Итак, вы решили начать разработку своего Vulnerability Management решения. Часть 3. На чем можно срезать углы?
Подводные камни подсветили, специализаций коснулись. В этой завершающей части посмотрим как можно быстро слепить VM-решение из того, что есть в паблике:
1. Весьма соблазнительно взять опенсурсный сканер и, несколько доработав его, начать продавать как коммерческий продукт или сервис. Например, взять OpenVAS/GVM, Nuclei, Nmap. Однако следует понимать, что вместе с наработками придется брать в нагрузку и немалое легаси. И возможно реализовать какую-то конкретную функциональность с нуля было бы проще, чем поддерживать форк проекта с историей. Кроме того за успешным опенсурсным сканером, как правило, стоит коммерческая компания, которая этот проект уже монетизирует и конкурентам не рада. Стоит ожидать, что вам будут вставлять палки в колеса, например через хитрое лицензирование (Nmap) или ограничение бесплатного публичного фида с детектами (OpenVAS/GVM). И тут уж как впишитесь.
2. Часто для того, чтобы по-быстрому добавить детектирование уязвимостей реализуют такую схему: детектирование CPE идентификатора установленного софта и поиск уязвимостей в базе NVD. Просто, быстро, универсально. Но далеко не всегда достоверно, т.к. ошибки могут быть и при детектировании CPE, и описании уязвимой конфигурации в NVD. Да и не всё всегда определяется версиями софта, свою роль могут играть патчи и их перекрытия. Продемонстрировать как такая схема работает можно на примере Nmap + Vulners plugin. Nmap тут отвечает за детект CPE, а Vulners за поиск по NVD.
3. Отдельная большая тема это SCAP/OVAL. Если кратко, то это набор открытых спецификаций для описания уязвимостей/мисконфигураций и того как их по этому описанию детектировать. Есть много бесплатного публичного контента: репозиторий CIS, DISA STIGs, профили PCI DSS от OpenSCAP, Windows уязвимости в коненте от ФСТЭК/АЛТЭКС-СОФТ, вендорский контент для Ubuntu, Debian, RHEL. Есть как минимум один опенсурсный SCAP/OVAL сканер, который все ещё развивается, это OpenSCAP от RedHat. Есть старые заброшенные проекты ovaldi и jovaldi. C открытыми SCAP/OVAL сканерами под Windows все традиционно тяжко, OpenSCAP в этом направлении шел, но не так давно под Windows его перестали поддерживать. Следует отметить, что продвигается эта тема в первую очередь американцами для контроля безопасности их государственной инфры (для военных и федеральных агентств в основном). Чуть менее чем все вакансии по SCAP/OVAL открываются в США и требуют американское гражданство и clearance, что намекает. 😉 Также они навязывают VM-вендорам поддерживать SCAP/OVAL, что те и делают, кто-то более формально, кто-то менее. В общем, есть соблазн в это дело крепко влезть, чтобы реюзнуть наработки. И есть как минимум одна success story у кого это получилось - RedCheck от АЛТЭКС-СОФТ. Также можно привести в пример индийскую компанию Secpod. Из минусов - спецификации там не особо простые и удобные, делать всё строго по ним достаточно тяжко, особенно реализовывать нестандартные проверки для нестандартных систем.
На этом мини-цикл про разработку VM я заканчиваю, но тему сканероделания конечно не оставляю. Дальше как раз планирую в очередной раз погружаться в SCAP/OVAL, следующий плановый эпизод будет про детектирование уязвимостей с помощью OpenSCAP.
@avleonovrus #OpenVAS #GVM #Nuclei #Nmap #NVD #CPE #Vulners #RedCheck #Secpod #OpenSCAP #AltxSoft #DISA #ovaldi #jovaldi #SCAP #ovaldi
Подводные камни подсветили, специализаций коснулись. В этой завершающей части посмотрим как можно быстро слепить VM-решение из того, что есть в паблике:
1. Весьма соблазнительно взять опенсурсный сканер и, несколько доработав его, начать продавать как коммерческий продукт или сервис. Например, взять OpenVAS/GVM, Nuclei, Nmap. Однако следует понимать, что вместе с наработками придется брать в нагрузку и немалое легаси. И возможно реализовать какую-то конкретную функциональность с нуля было бы проще, чем поддерживать форк проекта с историей. Кроме того за успешным опенсурсным сканером, как правило, стоит коммерческая компания, которая этот проект уже монетизирует и конкурентам не рада. Стоит ожидать, что вам будут вставлять палки в колеса, например через хитрое лицензирование (Nmap) или ограничение бесплатного публичного фида с детектами (OpenVAS/GVM). И тут уж как впишитесь.
2. Часто для того, чтобы по-быстрому добавить детектирование уязвимостей реализуют такую схему: детектирование CPE идентификатора установленного софта и поиск уязвимостей в базе NVD. Просто, быстро, универсально. Но далеко не всегда достоверно, т.к. ошибки могут быть и при детектировании CPE, и описании уязвимой конфигурации в NVD. Да и не всё всегда определяется версиями софта, свою роль могут играть патчи и их перекрытия. Продемонстрировать как такая схема работает можно на примере Nmap + Vulners plugin. Nmap тут отвечает за детект CPE, а Vulners за поиск по NVD.
3. Отдельная большая тема это SCAP/OVAL. Если кратко, то это набор открытых спецификаций для описания уязвимостей/мисконфигураций и того как их по этому описанию детектировать. Есть много бесплатного публичного контента: репозиторий CIS, DISA STIGs, профили PCI DSS от OpenSCAP, Windows уязвимости в коненте от ФСТЭК/АЛТЭКС-СОФТ, вендорский контент для Ubuntu, Debian, RHEL. Есть как минимум один опенсурсный SCAP/OVAL сканер, который все ещё развивается, это OpenSCAP от RedHat. Есть старые заброшенные проекты ovaldi и jovaldi. C открытыми SCAP/OVAL сканерами под Windows все традиционно тяжко, OpenSCAP в этом направлении шел, но не так давно под Windows его перестали поддерживать. Следует отметить, что продвигается эта тема в первую очередь американцами для контроля безопасности их государственной инфры (для военных и федеральных агентств в основном). Чуть менее чем все вакансии по SCAP/OVAL открываются в США и требуют американское гражданство и clearance, что намекает. 😉 Также они навязывают VM-вендорам поддерживать SCAP/OVAL, что те и делают, кто-то более формально, кто-то менее. В общем, есть соблазн в это дело крепко влезть, чтобы реюзнуть наработки. И есть как минимум одна success story у кого это получилось - RedCheck от АЛТЭКС-СОФТ. Также можно привести в пример индийскую компанию Secpod. Из минусов - спецификации там не особо простые и удобные, делать всё строго по ним достаточно тяжко, особенно реализовывать нестандартные проверки для нестандартных систем.
На этом мини-цикл про разработку VM я заканчиваю, но тему сканероделания конечно не оставляю. Дальше как раз планирую в очередной раз погружаться в SCAP/OVAL, следующий плановый эпизод будет про детектирование уязвимостей с помощью OpenSCAP.
@avleonovrus #OpenVAS #GVM #Nuclei #Nmap #NVD #CPE #Vulners #RedCheck #Secpod #OpenSCAP #AltxSoft #DISA #ovaldi #jovaldi #SCAP #ovaldi
Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.
Что сканировать?
1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).
Чем сканировать?
Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.
@avleonovrus #Microsoft #Linux #Ubuntu #Debian #CentOS #Alma #Rocky #PositiveTechnologies #AltxSoft #Echelon #Gazis #Vulnsio #Metascan #ScanFactory #Kaspersky
Что сканировать?
1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).
Чем сканировать?
Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.
@avleonovrus #Microsoft #Linux #Ubuntu #Debian #CentOS #Alma #Rocky #PositiveTechnologies #AltxSoft #Echelon #Gazis #Vulnsio #Metascan #ScanFactory #Kaspersky
Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider. В этом обновлении логика работы не поменялась. Все управление осталось таким же. Обновили интерфейс в стиле Win11, с которым будет приятно глазу работать. Планируют сделать и темную тему.
Конечно хотелось бы увидеть финт, который сделали Tenable c Nessus. Когда-то давно у них был толстый клиент, а потом они перешли на веб-интерфейс (сначала на Flash, потом переписали на SPA), в процессе сделали вполне приличный API. Потом правда этот API официально выпилили из Nessus, но в Tenable.io он продолжает использоваться. Такой же финт, насколько я понимаю, сделали Altx-Soft с дополнительным веб-интерфейсом для RedCheck.
Было бы круто увидеть web gui для MaxPatrol 8 и XSpider, но ожидать его не приходится по ряду причин. Перечисленное исключительно моё имхо:
1. Толстый клиент MP8/XSpider гораздо более мощный по функциональности, чем у конкурентов. Чтобы сделать вегбуй требуется серьезное изменение логики и переписывание многих модулей. И это уже делается в разработке Maxpatrol VM.
2. MP8/XSpider существуют по той причине, что пока ещё не вся экспертиза и функциональность перенесена в Maxpatrol VM (комплаенс-режима, например, нет). Рано или поздно это произойдет и эти продукты контролируемо сведут с орбиты. НО пока продажи и поддержку продолжают, прекращать не планируют. Это же объясняет и почему не оправдана миграция на Linux текущих решений.
3. Логично было бы предположить появление нового поколения решений а-ля MP8 и XSpider, урезанных из Maxpatrol VM, когда будут достигнуты цели из п.2.
PS: В QA интересный вопрос был про продление про сертификатов для MP8/XSpider после 08.07.2024. Ответили, что под большим вопросом, как и для всего ПО под Windows в принципе.
@avleonovrus #MaxPatrol8 #XSpider #PositiveTechnologies #Tenable #Nessus #AltxSoft #RedCheck
Конечно хотелось бы увидеть финт, который сделали Tenable c Nessus. Когда-то давно у них был толстый клиент, а потом они перешли на веб-интерфейс (сначала на Flash, потом переписали на SPA), в процессе сделали вполне приличный API. Потом правда этот API официально выпилили из Nessus, но в Tenable.io он продолжает использоваться. Такой же финт, насколько я понимаю, сделали Altx-Soft с дополнительным веб-интерфейсом для RedCheck.
Было бы круто увидеть web gui для MaxPatrol 8 и XSpider, но ожидать его не приходится по ряду причин. Перечисленное исключительно моё имхо:
1. Толстый клиент MP8/XSpider гораздо более мощный по функциональности, чем у конкурентов. Чтобы сделать вегбуй требуется серьезное изменение логики и переписывание многих модулей. И это уже делается в разработке Maxpatrol VM.
2. MP8/XSpider существуют по той причине, что пока ещё не вся экспертиза и функциональность перенесена в Maxpatrol VM (комплаенс-режима, например, нет). Рано или поздно это произойдет и эти продукты контролируемо сведут с орбиты. НО пока продажи и поддержку продолжают, прекращать не планируют. Это же объясняет и почему не оправдана миграция на Linux текущих решений.
3. Логично было бы предположить появление нового поколения решений а-ля MP8 и XSpider, урезанных из Maxpatrol VM, когда будут достигнуты цели из п.2.
PS: В QA интересный вопрос был про продление про сертификатов для MP8/XSpider после 08.07.2024. Ответили, что под большим вопросом, как и для всего ПО под Windows в принципе.
@avleonovrus #MaxPatrol8 #XSpider #PositiveTechnologies #Tenable #Nessus #AltxSoft #RedCheck
YouTube
Знакомые продукты с новым лицом: как изменились MaxPatrol 8 и XSpider
Первые и самые известные продукты Positive Technologies ― XSpider и MaxPatrol 8 ― предстали в другом облике. Новая версия порадует обновленной светлой темой. Иконки теперь станут удобнее для восприятия. С новым дизайном продукты легко использовать на экранах…
Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux. Продолжаю обозревать крутые штуки от ФСТЭК.
У меня в декабре был пост, что если бы я был регулятор, то обязал бы вендоров сертифицированных Linux-ов привести в порядок бюллетени безопасности, а идеально было бы OVAL контент предоставлять. Так как это делает RedOS. И в каком-то виде это осуществилось. 🤩 Ну не силами Linux-вендоров, а силами ИБ-вендора и регулятора. И с существенными ограничениями. Но факт - вот тебе OVAL-контент для сертифицированных Linux-ов в паблике и бесплатный сканер, который с ним работает.
На сайте ФСТЭК-а выложили бесплатный локальный сканер уязвимостей ScanOVAL в версиях под Linux (раньше был только под Windows). И OVAL-контент к нему. В трёх вариантах:
1. ScanOVAL для ОС Astra Linux 1.6 SE - тестовая версия сканера и OVAL-контент
2. ScanOVAL для ОС Альт 9 - тестовая версия сканера и OVAL-контент
3. ScanOVAL для ОС Роса «Кобальт» - тестовая версия сканера (OVAL-контент пока недоступен)
ScanOVAL это, конечно, не вполне полноценный сканер. Он может сканировать только локалхост. Штатно запускается только в графическом режиме. Т.е. использовать его, чтобы вручную валидировать уязвимости на хостах получится, а приспособить для регулярного сканирования всей инфры скорее всего нет. Понятно зачем сделано, этот продукт не должен рушить бизнес VM-вендорам.
Другой вопрос, который естественно возникает, когда видишь OVAL-контент в паблике, а можно ли его использовать не в составе ScanOVAL? 😏 Например, OpenSCAP-у скормить, свой OVAL сканер написать или интерпретировать во что-нибудь? Ответ: технически реально, а юридически нельзя, т.к. EULA для ScanOVAL это отдельно оговаривает:
"Не допускается осуществлять следующие действия:
...
использовать ПО и (или) описания проверок (включая любые их фрагменты), применяемые в ее составе, с целью создания баз данных или кода, предназначенных для предотвращения угроз безопасности информации;
публиковать, а также распространять от своего имени любые фрагменты описаний проверок, применяемых в составе ПО;
..."
Тоже понятно почему. Идентификаторы дефинишенов, такие как "oval:ru.altx-soft.nix:def:156318", не оставляют сомнений в происхождении контента и понятно, что рушить свой бизнес коммерческому VM вендору совсем не нужно.
Поэтому,
1. Круто, что появилась возможность сканировать сертифицированные отечественные Linux-ы бесплатным решением. Даже если использовать его только в ручном режиме как эталонный сканер, это более чем полезно.
2. Потребность в OVAL-контенте (или просто бюллетенях хотя бы) от Linux-вендора это не снимает, т.к. EULA конечно полноценно использовать контент для ScanOVAL не позволяет, к сожалению.
@avleonovrus #Alt #Astra #Rosa #RedOS #Linux #OVAL #ФСТЭК #AltxSoft #ScanOVAL
У меня в декабре был пост, что если бы я был регулятор, то обязал бы вендоров сертифицированных Linux-ов привести в порядок бюллетени безопасности, а идеально было бы OVAL контент предоставлять. Так как это делает RedOS. И в каком-то виде это осуществилось. 🤩 Ну не силами Linux-вендоров, а силами ИБ-вендора и регулятора. И с существенными ограничениями. Но факт - вот тебе OVAL-контент для сертифицированных Linux-ов в паблике и бесплатный сканер, который с ним работает.
