redcheck agent что это
Обзор RedCheck 1.4
RedCheck — мощное многофункциональное средство контроля защищенности и аудита хостов и сетевого оборудования, разработанное специалистами российской компании «АЛТЭКС-СОФТ» и прошедшее сертификацию в системе ФСТЭК России. В статье приводится подробный обзор данного продукта.
Сертификат AM Test Lab
Номер сертификата: 149
Дата выдачи: 25.06.2015
Срок действия: 25.06.2020
Введение
Перед специалистами по информационной безопасности стоит множество задач, и один из комплексов проблем, обязательных для решения, — аудит информационной безопасности и контроль уровня защищенности серверов, рабочих станций и сетевых устройств. Каждый день становятся известными новые уязвимости или рекомендации вендоров по безопасной настройке приложений и операционных систем, и вручную отслеживать обновления баз общеизвестных векторов атак просто невозможно. Проблема часто усугубляется использованием в одной организации различных операционных систем и устройств разных производителей.
Еще одна задача, которая периодически встает перед специалистами по информационной безопасности, — это аудит информационной системы на соответствие требованиям регуляторов и выполнение этих требований. Это отнимает много времени и сил у ИБ-специалистов, так как аудит обычно выполняется вручную. При этом для многих российских организаций необходимо проводить оценку соответствия требованиям ФСТЭК по защите информационных систем персональных данных и государственных информационных систем, а для организаций финансового сектора — стандартам безопасности, таким как PCI DSS.
Для решения всех указанных проблем может применяться RedCheck, продукт отечественной компании «АЛТЭКС-СОФТ». Он реализует множество функций по аудиту информационной безопасности, контролю уровня защищенности информационной системы, аудиту конфигураций для проверки настроек на безопасность по рекомендации вендоров, оценке соответствия требованиям регуляторов. Также он обладает сертификатом ФСТЭК и может применяться для выполнения ряда базовых мер по защите информационных систем персональных данных, согласно «Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержден приказом ФСТЭК России № 21 от 18.02.2013), и государственных информационных систем, согласно «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11.02.2013). В нашем обзоре используется новейшая версия продукта с индексом 1.4, которая привнесла в продукт множество улучшений и сделала его более функциональным.
Архитектура RedCheck и системные требования
RedCheck логически состоит из двух частей и базы данных (БД) программы.
Первая часть разворачивается на рабочем месте администратора безопасности или на отдельном сервере. В его состав входят: служба сканирования, служба синхронизации, а также локальная консоль управления. При установке на сервере взаимодействие с консолью управления организуется с использованием протоколов удаленного управления.
Вторая часть комплекса, опционная, разворачивается на управляемых хостах и серверах под управлением операционных систем семейства Windows. То есть сканирование можно проводить по выбору заказчика как без агента, так и с агентом. Преимуществами использования агента являются более быстрое выполнение сканирования и возможность проводить сканирование без использования учетных данных администратора. Подробный перечень выполняемых функций (как без агента, так и с ним) описаны в разделе «Функциональные возможности».
БД программы разворачивается под управлением СУБД Microsoft SQL Server и предназначена для хранения данных о сканируемой инфраструктуре, а также непосредственно о результатах сканирования.
Также условно частью комплекса можно считать развернутый на доверенной части интернет-сайта компании «АЛТЭКС-СОФТ» репозиторий OVALdb, содержащий информационный контент безопасности и веб-службы, позволяющие синхронизировать необходимую информацию локальной БД RedCheck c OVALdb. Репозиторий содержит проверки безопасности, верифицированные компанией «АЛТЭКС-СОФТ» для различных программных и аппаратно-программных платформ. Все проверки описаны в открытом формате SCAP, сам репозиторий имеет официальный статус CVE Compatible от корпорации MITRE. Кроме того, здесь же расположены средства активации и учета действующих лицензий. Существенным преимуществом репозитория, является то, что в нем кроме информации из иностранных баз данных уязвимостей приведены ссылки на банк данных угроз безопасности информации ФСТЭК России. Таким образом база данных RedCheck сопоставлена как с международными классификаторами и банками данных, так и с ресурсом, поддерживаемым Национальным регулятором.
Анализ уязвимостей требует поддержания базы уязвимостей в актуальном состоянии, так как постоянно появляются новые угрозы. В RedCheck актуальность проверок реализована с помощью обновлений баз правил с использованием службы синхронизации. Синхронизация выполняется по протоколу HTTPS, поддерживается работа через корпоративные прокси-сервера.
Требования к аппаратному и программному обеспечению для установки службы сканирования:
Аппаратные требования для установки агента RedCheck аналогичны требованиям службы сканирования за исключением объема, занимаемого на жестком диске, — достаточно 50 Мб. Агент устанавливается только в операционные системы семейства Windows. Ряд проверок, выполняемых программой — такие, как аудит СУБД, аудит конфигураций и фиксация — для операционных систем Windows выполняются только с использованием агента. Остальные проверки могут быть реализованы и без установки агента RedCheck на сканируемый хост. В сетях с доменной структурой доступна возможность централизованной установки агента RedCheck на целевые хосты. Для анализа компьютеров под управлением ОС GNU/Linux в новой версии RedCheck используется безагентная технология, при этом гарантированно поддерживаются следующие дистрибутивы:
RedCheck лицензируется по количеству сканируемых компьютеров в сети (по IP-адресам), минимальная лицензия предлагается для трех компьютеров. Лицензия действует в течение одного года с момента покупки, после чего требуется ее продление. Отдельные механизмы контроля (аудит серверов приложений) лицензируются дополнительно и в настройках продукта дополнительные лицензии присваиваются отдельным хостам. В стоимость включена техническая поддержка и доступ к серверам обновлений базы правил RedCheck. Дополнительно приобретается сертифицированный дистрибутив с формуляром, документацией и голографической наклейкой регулятора.
Функциональные возможности
RedCheck обладает широкими функциональными возможностями, некоторые из них выполняются непосредственно службой сканирования, для остальных требуется установленный на компьютере агент.
RedCheck поддерживает следующие типы заданий:
При работе совместно с агентами, установленными на анализируемые компьютеры, возрастает информативность отчетов, а некоторые задания не могут быть выполнены без агентов в принципе — это относится к ОС семейства Windows. Выполнение всех типов заданий для Linux-платформ сделано полностью безагентским.
RedCheck также обладает широкими возможностями по просмотру истории выполненных проверок, гибкой системой построения отчетов и может отправлять уведомления по электронной почте.
Работа с RedCheck
При запуске консоли управления RedCheck автоматически открывается мастер диагностики проблем и отображается общее состояние программного продукта. Мастер проверяет связь RedCheck с базой данных, работу службы синхронизации, действие лицензии на продукт и функционирование службы сканирования. В случае обнаружения трудностей сразу же предлагаются пути решения, что позволяет быстро находить проблемы в настройках RedCheck или связанных с ним сервисов.
Рисунок 1. Мастер диагностики проблем RedCheck
На стартовом экране консоли управления RedCheck отображается актуальная информация о системе — данные аудита обновлений, последние найденные уязвимости, график распределения уровня риска уязвимостей, перечень наиболее проблемных компьютеров в сети и график распределения уязвимостей по этим компьютерам. Также на стартовом окне при наличии доступа в интернет показываются новости от производителя.
Рисунок 2. Стартовый экран консоли управления RedCheck
В верхней части интерфейса находятся основные навигационные элементы — панель меню и вкладки с рабочими зонами. Через меню открываются различные механизмы настроек, производятся оперативные действия, а также запускается справочная система. В настройках устанавливаются параметры работы RedCheck с базой данных, директории для хранения различных данных, параметры запуска утилиты Nmap (необходимой для выполнения заданий сканирования портов и подбора паролей, а также для дополнительной возможности поиска и импорта хостов для сканирования), настройки электронной почты для отправки результатов выполнения заданий и другие параметры.
Рисунок 3. Окна настроек RedCheck
В программе представлены следующие основные рабочие вкладки:
Перед началом работы с программой в менеджере учетных записей (вкладка «Инструменты» — «Менеджер учетных записей») создаются учетные записи, от имени которых будет осуществляться реализация основного функционала RedCheck на клиентских компьютерах.
Рисунок 4. Менеджер учетных записей RedCheck
Для работы RedCheck нужны два типа учетных записей: учетные записи, запускающие консоль управления RedCheck в сеансе Windows, и учетные записи для проведения сканирования удаленных хостов. Учетные записи для сканирования задаются в «Менеджере учетных записей» и делятся на 4 типа — Windows, Linux, Cisco, SQL, которые используются для различных объектов сканирования и создаются заранее с использованием средств ОС (СУБД SQL Server, Oracle Database). Для корректной работы RedCheck нужна их специальная настройка.
