Обзор RedCheck 2.0 — средства анализа защищенности


Обзор RedCheck 2.0 — средства анализа защищенности

В 2018 году вышло обновление сканера безопасности RedCheck, он претерпел ряд важных изменений и улучшений, например: добавлена функция Patch Manager, появилась дополнительная web-консоль, расширились возможности интеграции с Active Directory, с SIEM и СУИБ, улучшена система отчетов и проверок, а также стала более гибкой политика лицензирования.

Сертификат AM Test Lab

Номер сертификата: 235

Дата выдачи: 15.10.2018

Срок действия: 15.10.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Новые возможности и улучшения RedCheck 2.0
  3. Архитектура RedCheck 2.0 и системные требования
  4. Сертифицированная версия RedCheck 2.0
  5. Политика лицензирования RedCheck 2.0
  6. Работа с RedCheck 2.0
    1. 6.1. Аудит уязвимостей и обновлений
    2. 6.2. Аудит конфигураций
    3. 6.3. Аудит и установка обновлений (Patch Manager)
    4. 6.4. Инвентаризация
    5. 6.5. Сетевые проверки
    6. 6.6. Контроль целостности
    7. 6.7. Система отчетности
  7. Выводы

 

Введение

Одним из важнейших этапов обеспечения информационной безопасности корпоративной сети является идентификация потенциальных рисков. Большинство специалистов по информационной безопасности знают, насколько может быть опасна брешь в операционных системах, приложениях или firmware-оборудовании, и насколько важно найти эти уязвимости прежде, чем ими смогут воспользоваться злоумышленники. Помимо уязвимостей необходимо контролировать своевременность установки обновлений, корректность настроек программного обеспечения, а также проводить аудит информационной системы на соответствие требованиям регуляторов, стандартов, принятых политик.

Осуществлять эти операционные процессы вручную сложно и долго, а в больших сетях и вовсе невозможно. Для этих целей были созданы средства анализа защищенности (сканеры безопасности). Одному из таких решений — обновленной версии RedCheck 2.0 от российской компании АЛТЭКС-СОФТ — посвящен этот обзор.

RedCheck представляет собой решение для анализа защищенности и управления информационной безопасностью организации любого масштаба и обеспечивает поиск и предотвращение уязвимостей, вызванных ошибками в коде, неверными настройками параметров безопасности, слабостью парольной защиты, несанкционированной установкой программного и аппаратного обеспечения, несвоевременной установкой критичных обновлений, нарушением принятых политик безопасности.

Ранее мы публиковали обзор одной из предыдущих версий продукта RedCheck, с тех пор прошло более трех лет, и за это время он значительно изменился. В 2018 году вышла новая мажорная версия RedCheck 2.0, которая, судя по заявленным улучшениям, претерпела значительные изменения и сильно «повзрослела». В данной статье мы сфокусируем внимание на новых возможностях и улучшениях обновленной версии сканера.

 

Новые возможности и улучшения RedCheck 2.0

Повышение мажорного номера версии RedCheck, как правило, свидетельствует о значительных изменениях в продукте. В новой версии сканера добавились следующие возможности:

  • Patch Manager — объединяет возможности, предоставляемые ролью WSUS Windows Server и функцией аудита обновлений сканера, и обеспечивает удобный процесс управления обновлениями программного обеспечения, функционирующего на платформе Windows.
  • Дополнительная web-консоль управления — с помощью нее администратор может подключиться и полноценно управлять любым находящимся в его организации экземпляром RedCheck.
  • Добавлены компоненты масштабирования: удаленная служба сканирования, выделенный сервер обновлений, сервисы управления и взаимодействия (web, REST, master-slave и пр.).
  • Улучшена консолидация и визуализация результатов проверок и отчетов. Для оценки соответствия конфигурации появился отчет с индексом состояния системы — «Apdex-защищенности».
  • Ролевая модель управления RedCheck.
  • Интеграция с Active Directory, обеспечивающая удобный и гибкий процесс развертывания и контроля в доменных сетях.
  • Возможность интеграции с SIEM и СУИБ, в частности: HP ArcSight, Splunk, NEURODAT, а также c другими современными средствами бизнес-аналитики и табличными редакторами. Для обмена данными и управления сканером предлагается использование открытого API (REST-HTTP).
  • Новая политика лицензирования. В RedCheck предусмотрено три редакции, отличающиеся своими функциональными возможностями.

