27 августа 2017
Обзор решения: RedCheck
Большинство продуктов для анализа защищенности нацелены прежде всего на поиск уязвимостей. Мне же сегодня хочется рассказать о продукте, который существенно выделяется на их фоне. Это RedCheck от компании «Алтэкс-Софт». А выделяется он целой гаммой функций по аудиту безопасности и, прежде всего, функциями аудита конфигураций. Но обо всем по порядку.
Отличительные черты RedCheck
RedCheck поддерживает целых 5 видов аудита безопасности:
- аудит уязвимостей — производит поиск уязвимостей на сканируемых машинах по имеющимся в БД сигнатурам;
- аудит обновлений — производит проверку актуальности установленных обновлений;
- аудит конфигураций — осуществляется оценка конфигураций на соответствие требованиям международных стандартов и рекомендаций;
- аудит защищенности СУБД — позволяет оценить используемые в СУБД настройки на соответствие требованиям безопасности;
- аудит безопасности серверов приложений — аналогично СУБД, но для серверов приложений.
Аудит безопасности может проводиться в отношении всех современных версий Windows, некоторых дистрибутивов Linux (Debian, Ubuntu, Red Hat, CentOS, Oracle Linux, SUSE Linux), СУБД MSSQL, Oracle RDBMS, MySQL, PostgreSQL, а также систем виртуализации VMWare ESXi и vCenter. Помимо этого, поддерживаются сетевые устройства от Cisco и Huawei.
Аудит конфигураций — одна из наиболее интересных возможностей RedCheck’а, т.к. позволяет частично автоматизировать процесс выполнения аудита на соответствие таким стандартам, как CIS, MSCM, PCI DSS и др. Доступны для проверки конфигурации наиболее популярных российских СЗИ от НСД: Secret Net и Dallas Lock.
В качестве базы данных уязвимостей используется репозиторий OVALdb, размещенный на портале «Алтэкс-Софт». Репозиторий имеет статус CVE-Compatible, что свидетельствует о соответствии требованиям стандарта CVE. Репозиторий поддерживается компанией «Алтэкс-Софт» и содержит более 100 000 верифицированных проверок безопасности.
Продукт сертифицирован ФСТЭК по 4 уровню контроля НДВ и на соответствие техническим условиям, а также включен в реестр российского ПО, что в свете постоянно ужесточающихся требований российского законодательства является существенным конкурентным преимуществом. А вкупе с весьма либеральной политикой лицензирования — продукт сравнительно недорогой — это преимущество может стать определяющим для большинства компаний, находящихся под пристальным вниманием регуляторов.
Интеграция решения в инфраструктуру
Решение может интегрироваться в двух режимах: агентский и безагентский. Агенты разработаны только для Windows-платформ. Для всех остальных объектов аудита работа будет осуществляться всегда в безагентском режиме. Более того, даже для Windows, можно добиться того, чтобы почти все функции работали в безагентском режиме. Для этого потребуется настроить WinRM (служба для удаленного управления посредством Windows Remote Shell) на всех сканируемых Windows-машинах. При работе с Linux использует SSH. Чтобы RedCheck выполнял все возложенные на него функции, понадобится доверить ему данные для входа на целевые системы с правами администратора/суперпользователя.
RedCheck может быть установлен только в Windows-окружение. При этом не обязательно, чтобы это была серверная версия Windows. В плане архитектуры решение состоит из служб сканирования и синхронизации, консоли управления и базы данных, в которой хранятся задания и результаты сканирований.
В последний раз я осуществлял интеграцию RedCheck именно в безагентском режиме. Основной сценарий использования, который требовался заказчику — это аудит безопасности конфигураций. Уязвимости и все прочие проверки интересовали в меньшей степени. Сам продукт устанавливается и настраивается элементарно. Для настройки WinRM понадобилось создать соответствующую групповую политику.
В целом, при наличии всех необходимых прав по доступу к инфраструктуре, решение развертывается за пару часов. Однако в дальнейшем, при настройке доступов, заданий, отчетов и пр. могут возникать непредвиденные трудности. В частности, я наткнулся на пару багов в реализации графического интерфейса, которые несколько подпортили впечатление от работы с решением. Видно, что продукт активно дорабатывается и некоторые функции пока еще не реализованы в своем финальном виде. Приятно порадовала работа службы поддержки. В обоих случаях коллеги быстро подсказали workaround.
Пару слов об интеграции с другими продуктами и решениями. «Из коробки» продукт поддерживает интеграцию с nmap. С другими сканерами продукт не интегрируется. Интерфейс программы позволяет сгенерировать отчет только в формате PDF. Хотя, на самом деле, те же данные доступны в формате XML по адресу %PROGRAMDATA%\ ALTEX-SOFT\RedCheck\Temp. Странно, что авторы никак не отметили этот момент в документации, поскольку это самая удобная возможность экспортировать результаты аудитов в какую-либо SIEM или eGRC-систему.
Эксплуатация RedCheck
С точки зрения сценариев использования решения, продукт полностью соответствует своему назначению. Для служб обеспечения информационной безопасности наиболее очевидными вариантами использования являются:
- озадачить службу IT приведением вычислительной инфраструктуры в порядок;
- контролировать динамику изменения состояния защищенности вычислительной инфраструктуры;
- выявлять некоторые инциденты информационной безопасности.
Отчеты RedCheck весьма подробны: они содержат эталонные значения, отсылки к конкретным параметрам, которые рекомендуется изменить, в большинстве случаев указываются причины, по которым это необходимо сделать. Более того, вся информация приводится на русском языке. В целом, отчеты легко читаются и после некоторого осмысления могут быть использованы как руководства к действию для IT-специалистов.
Пример содержимого отчета RedCheck
С точки зрения контроля защищенности в динамике интересна функция «дифференциальный отчет». Это специальный тип отчета, который показывает «логическую разницу» между двумя результатами выполнения одного и того же задания сканирования. То есть можно сравнить результаты двух сканирований, которые были выполнены в различные моменты времени.
RedCheck также может использоваться как инструмент для выявления как минимум двух типов инцидентов информационной безопасности. Функция инвентаризации, включенная в состав продукта, позволяет контролировать наличие на целевой системе неразрешенного политикой организации программного обеспечения. Функция фиксации (контроля целостности) состояния файлов, директорий и веток реестра позволит выявить несанкционированное изменение конфигураций целевых систем. Правда для Windows эта функция доступна только в агентском режиме.
Заключение
В целом продукт весьма интересен. Интересен прежде всего своими функциональными возможностями. Приятным дополнением к этому является наличие сертификата ФСТЭК, а также весьма невысокая стоимость. И если закрыть глаза на небольшие недочеты в реализации, которые не влияют на результаты работы и, я уверен, со временем будут устранены, то RedCheck можно смело рекомендовать ко внедрению, как основной инструмент контроля и анализа защищенности.
Петр Кириченко
Инженер, Акрибия
Инженер, Акрибия
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме