27 августа 2017

Обзор решения: RedCheck

Большинство продуктов для анализа защищенности нацелены прежде всего на поиск уязвимостей. Мне же сегодня хочется рассказать о продукте, который существенно выделяется на их фоне. Это RedCheck от компании «Алтэкс-Софт». А выделяется он целой гаммой функций по аудиту безопасности и, прежде всего, функциями аудита конфигураций. Но обо всем по порядку.

Отличительные черты RedCheck

RedCheck поддерживает целых 5 видов аудита безопасности:

  • аудит уязвимостей — производит поиск уязвимостей на сканируемых машинах по имеющимся в БД сигнатурам;
  • аудит обновлений — производит проверку актуальности установленных обновлений;
  • аудит конфигураций — осуществляется оценка конфигураций на соответствие требованиям международных стандартов и рекомендаций;
  • аудит защищенности СУБД — позволяет оценить используемые в СУБД настройки на соответствие требованиям безопасности;
  • аудит безопасности серверов приложений — аналогично СУБД, но для серверов приложений.
Аудит безопасности может проводиться в отношении всех современных версий Windows, некоторых дистрибутивов Linux (Debian, Ubuntu, Red Hat, CentOS, Oracle Linux, SUSE Linux), СУБД MSSQL, Oracle RDBMS, MySQL, PostgreSQL, а также систем виртуализации VMWare ESXi и vCenter. Помимо этого, поддерживаются сетевые устройства от Cisco и Huawei.
Аудит конфигураций — одна из наиболее интересных возможностей RedCheck’а, т.к. позволяет частично автоматизировать процесс выполнения аудита на соответствие таким стандартам, как CIS, MSCM, PCI DSS и др. Доступны для проверки конфигурации наиболее популярных российских СЗИ от НСД: Secret Net и Dallas Lock.
В качестве базы данных уязвимостей используется репозиторий OVALdb, размещенный на портале «Алтэкс-Софт». Репозиторий имеет статус CVE-Compatible, что свидетельствует о соответствии требованиям стандарта CVE. Репозиторий поддерживается компанией «Алтэкс-Софт» и содержит более 100 000 верифицированных проверок безопасности.
Продукт сертифицирован ФСТЭК по 4 уровню контроля НДВ и на соответствие техническим условиям, а также включен в реестр российского ПО, что в свете постоянно ужесточающихся требований российского законодательства является существенным конкурентным преимуществом. А вкупе с весьма либеральной политикой лицензирования — продукт сравнительно недорогой — это преимущество может стать определяющим для большинства компаний, находящихся под пристальным вниманием регуляторов.

Интеграция решения в инфраструктуру

Решение может интегрироваться в двух режимах: агентский и безагентский. Агенты разработаны только для Windows-платформ. Для всех остальных объектов аудита работа будет осуществляться всегда в безагентском режиме. Более того, даже для Windows, можно добиться того, чтобы почти все функции работали в безагентском режиме. Для этого потребуется настроить WinRM (служба для удаленного управления посредством Windows Remote Shell) на всех сканируемых Windows-машинах. При работе с Linux использует SSH. Чтобы RedCheck выполнял все возложенные на него функции, понадобится доверить ему данные для входа на целевые системы с правами администратора/суперпользователя.
RedCheck может быть установлен только в Windows-окружение. При этом не обязательно, чтобы это была серверная версия Windows. В плане архитектуры решение состоит из служб сканирования и синхронизации, консоли управления и базы данных, в которой хранятся задания и результаты сканирований.
В последний раз я осуществлял интеграцию RedCheck именно в безагентском режиме. Основной сценарий использования, который требовался заказчику — это аудит безопасности конфигураций. Уязвимости и все прочие проверки интересовали в меньшей степени. Сам продукт устанавливается и настраивается элементарно. Для настройки WinRM понадобилось создать соответствующую групповую политику.
В целом, при наличии всех необходимых прав по доступу к инфраструктуре, решение развертывается за пару часов. Однако в дальнейшем, при настройке доступов, заданий, отчетов и пр. могут возникать непредвиденные трудности. В частности, я наткнулся на пару багов в реализации графического интерфейса, которые несколько подпортили впечатление от работы с решением. Видно, что продукт активно дорабатывается и некоторые функции пока еще не реализованы в своем финальном виде. Приятно порадовала работа службы поддержки. В обоих случаях коллеги быстро подсказали workaround.
Пару слов об интеграции с другими продуктами и решениями. «Из коробки» продукт поддерживает интеграцию с nmap. С другими сканерами продукт не интегрируется. Интерфейс программы позволяет сгенерировать отчет только в формате PDF. Хотя, на самом деле, те же данные доступны в формате XML по адресу %PROGRAMDATA%\ ALTEX-SOFT\RedCheck\Temp. Странно, что авторы никак не отметили этот момент в документации, поскольку это самая удобная возможность экспортировать результаты аудитов в какую-либо SIEM или eGRC-систему.

Эксплуатация RedCheck

С точки зрения сценариев использования решения, продукт полностью соответствует своему назначению. Для служб обеспечения информационной безопасности наиболее очевидными вариантами использования являются:
  • озадачить службу IT приведением вычислительной инфраструктуры в порядок;
  • контролировать динамику изменения состояния защищенности вычислительной инфраструктуры;
  • выявлять некоторые инциденты информационной безопасности.
Отчеты RedCheck весьма подробны: они содержат эталонные значения, отсылки к конкретным параметрам, которые рекомендуется изменить, в большинстве случаев указываются причины, по которым это необходимо сделать. Более того, вся информация приводится на русском языке. В целом, отчеты легко читаются и после некоторого осмысления могут быть использованы как руководства к действию для IT-специалистов.
Пример отчета RedCheck
Пример содержимого отчета RedCheck
С точки зрения контроля защищенности в динамике интересна функция «дифференциальный отчет». Это специальный тип отчета, который показывает «логическую разницу» между двумя результатами выполнения одного и того же задания сканирования. То есть можно сравнить результаты двух сканирований, которые были выполнены в различные моменты времени.
RedCheck также может использоваться как инструмент для выявления как минимум двух типов инцидентов информационной безопасности. Функция инвентаризации, включенная в состав продукта, позволяет контролировать наличие на целевой системе неразрешенного политикой организации программного обеспечения. Функция фиксации (контроля целостности) состояния файлов, директорий и веток реестра позволит выявить несанкционированное изменение конфигураций целевых систем. Правда для Windows эта функция доступна только в агентском режиме.

Заключение

В целом продукт весьма интересен. Интересен прежде всего своими функциональными возможностями. Приятным дополнением к этому является наличие сертификата ФСТЭК, а также весьма невысокая стоимость. И если закрыть глаза на небольшие недочеты в реализации, которые не влияют на результаты работы и, я уверен, со временем будут устранены, то RedCheck можно смело рекомендовать ко внедрению, как основной инструмент контроля и анализа защищенности.
Петр Кириченко
Инженер, Акрибия
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме