Получил сегодня новогодний подарок от коллег из АЛТЭКС-СОФТ в красивой белой коробке. Внутри, помимо поздравительной открытки:
🔹 Адвент-календарь с шоколадочками. 🙂
🔹 Настолка "Я не робот". 🎲
🔹 Умная гирлянда ROXIMO и новогоднее украшение. 🎄
Просто ТОП и по содержанию, и по оформлению! 👍
Спасибо большое, АЛТЭКС-СОФТ! 😇 С праздником!
У компании Алтэкс-Софт вышла новая версия сканера уязвимости RedCheck 2.11. Что там нового?
🔹 Мультитенантность. Теперь можно ограничивать доступ пользователей к хостам и задачам сканирования. Это важный шаг для реализации своего "облачного VM-а" (а-ля Qualys и TenableVM) или решения для MSSP. Хоть я и не уверен, что Алтэкс-Софт туда идут. 🙂
🔹 Возможность добавлять свои Lua-скрипты для пентест-проверок. Nmap-совместимые. 😉
🔹 Возможность добавлять свои YARA-правила. В первую очередь для детектирования малварей, но и возможности YARA этим не ограничиваются.
🔹 Новые сборки RedCheck теперь выходят только под Linux. Поддерживается установка на отечественные ОС и Debian.
🔹 Остальные фичи - это улучшение работы SCAP-движка, массовых операций, отчётов, расписаний, расширение контента (+ Alpine, >30 наименований 3rdParty Linux ПО, новые Docker-образы).
Видяшка по новым фичам пока не выходила. Ждём. 🙂
Впечатление от модуля аналитики в RedCheck.
🔹 Это большой шаг вперёд. 👍 Раньше, чтобы решать проблемы со сканами и анализировать уязвимости/мисконфигурации в масштабе инфраструктуры необходимо было стороннее решение (коммерческое или самописное), которое бы работало с RedCheck через API и/или на уровне базы. Теперь эти задачи в значительной мере можно решать прямо из интерфейса.
🔹 Радует внимание к обнаружению проблем в сканировании активов. 🔥 Следует также отслеживать для каких активов нет детектов уязвимостей (и прочее по первой колонке БОСПУУ), но с этим сложнее. 🤷♂️
🔹 Реализованные инструменты низкоуровневые. Они помогут понять, что уязвимости не исправляются и харденинг не проводится. Но почему и что с этим делать? Это за рамками.
🔹 Постоянно вручную делать фильтрации через формы - так себе удовольствие. Нужны хотя бы сохраняемые запросы с выводом на дашборды и в алерты. Возможно это будет в VM от Altx Soft, который обещают представить в 26 году.
Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck. Модуль доступен в RedCheck 2.8 (вышел в декабре 2024 года) для вариантов Expert и Enterprise. Содержит формы:
🔹 "Актуальность сканирования" показывает почему нет результатов сканирования: ошибки или недоступность хоста, нет задания на сканирование хоста или задание на сканирование не запускалось.
🔹 "Недоступность хостов" показывает детали по причинам недоступности: ошибки сетевого доступа, тайм-ауты, некорректные учётки, ошибки прав доступа, нарушение целостности агента/сканера и т.д.
🔹 "Анализ уязвимости" позволяет фильтровать уязвимости на хостах по критичности, наличию эксплоитов, присутствию в бюллетенях НКЦКИ и БДУ ФСТЭК.
🔹 "Контроль устранения уязвимостей" позволяет выделять новые, устранённые и неустранённые уязвимости на хостах.
🔹 "Анализ конфигураций" позволяет отслеживать соответствие хостов стандартам безопасной настройки, в том числе по конкретным требованиям.
На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями. В настоящий момент есть данные по Max Patrol VM V.2.8 (27.3) и RedCheck V.2.9.1. Ещё 6 решений в процессе тестирования. Сравнение шло по 74 критериям с использованием открытой методики тестирования. Это не просто заполнение опросников VM-вендором, а результаты практической работы с развёрнутыми решениями. Сравнительные таблицы доступны на web-странице и в pdf.
Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉
На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference. В 14:00 начнётся панельная дискуссия "Тотальный VM-разбор: вендор, заказчик и ML против уязвимостей". Очень приятно, что коллеги из R-Vision пригласили в дискуссию представителя Positive Technologies (меня 🙂) и RedCheck (Сергея Уздемира). Не часто конкурентам дают слово на вендорских мероприятиях. Большой респект R-Vision за это! 👍👏
Собираюсь говорить про БОСПУУ, контроль качества сканирования, почему VM-процесс становится ущербным и как может выглядеть осознанный подход к VM-у. В общем, о всех тех вещах, где видится большой потенциал для взаимодействия VM-вендоров, независимо от особенностей их продуктов и маркетинговых стратегий. 🙂 Будет интересно получить обратную связь от участвующих в дискуссии представителей клиентов (Сбертех, Вымпелком, Агроэко).
➡️ Регистрация на сайте
📍 Loft Hall и онлайн
Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:
🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)
Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂
Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅
Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.
В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.