На сайте ФСТЭК-а выложили бесплатный локальный сканер уязвимостей ScanOVAL в версиях под Linux (раньше был только под Windows). И OVAL-контент к нему. В трёх вариантах:
1. ScanOVAL для ОС Astra Linux 1.6 SE - тестовая версия сканера и OVAL-контент
2. ScanOVAL для ОС Альт 9 - тестовая версия сканера и OVAL-контент
3. ScanOVAL для ОС Роса «Кобальт» - тестовая версия сканера (OVAL-контент пока недоступен)
ScanOVAL это, конечно, не вполне полноценный сканер. Он может сканировать только локалхост. Штатно запускается только в графическом режиме. Т.е. использовать его, чтобы вручную валидировать уязвимости на хостах получится, а приспособить для регулярного сканирования всей инфры скорее всего нет. Понятно зачем сделано, этот продукт не должен рушить бизнес VM-вендорам.
Другой вопрос, который естественно возникает, когда видишь OVAL-контент в паблике, а можно ли его использовать не в составе ScanOVAL? 😏 Например, OpenSCAP-у скормить, свой OVAL сканер написать или интерпретировать во что-нибудь? Ответ: технически реально, а юридически нельзя, т.к. EULA для ScanOVAL это отдельно оговаривает:
"Не допускается осуществлять следующие действия:
...
использовать ПО и (или) описания проверок (включая любые их фрагменты), применяемые в ее составе, с целью создания баз данных или кода, предназначенных для предотвращения угроз безопасности информации;
публиковать, а также распространять от своего имени любые фрагменты описаний проверок, применяемых в составе ПО;
..."
Тоже понятно почему. Идентификаторы дефинишенов, такие как "oval:ru.altx-soft.nix:def:156318", не оставляют сомнений в происхождении контента и понятно, что рушить свой бизнес коммерческому VM вендору совсем не нужно.
Поэтому,
1. Круто, что появилась возможность сканировать сертифицированные отечественные Linux-ы бесплатным решением. Даже если использовать его только в ручном режиме как эталонный сканер, это более чем полезно.
2. Потребность в OVAL-контенте (или просто бюллетенях хотя бы) от Linux-вендора это не снимает, т.к. EULA конечно полноценно использовать контент для ScanOVAL не позволяет, к сожалению.
@avleonovrus #Alt #Astra #Rosa #RedOS #Linux #OVAL #ФСТЭК #AltxSoft #ScanOVAL
Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров.
Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.
Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.
@avleonovrus #PositiveTechnologies #MaxPatrol8 #XSpider #MaxPatrolVM #AltxSoft #RedCheck #Echelon #ScanerVS #Frodex #VulnsIO #GIS #Efros #Kaspersky #KSC #CloudAdvisor #VMmap
Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.
Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.
@avleonovrus #PositiveTechnologies #MaxPatrol8 #XSpider #MaxPatrolVM #AltxSoft #RedCheck #Echelon #ScanerVS #Frodex #VulnsIO #GIS #Efros #Kaspersky #KSC #CloudAdvisor #VMmap
Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).
1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)
Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.
Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.
АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.
НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.
Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.
Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.
Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.
Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.
@avleonovrus #PositiveTechnologies #MaxPatrol8 #XSpider #MaxPatrolVM #AltxSoft #RedCheck #Echelon #ScanerVS #Frodex #VulnsIO #GIS #Efros #CloudAdvisor #Kaspersky #KSC #VMmap
1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)
Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.
Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.
АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.
НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.
Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.
Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.
Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.
Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.
@avleonovrus #PositiveTechnologies #MaxPatrol8 #XSpider #MaxPatrolVM #AltxSoft #RedCheck #Echelon #ScanerVS #Frodex #VulnsIO #GIS #Efros #CloudAdvisor #Kaspersky #KSC #VMmap
CIS OVAL Repository съехал на GitHub. Обнаружил, что в феврале этого года CIS настроили редирект с oval.cisecurity.org на github.com/CISecurity/OVALRepo. И это так себе новость, т.к. похоже проект окончательно загнулся и CIS утратили к нему интерес. По случаю хочется сделать небольшой экскурс в историю.
Начиная с 2005 года, развитием OVAL (Open Vulnerability and Assessment Language) занималась корпорация MITRE. Как артефакт тех времен остался сайт https://oval.mitre.org/. Там была подробная адекватная документация. Был открытый интерпретатор для OVAL (OVALdi). Был реестр совместимых продуктов. Одним из этих совместимых продуктов там значится сторонний OVAL репозиторий Positive Technologies (ныне не работает, можно в архиве глянуть), я приложил к нему руку. 😉 Ещё прикольная строчка это ALTX-SOFT RedCheck как OVAL-ный сканер.
Ещё там был центральный репозиторий, в который можно было контрибьютить OVAL контент. А компаниям, которые больше всех этим занимались, давали Top Contributor Award. Можно посмотреть, что с 2012 года до 2015 года топовым контрибьютором был наш отечественный ALTX-SOFT.
В 2015 в MITRE что-то произошло. Видимо что-то связанное с финансированием. Всю эту OVAL-ную тему начали резко сворачивать. Разработчики разбежались. Сам стандарт ушел в NIST и кое-как поддерживается теперь в рамках SCAP. А центральный репозиторий отдали в CIS (Center for Internet Security). Веб-репозиторий кое-как повторили. Но на этом всё и закончилось. Какого-то развития от CIS больше не было. Даже Top Contributor Award не восстановили. И вот сейчас даже веб-страницы OVAL Repostory убрали с сайта CIS, сделали редирект на GitHub. И на сайте CIS-а упоминания проекта OVAL Repostory больше нет. 🤷♂️
А в самом репозитории на GitHub практически нет свежих коммитов. Какие-то коммиты есть только по дефинишенам для уязвимостей. Но, например, более-менее массово уязвимости Windows добавляли последний раз в июне прошлого года.
Почему загнулся центральный репозиторий OVAL контента MITRE/CIS?
1. Пока проект был в MITRE он был достаточно живой. Очевидно потому, что были люди, которые работали над ним на фулл-тайм за гос. финансирование. Как минимум, они неплохо драйвили работу с комьюнити, минутки встреч OVAL Board было интересно почитать.
2. CIS в принципе были мало заинтересованы в этом проекте. Основное у них это CIS Benchmarks и CIS Controls. Да, они используют OVAL-контент для проверок конфигураций Windows хостов в CIS CAT, но и только.
3. Vulnerability Management вендоры не заинтересованы контрибьютить свои детекты уязвимостей. Даже если они у них есть в виде OVAL. Да, для части вендоров интересно было получать Top Contributor Award и использовать это в маркетинге. Но и они в основном контрибьютили не детекты уязвимостей, а детекты установки софтов. Зачем отдавать в открытый доступ то, что могут использовать другие VM-вендоры?
4. Вендоры ОС теоретически могли бы отдавать свой OVAL-контент, но их к этому не обязывали. А генерить полностью свой контент проще чем реюзать существующие объекты в общем репозитории: убирать дубли, разрешать конфликты в описании и т.п. Да и вендоры ОС без внешней стимуляции не особо стремились поддерживать OVAL контент. Взять Microsoft. Когда была программа FDCC/USGCB по контролю инфраструктуры федеральных агентств, они выпускали свой OVAL/SCAP контент. А как только программа прекратилась, перестали.
Так что если наши регуляторы захотят повторить что-то подобное, лучше сразу продумать мотивацию всех участников. 😉
@avleonovrus #CIS #OVAL #MITRE #PositiveTechnologies #ALTXSOFT #RedCheck
Начиная с 2005 года, развитием OVAL (Open Vulnerability and Assessment Language) занималась корпорация MITRE. Как артефакт тех времен остался сайт https://oval.mitre.org/. Там была подробная адекватная документация. Был открытый интерпретатор для OVAL (OVALdi). Был реестр совместимых продуктов. Одним из этих совместимых продуктов там значится сторонний OVAL репозиторий Positive Technologies (ныне не работает, можно в архиве глянуть), я приложил к нему руку. 😉 Ещё прикольная строчка это ALTX-SOFT RedCheck как OVAL-ный сканер.
