Пришёл новогодний подарок от Эшелона. В комплекте крутейшая красная толстовка и, разумеется, легендарный календарь. 🙂
Спасибо большое, коллеги! Очень приятно. 😊
С наступающим! 🎄
Пришёл новогодний подарок от Эшелона
Добавить комментарий
Архив метки: ScanerVS
НПО "Эшелон" зарелизили Сканер-ВС 6
НПО "Эшелон" зарелизили Сканер-ВС 6. Это первая версия Сканер-ВС, которая не использует в качестве движка OpenVAS/GVM. К слову о том, стоит ли вам использовать OpenVAS/GVM для сканирования инфраструктуры, если даже эшелоновцы, у которых опыт использования и модификации этого опенсурсного решения был очень большой, в итоге от него отказались и сделали свой движок.
На что можно обратить внимание в пресс-релизе:
🔹 Сканер-ВС используют 5000 организаций в России. Это, видимо, по 5-ой версии.
🔹 Заявлена функциональность по управлению активами, в том числе с назначением уровня критичности узлам и инвентаризацией ПО.
🔹 База уязвимостей на основе NVD, БДУ и вендорских бюллетеней ("Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др."). Детект идёт хитрым быстрым поиском по этой базе "без скриптов". Где-то это наверняка cpe-детекты, где-то поиск по версиям пакетов. Это самая интересная часть и, естественно, самая закрытая.
🔹 Подчёркивают, что у них есть разнообразные брутилки.
🔹 Есть комплаенс-режим для Windows и Linux.
🔹 Работают под Astra Linux 1.7. Доступно в виде Docker Compose или ISO Live USB образа.
🔹 Стандартные фичи: API, запуск по расписанию, ежедневное обновление базы, лицензия по контролируемым активам (без привязки к конкретным хостам), триалка на 2 месяца и 16 IP.
Есть демо видео на ~8 минут. Там делают следующее:
🔻 сканят сетку
🔻 создают теги и назначают их хостам
🔻 сканируют хосты "черным ящиком" с построением карты сети
🔻 по результатам сканирования "чёрным ящиком" ищут уязвимости в NVD (по cpe - на вкладке показывают результаты cpe-match) c подсветкой уязвимых активов на карте сети
🔻 заводят SSH пользователя для актива с аутентификацией по паролю (у пользака есть опции аутентификации по ntlm, kerberos и ключам)
🔻 cканируют хост Ubuntu с аутентификацией (учётка берётся из актива)
🔻 брутят ssh пароль пользователя для актива
🔻 проводят комплаенс-скан ("Аудит") актива, для Ubuntu выполняется 10 проверок (опции монтирования файловых систем, auditd, sudo, требования к паролям, блокировка пользователя при неудачных попытках входа)
🔻 выпускают отчёт (html, pdf)
В целом, прикольный сканер вроде получился. Понятное дело, что со своими ограничениями. Перед закупкой следует его тщательно тестировать, в особенности обращать внимание на качество детектирования уязвимостей и принципиальные возможности детектирования (про сканирование сетевых устройств с аутентификацией, например, ничего не пишут). Но видно, что продукт получился самобытный и интересный. 👍
Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров
Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров.
Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.
Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.
Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)
Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).
1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)
Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.
Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.
АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.
НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.
Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.
Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.
Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.
Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.