Архив метки: ALTXSOFT

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).

1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.

Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.

АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.

НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.

Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.

Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.

Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.

Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux

Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux. Продолжаю обозревать крутые штуки от ФСТЭК.

У меня в декабре был пост, что если бы я был регулятор, то обязал бы вендоров сертифицированных Linux-ов привести в порядок бюллетени безопасности, а идеально было бы OVAL контент предоставлять. Так как это делает RedOS. И в каком-то виде это осуществилось. 🤩 Ну не силами Linux-вендоров, а силами ИБ-вендора и регулятора. И с существенными ограничениями. Но факт - вот тебе OVAL-контент для сертифицированных Linux-ов в паблике и бесплатный сканер, который с ним работает.

На сайте ФСТЭК-а выложили бесплатный локальный сканер уязвимостей ScanOVAL в версиях под Linux (раньше был только под Windows). И OVAL-контент к нему. В трёх вариантах:

1. ScanOVAL для ОС Astra Linux 1.6 SE - тестовая версия сканера и OVAL-контент
2. ScanOVAL для ОС Альт 9 - тестовая версия сканера и OVAL-контент
3. ScanOVAL для ОС Роса «Кобальт» - тестовая версия сканера (OVAL-контент пока недоступен)

ScanOVAL это, конечно, не вполне полноценный сканер. Он может сканировать только локалхост. Штатно запускается только в графическом режиме. Т.е. использовать его, чтобы вручную валидировать уязвимости на хостах получится, а приспособить для регулярного сканирования всей инфры скорее всего нет. Понятно зачем сделано, этот продукт не должен рушить бизнес VM-вендорам.

Другой вопрос, который естественно возникает, когда видишь OVAL-контент в паблике, а можно ли его использовать не в составе ScanOVAL? 😏 Например, OpenSCAP-у скормить, свой OVAL сканер написать или интерпретировать во что-нибудь? Ответ: технически реально, а юридически нельзя, т.к. EULA для ScanOVAL это отдельно оговаривает:

"Не допускается осуществлять следующие действия:

использовать ПО и (или) описания проверок (включая любые их фрагменты), применяемые в ее составе, с целью создания баз данных или кода, предназначенных для предотвращения угроз безопасности информации;
публиковать, а также распространять от своего имени любые фрагменты описаний проверок, применяемых в составе ПО;
…"

Тоже понятно почему. Идентификаторы дефинишенов, такие как "oval:ru.altx-soft.nix:def:156318", не оставляют сомнений в происхождении контента и понятно, что рушить свой бизнес коммерческому VM вендору совсем не нужно.

Поэтому,
1. Круто, что появилась возможность сканировать сертифицированные отечественные Linux-ы бесплатным решением. Даже если использовать его только в ручном режиме как эталонный сканер, это более чем полезно.
2. Потребность в OVAL-контенте (или просто бюллетенях хотя бы) от Linux-вендора это не снимает, т.к. EULA конечно полноценно использовать контент для ScanOVAL не позволяет, к сожалению.

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider. В этом обновлении логика работы не поменялась. Все управление осталось таким же. Обновили интерфейс в стиле Win11, с которым будет приятно глазу работать. Планируют сделать и темную тему.

Конечно хотелось бы увидеть финт, который сделали Tenable c Nessus. Когда-то давно у них был толстый клиент, а потом они перешли на веб-интерфейс (сначала на Flash, потом переписали на SPA), в процессе сделали вполне приличный API. Потом правда этот API официально выпилили из Nessus, но в Tenable.io он продолжает использоваться. Такой же финт, насколько я понимаю, сделали Altx-Soft с дополнительным веб-интерфейсом для RedCheck.

Было бы круто увидеть web gui для MaxPatrol 8 и XSpider, но ожидать его не приходится по ряду причин. Перечисленное исключительно моё имхо:

1. Толстый клиент MP8/XSpider гораздо более мощный по функциональности, чем у конкурентов. Чтобы сделать вегбуй требуется серьезное изменение логики и переписывание многих модулей. И это уже делается в разработке Maxpatrol VM.
2. MP8/XSpider существуют по той причине, что пока ещё не вся экспертиза и функциональность перенесена в Maxpatrol VM (комплаенс-режима, например, нет). Рано или поздно это произойдет и эти продукты контролируемо сведут с орбиты. НО пока продажи и поддержку продолжают, прекращать не планируют. Это же объясняет и почему не оправдана миграция на Linux текущих решений.
3. Логично было бы предположить появление нового поколения решений а-ля MP8 и XSpider, урезанных из Maxpatrol VM, когда будут достигнуты цели из п.2.