Ещё там был центральный репозиторий, в который можно было контрибьютить OVAL контент. А компаниям, которые больше всех этим занимались, давали Top Contributor Award. Можно посмотреть, что с 2012 года до 2015 года топовым контрибьютором был наш отечественный ALTX-SOFT.
В 2015 в MITRE что-то произошло. Видимо что-то связанное с финансированием. Всю эту OVAL-ную тему начали резко сворачивать. Разработчики разбежались. Сам стандарт ушел в NIST и кое-как поддерживается теперь в рамках SCAP. А центральный репозиторий отдали в CIS (Center for Internet Security). Веб-репозиторий кое-как повторили. Но на этом всё и закончилось. Какого-то развития от CIS больше не было. Даже Top Contributor Award не восстановили. И вот сейчас даже веб-страницы OVAL Repostory убрали с сайта CIS, сделали редирект на GitHub. И на сайте CIS-а упоминания проекта OVAL Repostory больше нет. 🤷♂️
А в самом репозитории на GitHub практически нет свежих коммитов. Какие-то коммиты есть только по дефинишенам для уязвимостей. Но, например, более-менее массово уязвимости Windows добавляли последний раз в июне прошлого года.
Почему загнулся центральный репозиторий OVAL контента MITRE/CIS?
1. Пока проект был в MITRE он был достаточно живой. Очевидно потому, что были люди, которые работали над ним на фулл-тайм за гос. финансирование. Как минимум, они неплохо драйвили работу с комьюнити, минутки встреч OVAL Board было интересно почитать.
2. CIS в принципе были мало заинтересованы в этом проекте. Основное у них это CIS Benchmarks и CIS Controls. Да, они используют OVAL-контент для проверок конфигураций Windows хостов в CIS CAT, но и только.
3. Vulnerability Management вендоры не заинтересованы контрибьютить свои детекты уязвимостей. Даже если они у них есть в виде OVAL. Да, для части вендоров интересно было получать Top Contributor Award и использовать это в маркетинге. Но и они в основном контрибьютили не детекты уязвимостей, а детекты установки софтов. Зачем отдавать в открытый доступ то, что могут использовать другие VM-вендоры?
4. Вендоры ОС теоретически могли бы отдавать свой OVAL-контент, но их к этому не обязывали. А генерить полностью свой контент проще чем реюзать существующие объекты в общем репозитории: убирать дубли, разрешать конфликты в описании и т.п. Да и вендоры ОС без внешней стимуляции не особо стремились поддерживать OVAL контент. Взять Microsoft. Когда была программа FDCC/USGCB по контролю инфраструктуры федеральных агентств, они выпускали свой OVAL/SCAP контент. А как только программа прекратилась, перестали.
Так что если наши регуляторы захотят повторить что-то подобное, лучше сразу продумать мотивацию всех участников. 😉
@avleonovrus #CIS #OVAL #MITRE #PositiveTechnologies #ALTXSOFT #RedCheck
Разбираю ответы на мои вопросы с эфира AM Live по Vulnerability Management-у. Часть 1/3. Доступность баз детектов уязвимостей для анализа.
Вопрос был такой:
> 1. Вы предоставляете информацию об уязвимостях (идентификаторы CVE, БДУ), которые может детектировать ваше VM-решение, чтобы клиенты (текущие и потенциальные) могли оценить полноту базы детектов вашего VM-решения?
Зачем я задавал этот вопрос? Хотелось бы делать сравнения отечественных средств детектирования уязвимостей, также как я делал сравнения для Nessus и OpenVAS. Но тут проблема - нет публичных данных, перечней детектируемых CVE-шек для сравнения.
Вопрос задали и на него начали отвечать в 1:00:38:
"Есть у нас вопрос от Александра Леонова, как раз в тему. А насколько вы предоставляете информацию об уязвимостях, которые ваше решение детектирует? Т.е., проще говоря, ваша база данных уязвимостей..."
Вопрос задан достаточно точно, но не полностью, т.к. сразу не обозначена цель для чего это нужно - оценка полноты базы знаний об уязвимостях. Это дало уважаемым представителям VM-вендоров пространство для маневра. 😉
Positive Technologies: "В нашем решении в VM-е можно с помощью фильтра вывести все уязвимости, которые есть. Если не ошибаюсь, их сейчас там около 100.000, близко к этому. И в режиме real time можно посмотреть какие есть, можно точечно уязвимость проверить. Поэтому никаких секретов в этом нет."
Т.е. список уязвимостей получить можно, если у вас есть приобретенное решение MaxPatrol VM. Или, возможно, если вы запросили эту информацию в ходе пилотного проекта. Какого-то публично доступного файла с детектируемыми CVE-шками нет.
АЛТЭКС-СОФТ: "У нас собственный репозиторий уязвимостей, который могут смотреть все пользователи мира. Наша база данных сканера доступна не только пользователям продукта, но и любому человеку".
Подчеркивается, что одно дело доступность для клиентов, другое публичная доступность. И для АЛТЭКС-СОФТ это действительно в большей степени справедливо - есть поисковый интерфейс OVAL репозитория. В вебинтерфейсе видны уязвимости и их идентификаторы. Но какой-то возможности выгрузить всё для изучения ведь там тоже нет. Только если сделать робота, который всё это сграбит через веб-интерфейс.
Эшелон: "У нас консолидированная база уязвимостей, можно проверить наличие любой уязвимости, которая только вышла. Обновления ежедневно".
Список уязвимостей Сканер-ВС 6 доступен для клиентов, но не является доступным публично. В случае Эшелона дать список всех детектируемых уязвимостей сложно, т.к. для детекта используется поиск по базе. Допустим VM-вендор взял NVD и ищет в ней по продуктовым cpe-идентификаторам. Спроси его: какие он уязвимости может детектить? Да он сам не знает. В принципе всё, что в NVD есть может в каком-то случае найтись. Правда не любые cpe могут прийти на вход от средства инвентаризации. Но поиск может идти не только по cpe. Поэтому получить перечень потенциально детектируемых уязвимостей затруднительно.
Дальше были попытки вывернуть обсуждение в сторону некоторого общего процесса обмена данными по детектируемым уязвимостям между VM-вендорами, но тщетно. Конечно VM-вендорам обмениваться такими данными смысла нет.
Хорошо, что вопрос взяли в обсуждение. Плохо, что не задали четко в лоб: "где ваши публичные данные о детектируемых уязвимостях, доступные для стороннего анализа?" Чтобы получить ответы: "да вот они" или "их нет и вот почему". 🙂 Имхо, основная причина почему их нет в опасениях, что публично доступная информация о НЕдетектируемых уязвимостях может использоваться в маркетинговых бэтл-картах конкурентов. И зачем так делать и дискутировать о возможностях детектирования разных решений, если можно не делать. 😉 Хотя для развития качества детектирования уязвимостей это было бы крайне полезно.
Пока спасение утопающих — дело рук самих утопающих. Запрашивайте данные и делайте сравнение баз детектируемых уязвимостей непосредственно в ходе пилотных проектов. Обращайтесь или используйте мои наработки в проекте VulnKBdiff.
@avleonovrus #AntiMalware #AMLive #Echelon #AltxSoft #PositiveTechnologies #VulnKBdiff
Вопрос был такой:
> 1. Вы предоставляете информацию об уязвимостях (идентификаторы CVE, БДУ), которые может детектировать ваше VM-решение, чтобы клиенты (текущие и потенциальные) могли оценить полноту базы детектов вашего VM-решения?
Зачем я задавал этот вопрос? Хотелось бы делать сравнения отечественных средств детектирования уязвимостей, также как я делал сравнения для Nessus и OpenVAS. Но тут проблема - нет публичных данных, перечней детектируемых CVE-шек для сравнения.
Вопрос задали и на него начали отвечать в 1:00:38:
"Есть у нас вопрос от Александра Леонова, как раз в тему. А насколько вы предоставляете информацию об уязвимостях, которые ваше решение детектирует? Т.е., проще говоря, ваша база данных уязвимостей..."