Основные функциональные возможности RedCheck:

  • Аудит уязвимостей и обновлений системного и прикладного программного обеспечения;
  • аудит конфигураций безопасности;
  • аудит конфигураций безопасности СУБД Microsoft SQL Server, Oracle Database, MySQL, PostgreSQL;
  • аудит серверов приложений (web-серверов);
  • аудит защищенности сетевого оборудования Cisco IOS, Huawei, Check Point, «Булат»;
  • аудит платформы виртуализации VMware vSphere;
  • инвентаризация программного и аппаратного обеспечения;
  • установка недостающих обновлений безопасности (в том числе сертифицированных);
  • контроль целостности заданных файлов (каталогов);
  • идентификация открытых портов и сервисов;
  • подбор паролей методом перебора;
  • документирование результатов проверок.

 

Архитектура RedCheck 2.0 и системные требования

Гибкая модульная архитектура и система лицензирования позволяет разворачивать сканер как в локальной сети или отдельном узле, так и выстраивать иерархически подчиненные структуры без ограничений по масштабированию. Пример развертывания системы приведен на рисунках 1 и 2.

Максимальный состав системы может включать следующие структурные компоненты:

  • основной экземпляр сканера (RedCheck Master);
  • подчиненные экземпляры сканера (RedCheck Slave);
  • дополнительные модули сканирования (ScanModul RedCheck);
  • локальный сервер обновлений (Update Server RedCheck);
  • консоль управления (web-консоль RedCheck);
  • модуль (надстройка) для WSUS Windows Server (WSUS-сервис RedCheck);
  • консоль управления WSUS-сервиса с каталогами обновлений (WSUS-консоль RedCheck);
  • агент сканирования Windows-систем (Agent RedCheck);
  • агент установки обновлений для Windows-систем (Update RedCheck).

Сканирование системы при любом варианте развертывания возможно в трех режимах сканирования — агентный (только для Windows), «временный агент» (Remote Engine, только для Windows) и безагентный (на базе WMI или SSH).

Для контроля небольшой сети (до 200 узлов) RedCheck может быть непосредственно развернут на АРМ администратора (администратора безопасности) без существенной потери производительности компьютера. При сканировании крупных сетей следует руководствоваться требованиями к аппаратным требованиям сервера, приведенными в эксплуатационной документации на систему. Также RedCheck может быть установлен на ноутбук для проведения выездных проверок (аудита).

 

Рисунок 1. Архитектура RedCheck 2.0 (размещение компонентов RedCheck на АРМ администратора ИБ)

Архитектура RedCheck 2.0 (размещение компонентов RedCheck на АРМ администратора ИБ)

 

Наличие в RedCheck различных транспортов и протоколов управления позволяет осуществлять удаленное сканирование сети любого масштаба по всем направлениям аудита без существенной нагрузки на каналы связи. Для повышения скорости сканирования Windows-систем, снижения требований пропускной способности каналов и привилегиям доступа рекомендуется использование агента программы — RedCheck Agent.  

Для работы в больших и распределенных инфраструктурах предусмотрена возможность удаленного управления неограниченным количеством экземпляров RedCheck или его дополнительными модулями сканирования. Оптимальным для данного класса систем является использование web-консоли и сервера управления, разворачиваемых в центральном офисе или ЦОД компании. Администратор безопасности из web-консоли может подключиться и полноценно управлять любым находящимся в его организации экземпляром RedCheck. При сканировании от нескольких тысяч хостов целесообразно устанавливать дополнительные модули сканирования, поддерживающие многопоточное сканирование в Windows-системах.

 

Рисунок 2. Архитектура RedCheck 2.0 с web-консолью и сервером управления

Архитектура RedCheck 2.0 с web-консолью и сервером управления

 

Системные требования

RedCheck может быть установлен на любом современном компьютере, оснащенном операционными системами семейства Microsoft Windows.