Для сканирования с использованием агента учетная запись должна находиться в глобальной группе безопасности (доменная организация) или в локальной группе REDCHECK_ADMINS. Если сканирование безагентское, то учетная запить должна обладать правами локального администратора на конкретной машине или должна состоять в группе «Администраторы домена» либо группе, предоставляющей аналогичные привилегии доступа к файловой системе, реестру Windows и WMI.
Для работы с консолью управления учетная запись также должна состоять в глобальной группе безопасности REDCHECK_ADMINS и иметь привилегии, равные привилегиям учетной записи локального администратора.
Рисунок 5. Перечень хостов в RedCheck
Раздел управления хостами разделен на три рабочих зоны — группы хостов, список хостов и фильтрация выводимых данных. Сетевые узлы добавляются по отдельным IP-адресам, по диапазону или списку, для каждого хоста определяется наличие агента и есть возможность присвоения дополнительно лицензируемых механизмов. В продукте поддерживается группировка хостов, при этом один хост может одновременно входить в разные группы, в дальнейшем при формировании заданий проверяемую систему можно выбирать как из отдельных хостов, так и группой целиком.
После добавления сетевых узлов рекомендовано проводить проверку их доступности. При безагентском сканировании операционных систем семейства Windows требуется обеспечить подключение сканера к службе Windows Management Instrumentation (WMI) сканируемого узла, произвести настройки удаленного доступа и при необходимости службы DCOM. Настройки могут быть произведены локально на узле или централизованно с помощью групповых политик Windows, а также другими средствами администрирования сети. При сканировании Linux-систем в качестве транспорта используется SSH-протокол не ниже версии 2 с включенным модулем поддержки протокола SFTP. Для проведения сканирования RedCheck требуется, чтобы пользователь, от имени которого выполняется сканирование, имел права root или возможность использовать Sudo для повышения привилегий. Для сканирования Сisco IOS используется безагентский механизм сканирования. В качестве транспорта для сканирования используется SSH-протокол. Для проведения сканирования RedCheck требуется, чтобы пользователь, от имени которого выполняется сканирование, имел возможность перехода в привилегированный режим. При сканировании с агентом для проверки необходимо перейти на вкладку «Хосты», выделить выбранный хост, вызвать контекстное меню нажатием правой кнопкой мыши и выбрать «Пинг».
Рисунок 6. Импорт хостов в RedCheck
В RedCheck реализована возможность импорта хостов из Active Directory или c помощью Nmap. Администратору необходимо задать параметры поиска в Active Directory, например объектов типа «Компьютер» («(&ObjectCategory=computer)») или IP-адрес сети для импорта через Nmap, а затем в выборке, возвращенной в результате поиска, выбрать требуемые хосты.
Рисунок 7. Экран заданий в RedCheck
Вкладка «Задания» также поделена на три части, в верхней области отображается перечень текущих выполняемых задач, в нижней — завершенные задания и, как и на остальных экранах, в левой области присутствуют настройки фильтрации отображаемой информации. Задания добавляются с помощью вызова контекстного меню в верхней области экрана.
Рисунок 8. Перечень типов заданий в RedCheck
Каждому заданию присваивается имя, произвольное описание, выбирается его тип, а также тип хостов для применения задания (локальный или удаленные) и опция отправки результатов по электронной почте. Далее в зависимости от типа задания открывается еще несколько шагов, в которых выбираются конкретные хосты для работы и различные дополнительные параметры, связанные со спецификой типа задачи.
Рисунок 9. Добавление нового задания в RedCheck
Задания могут выполняться однократно сразу после создания, также есть возможность настроить запуск заданий по расписанию.
Рисунок 10. История выполнения заданий в RedCheck
Выполненные задания попадают в нижний список во вкладке «Задания» без результатов выполнения, при этом во вкладке «История» все завершенные задания содержат информацию о результатах выполнения. В случае отсутствия ошибок выполнения задания можно получить подробную информацию о найденных проблемах или выполненных действиях, выбрав задание в списке. Если ошибка все же возникла, то для нее приводится подробное описание с возможными причинами ее возникновения.