Вопрос задан достаточно точно, но не полностью, т.к. сразу не обозначена цель для чего это нужно - оценка полноты базы знаний об уязвимостях. Это дало уважаемым представителям VM-вендоров пространство для маневра. 😉
Positive Technologies: "В нашем решении в VM-е можно с помощью фильтра вывести все уязвимости, которые есть. Если не ошибаюсь, их сейчас там около 100.000, близко к этому. И в режиме real time можно посмотреть какие есть, можно точечно уязвимость проверить. Поэтому никаких секретов в этом нет."
Т.е. список уязвимостей получить можно, если у вас есть приобретенное решение MaxPatrol VM. Или, возможно, если вы запросили эту информацию в ходе пилотного проекта. Какого-то публично доступного файла с детектируемыми CVE-шками нет.
АЛТЭКС-СОФТ: "У нас собственный репозиторий уязвимостей, который могут смотреть все пользователи мира. Наша база данных сканера доступна не только пользователям продукта, но и любому человеку".
Подчеркивается, что одно дело доступность для клиентов, другое публичная доступность. И для АЛТЭКС-СОФТ это действительно в большей степени справедливо - есть поисковый интерфейс OVAL репозитория. В вебинтерфейсе видны уязвимости и их идентификаторы. Но какой-то возможности выгрузить всё для изучения ведь там тоже нет. Только если сделать робота, который всё это сграбит через веб-интерфейс.
Эшелон: "У нас консолидированная база уязвимостей, можно проверить наличие любой уязвимости, которая только вышла. Обновления ежедневно".
Список уязвимостей Сканер-ВС 6 доступен для клиентов, но не является доступным публично. В случае Эшелона дать список всех детектируемых уязвимостей сложно, т.к. для детекта используется поиск по базе. Допустим VM-вендор взял NVD и ищет в ней по продуктовым cpe-идентификаторам. Спроси его: какие он уязвимости может детектить? Да он сам не знает. В принципе всё, что в NVD есть может в каком-то случае найтись. Правда не любые cpe могут прийти на вход от средства инвентаризации. Но поиск может идти не только по cpe. Поэтому получить перечень потенциально детектируемых уязвимостей затруднительно.
Дальше были попытки вывернуть обсуждение в сторону некоторого общего процесса обмена данными по детектируемым уязвимостям между VM-вендорами, но тщетно. Конечно VM-вендорам обмениваться такими данными смысла нет.
Хорошо, что вопрос взяли в обсуждение. Плохо, что не задали четко в лоб: "где ваши публичные данные о детектируемых уязвимостях, доступные для стороннего анализа?" Чтобы получить ответы: "да вот они" или "их нет и вот почему". 🙂 Имхо, основная причина почему их нет в опасениях, что публично доступная информация о НЕдетектируемых уязвимостях может использоваться в маркетинговых бэтл-картах конкурентов. И зачем так делать и дискутировать о возможностях детектирования разных решений, если можно не делать. 😉 Хотя для развития качества детектирования уязвимостей это было бы крайне полезно.
Пока спасение утопающих — дело рук самих утопающих. Запрашивайте данные и делайте сравнение баз детектируемых уязвимостей непосредственно в ходе пилотных проектов. Обращайтесь или используйте мои наработки в проекте VulnKBdiff.
@avleonovrus #AntiMalware #AMLive #Echelon #AltxSoft #PositiveTechnologies #VulnKBdiff
Уточнение по предоставлению доступа к базе детектов уязвимостей от АЛТЭКС-СОФТ (RedCheck)
Компания дает возможность выгрузки ОVAL feed-ов, используемых для детекта уязвимостей в RedCheck, на следующих условиях:
1. Доступ предоставляется крупным заказчикам и частным исследователям, не аффилированным с конкурентами. Быть клиентом необязательно.
2. Доступ предоставляется для запрашиваемых платформ.
3. Доступ предоставляется на некоторый оговоренный промежуток времени.
4. Доступ предоставляется при условии заключения соглашения на запрещение коммерческого использования, что не запрещает публикацию, критику и сравнение с конкурентами в исследовательских целях.
При этом фиды АЛТЭКС-СОФТ, которые поддерживаются в рамках проекта ScanOVAL ФСТЭК полностью открыты и фактически доступны для изучения.
Спасибо большое Сергею Уздемиру за уточнение! Конкуренция на рынке имеет место и понятно, что есть справедливые опасения. Хотя, имхо, держать такую информацию в секрете довольно бесполезно, т.к. кому надо, тот доступ к ней всё равно получит тем или иным способом, а честное исследование ради общей пользы это усложняет.
Если кто-то ещё из представителей VM-вендоров хочет добавить уточнения по своей позиции - пишите в личку, всегда выкладываю без проблем. 🙂
@avleonovrus #AntiMalware #AMLive #AltxSoft #RedCheck #OVAL #ScanOVAL
Компания дает возможность выгрузки ОVAL feed-ов, используемых для детекта уязвимостей в RedCheck, на следующих условиях:
1. Доступ предоставляется крупным заказчикам и частным исследователям, не аффилированным с конкурентами. Быть клиентом необязательно.
2. Доступ предоставляется для запрашиваемых платформ.
3. Доступ предоставляется на некоторый оговоренный промежуток времени.
4. Доступ предоставляется при условии заключения соглашения на запрещение коммерческого использования, что не запрещает публикацию, критику и сравнение с конкурентами в исследовательских целях.
При этом фиды АЛТЭКС-СОФТ, которые поддерживаются в рамках проекта ScanOVAL ФСТЭК полностью открыты и фактически доступны для изучения.
Спасибо большое Сергею Уздемиру за уточнение! Конкуренция на рынке имеет место и понятно, что есть справедливые опасения. Хотя, имхо, держать такую информацию в секрете довольно бесполезно, т.к. кому надо, тот доступ к ней всё равно получит тем или иным способом, а честное исследование ради общей пользы это усложняет.
Если кто-то ещё из представителей VM-вендоров хочет добавить уточнения по своей позиции - пишите в личку, всегда выкладываю без проблем. 🙂
@avleonovrus #AntiMalware #AMLive #AltxSoft #RedCheck #OVAL #ScanOVAL
Разбираю ответы на мои вопросы с эфира AM Live по Vulnerability Management-у. Часть 3/3. Поддержка методик ФСТЭК.
Про последние три вопроса распишу вместе. Каверзность их в том, что по-хорошему на них можно ответить только "да, мы поддерживаем", либо "нет, мы не поддерживаем, потому что не хотим или не можем". В любом случае для клиента польза: либо готовая автоматизация процесса так, как это требует регулятор, либо публичная обратная связь для актуализации методик.
> 5. Что вы думаете о проекте "Руководства по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)" ФСТЭК? Ваше VM-решение позволит работать по этому процессу?
Сложно комментировать поддержку документа, который на момент эфира существовал только в проекте (но сейчас уже официально опубликован). 🙂 По факту обсуждения руководства и не было. Был только ответ Сергея Уздемира из АЛТЭКС-СОФТ (1:07:37), что есть такой документ и с ним нужно ознакомиться. В своем ответе Сергей упомянул также и методику оценки критичности уязвимостей ФСТЭК. Поэтому когда последовал следующий вопрос "насколько вы в своих решениях сейчас им [методикам] соответствуете?", то представители VM-вендоров стали отвечать про методику оценки критичности, а про руководство по управлению уязвимостями больше не вспоминали. 😉 А жаль, в руководстве есть что пообсуждать.
> 3. Ваше VM-решение позволяет проводить приоритизацию уязвимостей с использованием "Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств" ФСТЭК?
Ответ начиная с 1:10:05. Четыре вендора заявили о поддержке этой методики. Для Positive Technologies MaxPatrol VM я смотрел текущую реализацию, для R-Vision VM, АЛТЭКС-СОФТ RedCheck и Фродекс VulnsIO пока нет.
Основной проблемой видится то, что для приоритизации по методике ФСТЭК необходимо каким-то образом получать Temporal и Environmental метрики CVSS. Теоретически это можно как-то автоматически генерировать из дополнительной информации об уязвимостях и инфраструктуре, но на практике я пока этого не видел. Так что если вам будут рассказывать про реализацию этой методики, то задавайте вопросы про CVSS. 😉
> 4. Когда ваше VM-решение рекомендует установку апдейтов западного софта, учитывается ли при этом "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" ФСТЭК? Является ли тестирование обновлений по методике частью VM-процесса?
Напрямую этот вопрос не задавался, но темы проверки обновлений несколько раз касались. Причем в основном при обсуждении автопатчинга. В том смысле, что автопатчинг вещь может и хорошая, но необходимость проверки обновления западного ПО как в рамках алгоритма НКЦКИ, так и по методологии ФСТЭК никто не отменял (2:29:29). И там же была реплика "Но это же не наша зона ответственности, по идее это зона ответственности IT" (2:30:15). Это конечно же не так, потому что IT уж точно не смогут оценить безопасность патчей по сложному процессу.
Поэтому варианта 2: либо VM-вендор возьмет задачу анализа обновлений на себя, либо это так и останется проблемой на стороне клиента.
В 2:51:02 Владимир Михайлов из Фродекс/VulnsIO предложил идею проверки обновлений на стороне гипотетического консорциума VM-вендоров: "заказчик, перед тем как накатить патч, установить новую версию ПО, должен проверить его по рекомендациям ФСТЭК. Он маловероятно это сам сделает. Ни один из VM-вендоров это тоже самостоятельно не сделает. Но если мы объединимся под крышей того же БДУ ФСТЭК, мы теоретически сможем собирать базу проверенных обновлений". Причем более полном виде, чем это есть сейчас в БДУ. Очень хотелось бы, чтобы из этой идеи что-то получилось. 🙏
Часть 2
@avleonovrus #AntiMalware #AMLive #AltxSoft #PositiveTechnologies #MaxPatrolVM #Frodex #VulnsIO #RVision #Microsoft #ФСТЭК #БДУ #НКЦКИ
Про последние три вопроса распишу вместе. Каверзность их в том, что по-хорошему на них можно ответить только "да, мы поддерживаем", либо "нет, мы не поддерживаем, потому что не хотим или не можем". В любом случае для клиента польза: либо готовая автоматизация процесса так, как это требует регулятор, либо публичная обратная связь для актуализации методик.
> 5. Что вы думаете о проекте "Руководства по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)" ФСТЭК? Ваше VM-решение позволит работать по этому процессу?
Сложно комментировать поддержку документа, который на момент эфира существовал только в проекте (но сейчас уже официально опубликован). 🙂 По факту обсуждения руководства и не было. Был только ответ Сергея Уздемира из АЛТЭКС-СОФТ (1:07:37), что есть такой документ и с ним нужно ознакомиться. В своем ответе Сергей упомянул также и методику оценки критичности уязвимостей ФСТЭК. Поэтому когда последовал следующий вопрос "насколько вы в своих решениях сейчас им [методикам] соответствуете?", то представители VM-вендоров стали отвечать про методику оценки критичности, а про руководство по управлению уязвимостями больше не вспоминали. 😉 А жаль, в руководстве есть что пообсуждать.
> 3. Ваше VM-решение позволяет проводить приоритизацию уязвимостей с использованием "Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств" ФСТЭК?
Ответ начиная с 1:10:05. Четыре вендора заявили о поддержке этой методики. Для Positive Technologies MaxPatrol VM я смотрел текущую реализацию, для R-Vision VM, АЛТЭКС-СОФТ RedCheck и Фродекс VulnsIO пока нет.
Основной проблемой видится то, что для приоритизации по методике ФСТЭК необходимо каким-то образом получать Temporal и Environmental метрики CVSS. Теоретически это можно как-то автоматически генерировать из дополнительной информации об уязвимостях и инфраструктуре, но на практике я пока этого не видел. Так что если вам будут рассказывать про реализацию этой методики, то задавайте вопросы про CVSS. 😉
> 4. Когда ваше VM-решение рекомендует установку апдейтов западного софта, учитывается ли при этом "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" ФСТЭК? Является ли тестирование обновлений по методике частью VM-процесса?
Напрямую этот вопрос не задавался, но темы проверки обновлений несколько раз касались. Причем в основном при обсуждении автопатчинга. В том смысле, что автопатчинг вещь может и хорошая, но необходимость проверки обновления западного ПО как в рамках алгоритма НКЦКИ, так и по методологии ФСТЭК никто не отменял (2:29:29). И там же была реплика "Но это же не наша зона ответственности, по идее это зона ответственности IT" (2:30:15). Это конечно же не так, потому что IT уж точно не смогут оценить безопасность патчей по сложному процессу.
Поэтому варианта 2: либо VM-вендор возьмет задачу анализа обновлений на себя, либо это так и останется проблемой на стороне клиента.
В 2:51:02 Владимир Михайлов из Фродекс/VulnsIO предложил идею проверки обновлений на стороне гипотетического консорциума VM-вендоров: "заказчик, перед тем как накатить патч, установить новую версию ПО, должен проверить его по рекомендациям ФСТЭК. Он маловероятно это сам сделает. Ни один из VM-вендоров это тоже самостоятельно не сделает. Но если мы объединимся под крышей того же БДУ ФСТЭК, мы теоретически сможем собирать базу проверенных обновлений". Причем более полном виде, чем это есть сейчас в БДУ. Очень хотелось бы, чтобы из этой идеи что-то получилось. 🙏
Часть 2
@avleonovrus #AntiMalware #AMLive #AltxSoft #PositiveTechnologies #MaxPatrolVM #Frodex #VulnsIO #RVision #Microsoft #ФСТЭК #БДУ #НКЦКИ
Про RedCheck с web-интерфейсом и агентное сканирование Windows. Занимался на днях разворачиванием и тестированием RedCheck-а. В принципе всё норм. Единственное, что при установке с Web-интерфейсом и Rest API требуется выполнить довольно много ручных операций:
1. Установка СУБД и создание пользователя
2. Установка Web-сервера IIS
3. Установка Microsoft .NET Framework
4. Установка Microsoft .NET Core
5. Установка серверного компонента
6. Установка консоли управления (пользовательского интерфейса)
7. Включение возможности Windows-авторизации*
8. Включение обработки HTTPS-соединений*
9. Установка службы синхронизации
10. Установка службы сканирования
Кажется, что большую часть операций можно было бы засунуть в один инсталлер. Но понятное дело, что таких доработок делать не будут, т.к. у АЛТЭКС-СОФТа сейчас в первую очередь стоит задача миграции на Linux. В целом, руководство по установке понятное и подробное. Только в одном месте была проблема с ошибкой в PowerShell-скрипте, но надеюсь поправят. Инсталлеры самих компонентов RedCheck удобные, по сути жмёшь "далее-далее". Часть операций (со *) я пропустил, т.к. для теста это не требовалось.
Теперь про агентное сканирование. Это вообще так себе термин, потому что под ним можно понимать разное:
1. Ставишь агент на таргет-хост, агент сам подключается к серверу (облачному или on-prem) и либо сам отдаёт в него какие-то данные для анализа, либо забирает у него какие-то задачки на выполнение и отдаёт результаты. Профит, что вообще не нужно париться учётками и тем доступен ли сейчас таргет-хост в сети для сканирования или нет (в первую очередь ноутбуков касается). Так работает Qualys, Tenable, Defender for Endpoint.
2. Ставишь агент на таргет-хост, агент сам ничего не делает, но когда к нему подключается сервер, то он делает аутентификацию через этого агента с использованием некоторых внутренних сертификатов. Также профит к том, что не нужно париться доменными учётками и их возможными утечками. Так работает Scan Assistant от Rapid7.
3. Ставишь агент на таргет-хост, агент сам ничего не делает, но когда к нему подключается сервер, то аутентификация проходит через локальную учётку хоста или доменную учётку. В этом случае по сути просто реализуется альтернатива традиционным безагентным транспортам WMI и WinRM.
И вот в RedCheck реализуется именно третий тип агентного сканирования. Позиционируется он так:
"Агент сканирования – компонент RedCheck, предназначенный для сканирования хостов, ограниченных политикой ИБ организации (например, запрет или ограничение использования WMI, WinRM, отсутствие возможности использовать УЗ администратора), а также для обеспечения быстродействия и повышенной надёжности сканирования. Данный компонент работает только по запросу от сервера сканирования в рамках назначенной задачи аудита."
Плюсом тут идёт быстрота, экономия канала и максимальная функциональность проверок. Сканирование идёт от имени Системы. Но для подключения учётка (локальная или доменная) всё равно нужна. Эта учётка может не иметь права администратора на хосте, но она должна быть в группе REDCHECK_ADMINS. То есть риски компрометации такой учётки будут ниже, но было бы удобнее, если бы она вовсе не требовалась. С другой стороны, в таком случае появлялись бы вопросы к процедуре аутентификации сервера на таргет-хосте с агентом, всё-таки порт агента наружу выставлен и это теоретически возможный вектор атаки. Процесс аутентификации по учётке всё-таки проще и прозрачнее. В общем, здесь вопрос спорный. 🙂 Ну и, независимо от способа аутентификации, просканировать с помощью такого "транспортного" агента можно будет только те хосты, до которых мы сможем дотянуться непосредственно во время выполнения задачи сканирования, т.е. основная проблема безагентных сканов остаётся.
Поэтому имейте в виду возможные варианты реализации агентного сканирования на уязвимости и заранее задавайте вопросы VM-вендорам. 😉
@avleonovrus #RedCheck #AltxSoft #agents
1. Установка СУБД и создание пользователя
2. Установка Web-сервера IIS
3. Установка Microsoft .NET Framework
4. Установка Microsoft .NET Core
5. Установка серверного компонента
6. Установка консоли управления (пользовательского интерфейса)
7. Включение возможности Windows-авторизации*
8. Включение обработки HTTPS-соединений*
9. Установка службы синхронизации
10. Установка службы сканирования
Кажется, что большую часть операций можно было бы засунуть в один инсталлер. Но понятное дело, что таких доработок делать не будут, т.к. у АЛТЭКС-СОФТа сейчас в первую очередь стоит задача миграции на Linux. В целом, руководство по установке понятное и подробное. Только в одном месте была проблема с ошибкой в PowerShell-скрипте, но надеюсь поправят. Инсталлеры самих компонентов RedCheck удобные, по сути жмёшь "далее-далее". Часть операций (со *) я пропустил, т.к. для теста это не требовалось.
Теперь про агентное сканирование. Это вообще так себе термин, потому что под ним можно понимать разное:
1. Ставишь агент на таргет-хост, агент сам подключается к серверу (облачному или on-prem) и либо сам отдаёт в него какие-то данные для анализа, либо забирает у него какие-то задачки на выполнение и отдаёт результаты. Профит, что вообще не нужно париться учётками и тем доступен ли сейчас таргет-хост в сети для сканирования или нет (в первую очередь ноутбуков касается). Так работает Qualys, Tenable, Defender for Endpoint.
2. Ставишь агент на таргет-хост, агент сам ничего не делает, но когда к нему подключается сервер, то он делает аутентификацию через этого агента с использованием некоторых внутренних сертификатов. Также профит к том, что не нужно париться доменными учётками и их возможными утечками. Так работает Scan Assistant от Rapid7.
3. Ставишь агент на таргет-хост, агент сам ничего не делает, но когда к нему подключается сервер, то аутентификация проходит через локальную учётку хоста или доменную учётку. В этом случае по сути просто реализуется альтернатива традиционным безагентным транспортам WMI и WinRM.
И вот в RedCheck реализуется именно третий тип агентного сканирования. Позиционируется он так:
"Агент сканирования – компонент RedCheck, предназначенный для сканирования хостов, ограниченных политикой ИБ организации (например, запрет или ограничение использования WMI, WinRM, отсутствие возможности использовать УЗ администратора), а также для обеспечения быстродействия и повышенной надёжности сканирования. Данный компонент работает только по запросу от сервера сканирования в рамках назначенной задачи аудита."
Плюсом тут идёт быстрота, экономия канала и максимальная функциональность проверок. Сканирование идёт от имени Системы. Но для подключения учётка (локальная или доменная) всё равно нужна. Эта учётка может не иметь права администратора на хосте, но она должна быть в группе REDCHECK_ADMINS. То есть риски компрометации такой учётки будут ниже, но было бы удобнее, если бы она вовсе не требовалась. С другой стороны, в таком случае появлялись бы вопросы к процедуре аутентификации сервера на таргет-хосте с агентом, всё-таки порт агента наружу выставлен и это теоретически возможный вектор атаки. Процесс аутентификации по учётке всё-таки проще и прозрачнее. В общем, здесь вопрос спорный. 🙂 Ну и, независимо от способа аутентификации, просканировать с помощью такого "транспортного" агента можно будет только те хосты, до которых мы сможем дотянуться непосредственно во время выполнения задачи сканирования, т.е. основная проблема безагентных сканов остаётся.
Поэтому имейте в виду возможные варианты реализации агентного сканирования на уязвимости и заранее задавайте вопросы VM-вендорам. 😉
@avleonovrus #RedCheck #AltxSoft #agents
Результаты сканирования RedCheck и ScanOVAL для Windows хостов. Есть коммерческий VM-продукт RedCheck от АЛТЭКС-СОФТ и бесплатный локальный сканер уязвимостей ScanOVAL от ФСТЭК, который также использует контент от АЛТЭКС-СОФТ. Было интересно посмотреть, а есть ли какая-то разница в результатах сканирования. Возможно какая-нибудь разница в контенте или в работе движка. Сравнение отчетов по CVE-шкам для нескольких тестовых Windows хостов с разной конфигурацией подтвердило: разницы в результатах сканирования нет, совпадение по 100% CVE. Так что, если считать ScanOVAL эталонным сканером, то RedCheck будет полностью соответствовать этому эталону. Уточнение: при сканировании RedCheck-ом использовался транспорт WinRM.
@avleonovrus #AltxSoft #RedCheck #ScanOVAL #FSTEC
@avleonovrus #AltxSoft #RedCheck #ScanOVAL #FSTEC
Пришёл новогодний подарок от АЛТЭКС-СОФТ. В коробке сладости. В конверте тоже шоколадка. Маленькая коробочка это "Умный датчик протечки" от Roximo. В чехольчике дождевик.
Очень неожиданно и приятно. Люблю сладкое. 😊 Спасибо большое, коллеги!
С наступающим! 🎄
@avleonovrus #AltxSoft #RedCheck #VMcommunity #ny2024
Очень неожиданно и приятно. Люблю сладкое. 😊 Спасибо большое, коллеги!
С наступающим! 🎄
@avleonovrus #AltxSoft #RedCheck #VMcommunity #ny2024
TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".
В прошлом году там было 15 вендоров, в этом 21.
🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl
Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔
@avleonovrus #TAdviser #Stingray #AppSecSolutions #Swordfish #SecurityVision #MTSRed #StartX #Profiscope #Echelon #Solar #ИСПРАН #RVision #Neobit #PositiveTechnologies #ALTXSoft #BIFIT #Crosstech #GIS #Frodex #BiZone #PVSStudio #Pentestit
В прошлом году там было 15 вендоров, в этом 21.
🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl
Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔
@avleonovrus #TAdviser #Stingray #AppSecSolutions #Swordfish #SecurityVision #MTSRed #StartX #Profiscope #Echelon #Solar #ИСПРАН #RVision #Neobit #PositiveTechnologies #ALTXSoft #BIFIT #Crosstech #GIS #Frodex #BiZone #PVSStudio #Pentestit
Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:
🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)
Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂
Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅
Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.