 

Таблица 1. Минимально рекомендуемые требования для RedCheck в зависимости от количества сканируемых хостов

Количество Хостов

Рекомендуемые требования

До 10

CPU Pentium G4.X (двухъядерный), RAM 4 Гб, свободное пространство HDD – не менее 10 ГБ, MS SQL Express не ниже 2012

До 100

CPU Intel Core I7, RAM 8 Гб, свободное пространство HDD — не менее 10 ГБ, MS SQL Express не ниже 2012

Свыше 100 до 500

Xeon E3 , RAM 8 Гб, свободное пространство HDD — не менее 20 ГБ. Коммерческая версия MS SQL Server не ниже 2012

Свыше 500 до 1000

Xeon E3 , RAM 8 Гб, свободное пространство HDD — не менее 100 ГБ. Коммерческая версия SQL Server не ниже 2012.

Свыше 1000

Xeon E3 (два свободных физических ядра), RAM 8 Гб, свободное пространство HDD — не менее 100 ГБ. Коммерческая версия Microsoft SQL Server не ниже 2012.

Для больших сетей рекомендуется использовать несколько сканеров (дополнительных модулей), из расчета 1 на 2000 хостов. Для обработки результатов проверок таких сетей рекомендовано использование средств Business Intelligence либо SIEM.

 

Сертифицированная версия RedCheck 2.0

RedCheck сертифицирован по требованиям безопасности ФСТЭК России на соответствие ТУ и 4 уровню РД НДВ (сертификат ФСТЭК России № 3172, действителен до 23.06.2020 г).

Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать RedCheck в составе системы защиты информации, где применение сертифицированных продуктов обязательно, например, в информационных системах персональных данных, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП).

Разработчик старается все значимые обновленные версии сканера подвергать процедуре инспекционного контроля, тем самым поддерживая актуальные версии в сертифицированном состоянии.

 

Политика лицензирования RedCheck 2.0

Предусмотрено три редакции RedCheck, отличающиеся своими функциональными возможностями: Base, Professional, Enterprise. RedCheck в редакциях Base и Professional лицензируется по количеству сканируемых хостов. Редакция Enterprise лицензируется по количеству инсталляций и не имеет ограничений на количество сканируемых хостов. При этом существует возможность в одной системе (организации) совмещать использование различных редакций.

  • RedCheck Base — младшая редакция сканера, включающая необходимые инструменты для полноценного аудита уязвимостей и обновлений Windows- и Linux-систем. Позволяет осуществлять аудит уязвимости Windows и Linux-систем,   контроль целостности, инвентаризацию, сетевые проверки и ряд других процедур, необходимых при повседневном контроле защищенности информационных систем.
  • RedCheck Professional — полнофункциональная редакция, включающая большой арсенал инструментов для мониторинга и управления безопасностью программным обеспечением и сетевым оборудованием в сетях малого и среднего уровней. В состав данной редакции включен Patch Manager.
  • RedCheck Enterprise — редакция включает все имеющиеся функциональные возможности программы и ориентирована на крупные и распределенные информационные системы с возможностью неограниченного масштабирования. Лицензируется по количеству инсталляций, не имеет ограничений на количество сканируемых хостов. В состав лицензии включена расширенная техническая поддержка.

Стоит отметить, что имеется еще одна подредакцияRedCheck Professional для сертифицированных версий Microsoft. По своим возможностям она аналогична редакции RedCheck Professional, но при этом дополнена возможностью управления конфигурациями и установкой сертифицированных обновлений безопасности для Microsoft, прошедшего сертификацию по требованиям ФСТЭК России. Редакция поставляется только пользователям сертифицированного программного обеспечения Microsoft.

По умолчанию срок действия лицензии составляет 1 год, однако возможно приобретение RedCheck  на 2 или 3 года. В дальнейшем лицензия может продлеваться. В период действия лицензии пользователю RedCheck предоставляется техническая поддержка, доступ к актуальному контенту безопасности и обновлениям программ для данной версии.