Рисунок 11. Вкладка контроля изменений в RedCheck
В новой версии RedCheck 1.4 постановка на контроль возможна для четырех типов заданий: фиксация, инвентаризация, контроль конфигураций, аудит уязвимостей. Для контроля изменений после фиксации файлов, каталогов, элементов реестра Windows перечня программного и аппаратного обеспечения, уязвимостей и конфигурации необходимо включить контроль через контекстное меню в разделе «История», в списке истории выбрать тип задания, результаты которого будут считаться эталоном меню, и выбрать опцию «Создать контроль». После этого при повторных запусках заданий контроля на вкладке «Контроль» отображаются все изменения произведенные на сканируемом хосте. В случае если расхождения не найдены, в столбце «Статус» на зеленом фоне отображается соответствующая пометка, при обнаружении расхождений статус меняется на красный, а при двойном нажатии на пункт открывается перечень обнаруженных расхождений.
Рисунок 12. Результаты расхождений при контроле в RedCheck
По выполненным заданиям и другой информации RedCheck позволяет получить отчеты в формате PDF, на вкладке «Отчеты» в контекстном меню доступна команда на построение отчета, готовые отчеты отображаются в общем списке.
Рисунок 13. Вкладка отчетов в RedCheck
В отчет попадает интересующая администратора информация, оформленная в виде, готовом для печати или передаче руководству и аудиторам. Отчет сопровождается различными диаграммами, цветовой раскраской и доступно передает всю собранную информацию.
Отчеты можно группировать по типу сканирования и по типу данных. Также в RedCheck реализована возможность сформировать отчет по актуальным сканированиям («По хостам (актуальные сканирования)»), позволяющий собрать в единый файл данные результатов нескольких сканирований, собранных в разное время и разными заданиями.
Рисунок 14. Пример отчета RedCheck
Выводы
RedCheck — комплексное решение для выполнения задач по централизованному и локальному аудиту информационной безопасности и контролю уровня защищенности серверов, рабочих станций, сетевых устройств и прикладного программного обеспечения, контролю соответствия требованиям политик и стандартов, контролю целостности, инвентаризации оборудования и программ, документированию результатов аудита. Оно обладает удобным интерфейсом и множеством дополнительных функций. Использование RedCheck позволяет выявлять проблемы безопасности, получать их подробные описания и рекомендации по их устранению, а также поддерживать установленный уровень защищенности системы. Средство дополнительно может использоваться при множестве смежных задач, например инвентаризация сети, выбор состава компонентов операционных систем и прикладного ПО и для сокращения поверхности атаки и т. д.
RedCheck обеспечивает реализацию мер защиты в информационных систем персональных данных и государственных информационных систем и может быть по достоинству оценен аудиторскими компаниями и испытательными лабораториями.
RedCheck был представлен рынку менее двух лет назад, но несмотря на небольшой возраст, этот продукт обладает широкими возможностями и продолжает постоянно развиваться. Уже сейчас RedCheck не уступает по функционалу своим конкурентам, а в некоторых аспектах значительно их превосходит. RedCheck предоставляет уникальные возможности, недоступные в других продуктах этого класса, в частности наличие агентов для проведения сканирования «изнутри» на операционных системах Windows и реализация аналогичного полнофункционального сканирования в операционных системах Linux без использования агентов, только за счет предоставления реквизитов для удаленного доступа к системе. Еще одной уникальной чертой продукта является включение в репозиторий OVALdb информации не только из международных баз уязвимостей, но и из отечественного банка угроз, поддерживаемого ФСТЭК.
Достоинства:
Недостатки:
Обзор RedCheck 2.0 — средства анализа защищенности
В 2018 году вышло обновление сканера безопасности RedCheck, он претерпел ряд важных изменений и улучшений, например: добавлена функция Patch Manager, появилась дополнительная web-консоль, расширились возможности интеграции с Active Directory, с SIEM и СУИБ, улучшена система отчетов и проверок, а также стала более гибкой политика лицензирования.
Сертификат AM Test Lab
Номер сертификата: 235
Дата выдачи: 15.10.2018
Срок действия: 15.10.2023
Введение
Одним из важнейших этапов обеспечения информационной безопасности корпоративной сети является идентификация потенциальных рисков. Большинство специалистов по информационной безопасности знают, насколько может быть опасна брешь в операционных системах, приложениях или firmware-оборудовании, и насколько важно найти эти уязвимости прежде, чем ими смогут воспользоваться злоумышленники. Помимо уязвимостей необходимо контролировать своевременность установки обновлений, корректность настроек программного обеспечения, а также проводить аудит информационной системы на соответствие требованиям регуляторов, стандартов, принятых политик.
