которой расположена служба сканирования. По умолчанию это тот же хост, где установлен сам RedCheck. Найти их можно по пути:
C:\ProgramData\ALTEX-SOFT\RedCheck\Temp\OutputSchemes\{UUID}

Значение {UUID} можно увидеть в свойствах задания.

Аудит конфигураций Docker и Kubernetes

Данный тип проверки запускается как общее задание типа "Аудит конфигурации", и в дальнейшем выбирается необходимый профиль конфигурации.

В результате теперь вы можете контролировать конфигурацию безопасности контейнеров, используемых в вашей ИТ-инфраструктуре.

Также в новой версии у RedCheck появилась возможность использовать PostgreSQL в качестве собственной базы данных. БД поддерживается как в в версии Postgres Pro, так и в бесплатной версии PostgeSQL.

Стоит еще отметить переработанный механизм "пинг". Теперь проверка доступности реализована через отдельное задание, позволяющее определять доступность хостов перед сканированием и улучшить диагностику проблем работы RedCheck в сложных сетях.

Возможности RedCheck

Сканирование портов реализовано через утилиту Nmap, сканирование проводится в безагентном режиме.
Подбор паролей производит попытки подбора паролей к различным службам. Для сканирования используется та же утилита Nmap.
Аудит уязвимостей позволяет выполнять сканирование узлов сети на наличие уязвимостей в ОС и ПО. Сканирование может проводиться как в безагентном режиме (с использованием транспортов), так и с использованием агентов сканирования, установленных на целевых активах.
Аудит обновлений проводит сканирование и определяет, на каких узлах отсутствуют обновления безопасности.
Контроль конфигурации и оценка соответствия политикам безопасности автоматизирует процесс отслеживания и контроля параметров безопасности.
Аудит уязвимостей в режиме "Пентест" проводит оценку уровня защищенности информационных систем с минимальными привилегиями и знаниями о сканируемом хосте (методом Черного ящика).
Контроль целостности позволяет использовать RedCheck для обнаружения и оповещения о несанкционированных изменениях в конфигурационных файлах, папках, ветках реестра или важных файлах данных.

Лицензирование

RedCheck лицензируется по количеству сканируемых (проверяемых) FQDN- или IP-адресов одним сканером, а также по количеству инсталляций экземпляров сканера и его дополнительных модулей. Для корпоративного использования предусмотрено три редакции программы RedCheck, отличающихся функциональными возможностями.

Варианты редакций:

RedCheck Base — младшая редакция продукта, включающая необходимые инструменты для полноценного аудита уязвимостей и обновлений Windows и Linux систем. Позволяет осуществлять контроль целостности, инвентаризацию, сетевые проверки и другие процедуры, необходимые при повседневном контроле защищенности информационных систем.
RedCheck Professional — полнофункциональная редакция, включающая широкий арсенал инструментов для мониторинга и управления защищенностью сетей корпоративного уровня. Лицензируется по количеству сканируемых IP-адресов (DNS-имен).
RedCheck Professional для сертифицированных версий Microsoft — по своим возможностям программа аналогична редакции RedCheck Professional, при этом дополнена возможностью управлять конфигурациями и установкой обновлений для сертифицированных по требованиям безопасности версий Microsoft. Редакция поставляется только пользователям сертифицированного программного обеспечения Microsoft.
RedCheck Enterprise — редакция включает все имеющиеся функциональные возможности программы и ориентирована на крупные и распределенные информационные системы с возможностью неограниченного масштабирования. Лицензируется по количеству инсталляций, не имеет ограничений на количество сканируемых IP-адресов (DNS-адресов). Для масштабирования возможно подключение дополнительных модулей сканирования. Дополнительный модуль устанавливается на отдельный сервер для увеличения производительности сканера. В состав лицензии включена расширенная техническая поддержка.
Дополнительный модуль сканирования ScanModule RedCheck и сервер локальных обновлений RedCheck Update Server лицензируются по количеству инсталляций и приобретаются отдельно.

Вывод

RedCheck — комплексное решение для выполнения широкого спектра задач, таких как:

централизованный и локальный аудит информационной безопасности;
контроль уровня защищенности серверов, рабочих станций, сетевых устройств и прикладного программного обеспечения;
контроль соответствия требованиям политик и стандартов;
инвентаризация всей ИТ-инфраструктуры;
проведение аудита платформы контейнеризации.

Продукт обладает удобным интерфейсом и множеством дополнительных функций. Использование RedCheck позволяет выявлять проблемы безопасности, получать их подробные описания и рекомендации по их устранению, а также поддерживать установленный уровень защищенности системы. Отличительной особенностью сканера является наличие модуля Patch Manager, что позволяет не только обнаруживать уязвимости, но и устранять их путем установки обновлений из того же интерфейса программы.