 

Работа с RedCheck 2.0

Работа с RedCheck осуществляется на выбор из desktop- (GUI) или web-консоли. Консоли по сути идентичны, имеют лишь незначительные графические отличия. Знакомство с новой версией RedCheck проводилось в уже привычной desktop-консоли.

 

Рисунок 3. Стартовое окно RedCheck 2.0 в desktop-интерфейсе

Стартовое окно RedCheck 2.0 в desktop-интерфейсе

 

Рисунок 4. Стартовое окно RedCheck 2.0 в web-интерфейсе

Стартовое окно RedCheck 2.0 в web-интерфейсе

 

На стартовом экране отображается актуальная информация о системе — данные аудита обновлений, последние найденные уязвимости, график распределения уровня риска уязвимостей, перечень наиболее проблемных хостов в сети и диаграмма распределения уязвимостей по этим хостам. Также на стартовом окне при наличии доступа в интернет показываются новости от разработчика, касающиеся тематики аудита защищенности.

Аудит уязвимостей и обновлений

Чтобы выполнить любой из аудитов, сначала необходимо в базу RedCheck завести целевые хосты.

 

Рисунок 5. Создание нового хоста вручную в RedCheck 2.0

Создание нового хоста вручную в RedCheck 2.0

 

В RedCheck существует несколько способов заведения хостов:

  • ручное заведение хостов,
  • импорт из Active Directory,
  • импорт из утилиты сканирования IP-сетей Nmap,
  • экспорт/импорт через CSV-файл.  

 

Рисунок 6. Импорт хостов из Active Directory в RedCheck 2.0

Импорт хостов из Active Directory в RedCheck 2.0

 

После заведения хостов для проведения сканирования необходимо сформировать задания.

 

Рисунок 7. Формирование задания аудита уязвимостей в RedCheck 2.0

Формирование задания аудита уязвимостей в RedCheck 2.0

 

Мастер создания заданий аудитов не претерпел существенных изменений и остался понятен даже без прочтения руководства пользователя. Из нового: для аудитов уязвимости и обновлений появились «профили» — возможность самостоятельно создавать/редактировать каталоги, на основе уже имеющихся в базе. Это позволяет осуществлять сканирование, например, только отдельных программных продуктов или новых уязвимостей, что может быть полезным, если требуется сократить время сканирования, особенно в безагентном режиме.

Вкладка «Задания» содержит таблицу, в которой перечислены все сформированные задания. Задания можно группировать по типу сканирования и по типу запуска. Появилось окно «диспетчер», в котором отображаются  выполняемые или стоящие в  очереди на выполнение в данный момент задания.

 

Рисунок 8. Вкладка «Задания» в RedCheck 2.0

Вкладка «Задания» в RedCheck 2.0

 

Во вкладке «История» можно посмотреть историю выполнения заданий. Существует возможность инструментов фильтрации для поиска интересующего задания. Истории можно группировать по хосту, по типу сканирования, по статусу, по имени задания или использовать сразу несколько типов группировки.

 

Рисунок 9. Вкладка «История» в RedCheck 2.0

Вкладка «История» в RedCheck 2.0

 

Для отслеживания динамики уязвимости системы можно воспользоваться вкладкой «Контроль», которая позволяет осуществлять периодическое сравнение двух сканирований, одно из которых выбрано в качестве эталонного (исходного).

Добавлены разные на первый взгляд незаметные удобства, типа настраиваемых фильтров, горячих клавиш, профилей и др. На что непременно обратят внимание пользователи,  знакомые с предыдущими версиями RedCheck, так это на появившиеся поля для работы Patch Manager, теперь входящего в состав RedCheck, о котором расскажем ниже.

Аудит конфигураций

В RedCheck 2.0 заметно расширилось количество платформ, в которых стал доступен аудит конфигурации. Сегодня это все актуальные операционные системы Windows, Linux (ALT Linux, Astra Linux, Amazon Linux AMI, CentOS, Debian, FreeBSD, openSUSE, Oracle Linux, Red Hat Enterprise Linux, ROSA, SUSE, Ubuntu), сетевое оборудование Cisco, Huawei, Check Point, «Булат», платформа виртуализации VMware. Всего в представленную на тест версию было включено 106 конфигураций (compliance) для различных продуктов.