В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.
@avleonovrus #CyberMedia #PositiveTechnologies #MaxPatrol #MaxPatrol8 #MaxPatrolVM #RVision #RVisionVM #AltxSoft #RedCheck #ScanFactory #ScanFactoryVM #ScanOVAL #SecurityVision #SecurityVisionVM #NPOEchelon #ScanerVS
🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)
Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂
Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅
Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.
В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.
@avleonovrus #CyberMedia #PositiveTechnologies #MaxPatrol #MaxPatrol8 #MaxPatrolVM #RVision #RVisionVM #AltxSoft #RedCheck #ScanFactory #ScanFactoryVM #ScanOVAL #SecurityVision #SecurityVisionVM #NPOEchelon #ScanerVS
На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями. В настоящий момент есть данные по Max Patrol VM V.2.8 (27.3) и RedCheck V.2.9.1. Ещё 6 решений в процессе тестирования. Сравнение шло по 74 критериям с использованием открытой методики тестирования. Это не просто заполнение опросников VM-вендором, а результаты практической работы с развёрнутыми решениями. Сравнительные таблицы доступны на web-странице и в pdf.
Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉
@avleonovrus #JetInfosystems #PositiveTechnologies #MaxPatrolVM #RedCheck #AltxSoft
Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉
@avleonovrus #JetInfosystems #PositiveTechnologies #MaxPatrolVM #RedCheck #AltxSoft
Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck. Модуль доступен в RedCheck 2.8 (вышел в декабре 2024 года) для вариантов Expert и Enterprise. Содержит формы:
🔹 "Актуальность сканирования" показывает почему нет результатов сканирования: ошибки или недоступность хоста, нет задания на сканирование хоста или задание на сканирование не запускалось.
🔹 "Недоступность хостов" показывает детали по причинам недоступности: ошибки сетевого доступа, тайм-ауты, некорректные учётки, ошибки прав доступа, нарушение целостности агента/сканера и т.д.
🔹 "Анализ уязвимости" позволяет фильтровать уязвимости на хостах по критичности, наличию эксплоитов, присутствию в бюллетенях НКЦКИ и БДУ ФСТЭК.
🔹 "Контроль устранения уязвимостей" позволяет выделять новые, устранённые и неустранённые уязвимости на хостах.
🔹 "Анализ конфигураций" позволяет отслеживать соответствие хостов стандартам безопасной настройки, в том числе по конкретным требованиям.
🎞 Демо с разбором кейсов
@avleonovrus #AltxSoft #RedCheck
🔹 "Актуальность сканирования" показывает почему нет результатов сканирования: ошибки или недоступность хоста, нет задания на сканирование хоста или задание на сканирование не запускалось.
🔹 "Недоступность хостов" показывает детали по причинам недоступности: ошибки сетевого доступа, тайм-ауты, некорректные учётки, ошибки прав доступа, нарушение целостности агента/сканера и т.д.
🔹 "Анализ уязвимости" позволяет фильтровать уязвимости на хостах по критичности, наличию эксплоитов, присутствию в бюллетенях НКЦКИ и БДУ ФСТЭК.
🔹 "Контроль устранения уязвимостей" позволяет выделять новые, устранённые и неустранённые уязвимости на хостах.
🔹 "Анализ конфигураций" позволяет отслеживать соответствие хостов стандартам безопасной настройки, в том числе по конкретным требованиям.
🎞 Демо с разбором кейсов
@avleonovrus #AltxSoft #RedCheck
Впечатление от модуля аналитики в RedCheck.
🔹 Это большой шаг вперёд. 👍 Раньше, чтобы решать проблемы со сканами и анализировать уязвимости/мисконфигурации в масштабе инфраструктуры необходимо было стороннее решение (коммерческое или самописное), которое бы работало с RedCheck через API и/или на уровне базы. Теперь эти задачи в значительной мере можно решать прямо из интерфейса.
🔹 Радует внимание к обнаружению проблем в сканировании активов. 🔥 Следует также отслеживать для каких активов нет детектов уязвимостей (и прочее по первой колонке БОСПУУ), но с этим сложнее. 🤷♂️
🔹 Реализованные инструменты низкоуровневые. Они помогут понять, что уязвимости не исправляются и харденинг не проводится. Но почему и что с этим делать? Это за рамками.
🔹 Постоянно вручную делать фильтрации через формы - так себе удовольствие. Нужны хотя бы сохраняемые запросы с выводом на дашборды и в алерты. Возможно это будет в VM от Altx Soft, который обещают представить в 26 году.
@avleonovrus #AltxSoft #RedCheck
🔹 Это большой шаг вперёд. 👍 Раньше, чтобы решать проблемы со сканами и анализировать уязвимости/мисконфигурации в масштабе инфраструктуры необходимо было стороннее решение (коммерческое или самописное), которое бы работало с RedCheck через API и/или на уровне базы. Теперь эти задачи в значительной мере можно решать прямо из интерфейса.
🔹 Радует внимание к обнаружению проблем в сканировании активов. 🔥 Следует также отслеживать для каких активов нет детектов уязвимостей (и прочее по первой колонке БОСПУУ), но с этим сложнее. 🤷♂️
🔹 Реализованные инструменты низкоуровневые. Они помогут понять, что уязвимости не исправляются и харденинг не проводится. Но почему и что с этим делать? Это за рамками.
🔹 Постоянно вручную делать фильтрации через формы - так себе удовольствие. Нужны хотя бы сохраняемые запросы с выводом на дашборды и в алерты. Возможно это будет в VM от Altx Soft, который обещают представить в 26 году.
@avleonovrus #AltxSoft #RedCheck
У компании Алтэкс-Софт вышла новая версия сканера уязвимости RedCheck 2.11. Что там нового?
🔹 Мультитенантность. Теперь можно ограничивать доступ пользователей к хостам и задачам сканирования. Это важный шаг для реализации своего "облачного VM-а" (а-ля Qualys и TenableVM) или решения для MSSP. Хоть я и не уверен, что Алтэкс-Софт туда идут. 🙂
🔹 Возможность добавлять свои Lua-скрипты для пентест-проверок. Nmap-совместимые. 😉
🔹 Возможность добавлять свои YARA-правила. В первую очередь для детектирования малварей, но и возможности YARA этим не ограничиваются.
🔹 Новые сборки RedCheck теперь выходят только под Linux. Поддерживается установка на отечественные ОС и Debian.
🔹 Остальные фичи - это улучшение работы SCAP-движка, массовых операций, отчётов, расписаний, расширение контента (+ Alpine, >30 наименований 3rdParty Linux ПО, новые Docker-образы).
Видяшка по новым фичам пока не выходила. Ждём. 🙂
@avleonovrus #AltxSoft #RedCheck
🔹 Мультитенантность. Теперь можно ограничивать доступ пользователей к хостам и задачам сканирования. Это важный шаг для реализации своего "облачного VM-а" (а-ля Qualys и TenableVM) или решения для MSSP. Хоть я и не уверен, что Алтэкс-Софт туда идут. 🙂
🔹 Возможность добавлять свои Lua-скрипты для пентест-проверок. Nmap-совместимые. 😉
🔹 Возможность добавлять свои YARA-правила. В первую очередь для детектирования малварей, но и возможности YARA этим не ограничиваются.
🔹 Новые сборки RedCheck теперь выходят только под Linux. Поддерживается установка на отечественные ОС и Debian.
🔹 Остальные фичи - это улучшение работы SCAP-движка, массовых операций, отчётов, расписаний, расширение контента (+ Alpine, >30 наименований 3rdParty Linux ПО, новые Docker-образы).
Видяшка по новым фичам пока не выходила. Ждём. 🙂
@avleonovrus #AltxSoft #RedCheck