Осуществлять эти операционные процессы вручную сложно и долго, а в больших сетях и вовсе невозможно. Для этих целей были созданы средства анализа защищенности (сканеры безопасности). Одному из таких решений — обновленной версии RedCheck 2.0 от российской компании АЛТЭКС-СОФТ — посвящен этот обзор.
RedCheck представляет собой решение для анализа защищенности и управления информационной безопасностью организации любого масштаба и обеспечивает поиск и предотвращение уязвимостей, вызванных ошибками в коде, неверными настройками параметров безопасности, слабостью парольной защиты, несанкционированной установкой программного и аппаратного обеспечения, несвоевременной установкой критичных обновлений, нарушением принятых политик безопасности.
Ранее мы публиковали обзор одной из предыдущих версий продукта RedCheck, с тех пор прошло более трех лет, и за это время он значительно изменился. В 2018 году вышла новая мажорная версия RedCheck 2.0, которая, судя по заявленным улучшениям, претерпела значительные изменения и сильно «повзрослела». В данной статье мы сфокусируем внимание на новых возможностях и улучшениях обновленной версии сканера.
Новые возможности и улучшения RedCheck 2.0
Повышение мажорного номера версии RedCheck, как правило, свидетельствует о значительных изменениях в продукте. В новой версии сканера добавились следующие возможности:
Основные функциональные возможности RedCheck:
Архитектура RedCheck 2.0 и системные требования
Гибкая модульная архитектура и система лицензирования позволяет разворачивать сканер как в локальной сети или отдельном узле, так и выстраивать иерархически подчиненные структуры без ограничений по масштабированию. Пример развертывания системы приведен на рисунках 1 и 2.
Максимальный состав системы может включать следующие структурные компоненты:
Сканирование системы при любом варианте развертывания возможно в трех режимах сканирования — агентный (только для Windows), «временный агент» (Remote Engine, только для Windows) и безагентный (на базе WMI или SSH).
Для контроля небольшой сети (до 200 узлов) RedCheck может быть непосредственно развернут на АРМ администратора (администратора безопасности) без существенной потери производительности компьютера. При сканировании крупных сетей следует руководствоваться требованиями к аппаратным требованиям сервера, приведенными в эксплуатационной документации на систему. Также RedCheck может быть установлен на ноутбук для проведения выездных проверок (аудита).
Рисунок 1. Архитектура RedCheck 2.0 (размещение компонентов RedCheck на АРМ администратора ИБ)
Наличие в RedCheck различных транспортов и протоколов управления позволяет осуществлять удаленное сканирование сети любого масштаба по всем направлениям аудита без существенной нагрузки на каналы связи. Для повышения скорости сканирования Windows-систем, снижения требований пропускной способности каналов и привилегиям доступа рекомендуется использование агента программы — RedCheck Agent.
Для работы в больших и распределенных инфраструктурах предусмотрена возможность удаленного управления неограниченным количеством экземпляров RedCheck или его дополнительными модулями сканирования. Оптимальным для данного класса систем является использование web-консоли и сервера управления, разворачиваемых в центральном офисе или ЦОД компании. Администратор безопасности из web-консоли может подключиться и полноценно управлять любым находящимся в его организации экземпляром RedCheck. При сканировании от нескольких тысяч хостов целесообразно устанавливать дополнительные модули сканирования, поддерживающие многопоточное сканирование в Windows-системах.
Рисунок 2. Архитектура RedCheck 2.0 с web-консолью и сервером управления
Системные требования
RedCheck может быть установлен на любом современном компьютере, оснащенном операционными системами семейства Microsoft Windows.
Таблица 1. Минимально рекомендуемые требования для RedCheck в зависимости от количества сканируемых хостов
CPU Pentium G4.X (двухъядерный), RAM 4 Гб, свободное пространство HDD – не менее 10 ГБ, MS SQL Express не ниже 2012
CPU Intel Core I7, RAM 8 Гб, свободное пространство HDD — не менее 10 ГБ, MS SQL Express не ниже 2012
Xeon E3 (два свободных физических ядра), RAM 8 Гб, свободное пространство HDD — не менее 100 ГБ. Коммерческая версия Microsoft SQL Server не ниже 2012.
Для больших сетей рекомендуется использовать несколько сканеров (дополнительных модулей), из расчета 1 на 2000 хостов. Для обработки результатов проверок таких сетей рекомендовано использование средств Business Intelligence либо SIEM.