 

Рисунок 10. Формирование задания аудита конфигураций в RedCheck 2.0

Формирование задания аудита конфигураций в RedCheck 2.0

 

Также имеется возможность создать отдельный профиль сканирования, например, для того чтобы исключить какие-либо неактуальные параметры.

В результатах проверок теперь можно видеть не только соответствие рекомендациям, но и фактически текущее значение параметра. В описании параметра содержится подробное описание назначения параметра и рекомендации по настройке с указанием пути, где находится данный параметр.

 

Рисунок 11. Результат аудита конфигураций в RedCheck 2.0

Результат аудита конфигураций в RedCheck 2.0

 

В отдельные задачи вынесены аудит конфигураций серверов приложений и СУБД. RedCheck позволяет осуществлять глубокие проверки таких СУБД как Microsoft SQL Server 2005/2008/2008 R2/2012/2014/2016, MySQL Server 5.5/5.6/5.7, Oracle Database Server 11/12 PostgreSQL.

 

Рисунок 12. Формирование задания аудита конфигураций сервера приложений в RedCheck 2.0

Формирование задания аудита конфигураций сервера приложений в RedCheck 2.0

 

Рисунок 13. Результат аудита конфигураций сервера приложений в RedCheck 2.0

Результат аудита конфигураций сервера приложений в RedCheck 2.0

 

Интересной фичей для данного блока является функция «Контроль». Выбрав в закладке «Истории» одно из заданий «аудит конфигураций», можно поставить его на контроль, результатом сканирования будут не все параметры, а лишь только изменившиеся, что удобно при контроле систем в процессе эксплуатации.   

Аудит и установка обновлений (Patch Manager)

Сканер RedCheck является единственным в своем классе, который не только обнаруживает, но и самостоятельно устанавливает недостающие обновления безопасности. Сканер способен интегрироваться с Microsoft WSUS и с помощью специального Агента осуществлять установку обновлений безопасности как для продуктов Microsоft, так и для программ сторонних разработчиков, работающих на платформе Windows. Сегодня доступна установка обновлений практически для всех продуктов Microsoft и более 100 популярных программ работающих под управлением Windows других вендоров, таких как Adobe, PostgreSQL, Google и пр. Каталог программ, обновляемых с помощью RedCheck, cо слов разработчиков, постоянно расширяется.

 

Рисунок 14. Логическая схема аудита и установки обновлений безопасности RedCheck

Логическая схема аудита и установки обновлений безопасности RedCheck

 

Специально для российских пользователей сертифицированных по требованиям безопасности версий Microsoft реализован легитимный механизм управления (установки) обновлениями, прошедших процедуру сертификации.

 

Рисунок 15. Формирование задания обновления программного обеспечения в RedCheck 2.0

Формирование задания обновления программного обеспечения в RedCheck 2.0

Инвентаризация

Инвентаризация состава программного и аппаратного обеспечения является типовой функцией для сканеров этого класса. Теперь инвентаризацию можно проводить как с использованием агента, так и без него (доступные транспорты WinRM, SSH).

 

Рисунок 16. Формирование задания инвентаризации в RedCheck 2.0

Формирование задания инвентаризации в RedCheck 2.0

Сетевые проверки

В RedCheck реализована поддержка внешней сетевой утилиты Nmap, с помощью которой можно  провести некоторые сетевые проверки. Для подключения Nmap к консоли управления RedCheck необходимо открыть пункт меню «Инструменты» — «Настройки», вкладка «Компонент Nmap» и установить флаг «Использовать Nmap», после чего указать путь к папке, где установлен Nmap, и задать число потоков работы сканера. Активация утилиты Nmap позволит использовать в RedCheck функции «Сканирование портов» и «Подбор паролей».

Контроль целостности

Сканер может использоваться как инструмент фиксации и контроля целостности как системных файлов и папок, так и защищаемых данных. Контрольное суммирование осуществляется с помощью заимствованной сертифицированной  ФИКС-библиотеки по «уровню 3»  от  разработчика известной программы ФИКС.