PS: В QA интересный вопрос был про продление про сертификатов для MP8/XSpider после 08.07.2024. Ответили, что под большим вопросом, как и для всего ПО под Windows в принципе.

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.

Что сканировать?

1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).

Чем сканировать?

Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.

Итак, вы решили начать разработку своего Vulnerability Management решения

Итак, вы решили начать разработку своего Vulnerability Management решения. Часть 3. На чем можно срезать углы?

Подводные камни подсветили, специализаций коснулись. В этой завершающей части посмотрим как можно быстро слепить VM-решение из того, что есть в паблике:

1. Весьма соблазнительно взять опенсурсный сканер и, несколько доработав его, начать продавать как коммерческий продукт или сервис. Например, взять OpenVAS/GVM, Nuclei, Nmap. Однако следует понимать, что вместе с наработками придется брать в нагрузку и немалое легаси. И возможно реализовать какую-то конкретную функциональность с нуля было бы проще, чем поддерживать форк проекта с историей. Кроме того за успешным опенсурсным сканером, как правило, стоит коммерческая компания, которая этот проект уже монетизирует и конкурентам не рада. Стоит ожидать, что вам будут вставлять палки в колеса, например через хитрое лицензирование (Nmap) или ограничение бесплатного публичного фида с детектами (OpenVAS/GVM). И тут уж как впишитесь.
2. Часто для того, чтобы по-быстрому добавить детектирование уязвимостей реализуют такую схему: детектирование CPE идентификатора установленного софта и поиск уязвимостей в базе NVD. Просто, быстро, универсально. Но далеко не всегда достоверно, т.к. ошибки могут быть и при детектировании CPE, и описании уязвимой конфигурации в NVD. Да и не всё всегда определяется версиями софта, свою роль могут играть патчи и их перекрытия. Продемонстрировать как такая схема работает можно на примере Nmap + Vulners plugin. Nmap тут отвечает за детект CPE, а Vulners за поиск по NVD.
3. Отдельная большая тема это SCAP/OVAL. Если кратко, то это набор открытых спецификаций для описания уязвимостей/мисконфигураций и того как их по этому описанию детектировать. Есть много бесплатного публичного контента: репозиторий CIS, DISA STIGs, профили PCI DSS от OpenSCAP, Windows уязвимости в коненте от ФСТЭК/АЛТЭКС-СОФТ, вендорский контент для Ubuntu, Debian, RHEL. Есть как минимум один опенсурсный SCAP/OVAL сканер, который все ещё развивается, это OpenSCAP от RedHat. Есть старые заброшенные проекты ovaldi и jovaldi. C открытыми SCAP/OVAL сканерами под Windows все традиционно тяжко, OpenSCAP в этом направлении шел, но не так давно под Windows его перестали поддерживать. Следует отметить, что продвигается эта тема в первую очередь американцами для контроля безопасности их государственной инфры (для военных и федеральных агентств в основном). Чуть менее чем все вакансии по SCAP/OVAL открываются в США и требуют американское гражданство и clearance, что намекает. 😉 Также они навязывают VM-вендорам поддерживать SCAP/OVAL, что те и делают, кто-то более формально, кто-то менее. В общем, есть соблазн в это дело крепко влезть, чтобы реюзнуть наработки. И есть как минимум одна success story у кого это получилось - RedCheck от АЛТЭКС-СОФТ. Также можно привести в пример индийскую компанию Secpod. Из минусов - спецификации там не особо простые и удобные, делать всё строго по ним достаточно тяжко, особенно реализовывать нестандартные проверки для нестандартных систем.

На этом мини-цикл про разработку VM я заканчиваю, но тему сканероделания конечно не оставляю. Дальше как раз планирую в очередной раз погружаться в SCAP/OVAL, следующий плановый эпизод будет про детектирование уязвимостей с помощью OpenSCAP.