 

Рисунок 17. Подключение внешней сетевой утилиты NMAP в RedCheck 2.0

Подключение внешней сетевой утилиты NMAP в RedCheck 2.0

Система отчетности

Программа, как и раньше, предоставляет возможность построения простых и дифференциальных отчетов. Несколько расширилась возможности их построения, в частности, сейчас в качестве исходных данных может быть выбран конкретный хост, задание или актуальное сканирование.

При построении отчета можно задать, какие элементы отчета включать, что позволяет существенно уменьшить его объем (см. рисунок).

Пользователь сканера может самостоятельно определять содержание отчета. Типовой отчет содержит следующие разделы:

  • статистические данные аудита в виде диаграммы и/или таблицы;
  • сводную информацию о результатах аудита;
  • детализированную информацию о данных аудита, сгруппированную по сканируемым узлам сети.

Каждая из перечисленных категорий может включаться или не включаться в отчет в зависимости от выбранных настроек.

 

Рисунок 18. Настройка содержимого отчета в RedCheck 2.0

Настройка содержимого отчета в RedCheck 2.0

 

Имеется возможность формирования дифференциальных отчетов, что позволяет отслеживать любые изменения между двумя сканированиями, будь то появившиеся уязвимости, измененные параметры, несанкционированно установленное программное обеспечение или «железо».

Сформированные отчеты сохраняются в системе и могут быть экспортированы в один из выбранных форматов — PDF, XML или HTML. Имеется возможность отправлять из системы сформированные отчеты на указанные электронные адреса.

 

Рисунок 19. Вкладка «Отчеты» в RedCheck 2.0

Вкладка «Отчеты» в RedCheck 2.0

 

Рисунок 20. Фрагмент отчета, генерируемого в RedCheck 2.0

Фрагмент отчета, генерируемого в RedCheck 2.0

 

В целом, отчеты красочны и иллюстративны, могут выступать как «генеральскими отчетами», так и использоваться в качестве заданий на выполнение работ системным администратором.

 

Выводы

Стоит отметить, что за последние несколько лет продукт получил серьезное развитие и ряд значимых конкурентных преимуществ.

В первую очередь, была значительно доработана функциональность, много внимания было уделено юзабилити работы с программой, увеличилось число сканируемых платформ и предлагаемых готовых конфигураций безопасности. Добавлено еще  несколько способов (транспортов) для безагентного сканирования.

Также стоит отметить, что RedCheck стал действительно полноценным сканером для Enterprise-систем с качественно новой архитектурой и возможностями по масштабированию и гибкой системой лицензирования.

Отличительной особенностью сканера является наличие модуля Patch Manager, что позволяет не только обнаруживать уязвимости, но и устранять их путем установки обновлений из того же интерфейса программы.

Как и прежде, программа имеет понятный графический интерфейс, не предъявляет высоких требований к подготовке пользователя при установке и использовании.

Достоинства:

  • Наличие сертификата ФСТЭК России.
  • Размещение в реестре отечественного ПО.
  • Поддержка банка уязвимостей ФСТЭК России.
  • Широкие возможности анализа выявленных проблем.
  • Три режима сканирования программы.
  • Собственная открытая база данных OVALdb об уязвимостях открытом формате.
  • Наличие web-консоли и возможность управления несколькими серверами сканирования для редакции Enterprise.
  • Наличие  Update-сервера для работы в сетях без прямого доступа в интернет.
  • Глубокий аудит защищенности Linux- и Windows-систем.
  • Комплексные проверки web-серверов (серверов приложений) и различных СУБД.
  • Возможность устранения брешей при помощи модуля Patch Manager.
  • Широкий набор конфигураций (compliance) безопасности, адаптированных под требования регуляторов с возможностью редактирования.
  • Гибкая политика лицензирования.

Недостатки:

  • По-прежнему слабое сканирование в режиме «Черный ящик», слабые сетевые проверки.
  • Небольшой перечень поддерживаемого сетевого оборудования.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.