Сертифицированная версия RedCheck 2.0
RedCheck сертифицирован по требованиям безопасности ФСТЭК России на соответствие ТУ и 4 уровню РД НДВ (сертификат ФСТЭК России № 3172, действителен до 23.06.2020 г).
Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать RedCheck в составе системы защиты информации, где применение сертифицированных продуктов обязательно, например, в информационных системах персональных данных, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП).
Разработчик старается все значимые обновленные версии сканера подвергать процедуре инспекционного контроля, тем самым поддерживая актуальные версии в сертифицированном состоянии.
Политика лицензирования RedCheck 2.0
Предусмотрено три редакции RedCheck, отличающиеся своими функциональными возможностями: Base, Professional, Enterprise. RedCheck в редакциях Base и Professional лицензируется по количеству сканируемых хостов. Редакция Enterprise лицензируется по количеству инсталляций и не имеет ограничений на количество сканируемых хостов. При этом существует возможность в одной системе (организации) совмещать использование различных редакций.
Стоит отметить, что имеется еще одна подредакция — RedCheck Professional для сертифицированных версий Microsoft. По своим возможностям она аналогична редакции RedCheck Professional, но при этом дополнена возможностью управления конфигурациями и установкой сертифицированных обновлений безопасности для Microsoft, прошедшего сертификацию по требованиям ФСТЭК России. Редакция поставляется только пользователям сертифицированного программного обеспечения Microsoft.
По умолчанию срок действия лицензии составляет 1 год, однако возможно приобретение RedCheck на 2 или 3 года. В дальнейшем лицензия может продлеваться. В период действия лицензии пользователю RedCheck предоставляется техническая поддержка, доступ к актуальному контенту безопасности и обновлениям программ для данной версии.
Работа с RedCheck 2.0
Работа с RedCheck осуществляется на выбор из desktop- (GUI) или web-консоли. Консоли по сути идентичны, имеют лишь незначительные графические отличия. Знакомство с новой версией RedCheck проводилось в уже привычной desktop-консоли.
Рисунок 3. Стартовое окно RedCheck 2.0 в desktop-интерфейсе
Рисунок 4. Стартовое окно RedCheck 2.0 в web-интерфейсе
На стартовом экране отображается актуальная информация о системе — данные аудита обновлений, последние найденные уязвимости, график распределения уровня риска уязвимостей, перечень наиболее проблемных хостов в сети и диаграмма распределения уязвимостей по этим хостам. Также на стартовом окне при наличии доступа в интернет показываются новости от разработчика, касающиеся тематики аудита защищенности.
Аудит уязвимостей и обновлений
Чтобы выполнить любой из аудитов, сначала необходимо в базу RedCheck завести целевые хосты.
Рисунок 5. Создание нового хоста вручную в RedCheck 2.0
В RedCheck существует несколько способов заведения хостов:
Рисунок 6. Импорт хостов из Active Directory в RedCheck 2.0
После заведения хостов для проведения сканирования необходимо сформировать задания.
Рисунок 7. Формирование задания аудита уязвимостей в RedCheck 2.0
Мастер создания заданий аудитов не претерпел существенных изменений и остался понятен даже без прочтения руководства пользователя. Из нового: для аудитов уязвимости и обновлений появились «профили» — возможность самостоятельно создавать/редактировать каталоги, на основе уже имеющихся в базе. Это позволяет осуществлять сканирование, например, только отдельных программных продуктов или новых уязвимостей, что может быть полезным, если требуется сократить время сканирования, особенно в безагентном режиме.
Вкладка «Задания» содержит таблицу, в которой перечислены все сформированные задания. Задания можно группировать по типу сканирования и по типу запуска. Появилось окно «диспетчер», в котором отображаются выполняемые или стоящие в очереди на выполнение в данный момент задания.
Рисунок 8. Вкладка «Задания» в RedCheck 2.0
Во вкладке «История» можно посмотреть историю выполнения заданий. Существует возможность инструментов фильтрации для поиска интересующего задания. Истории можно группировать по хосту, по типу сканирования, по статусу, по имени задания или использовать сразу несколько типов группировки.
Рисунок 9. Вкладка «История» в RedCheck 2.0
Для отслеживания динамики уязвимости системы можно воспользоваться вкладкой «Контроль», которая позволяет осуществлять периодическое сравнение двух сканирований, одно из которых выбрано в качестве эталонного (исходного).
Добавлены разные на первый взгляд незаметные удобства, типа настраиваемых фильтров, горячих клавиш, профилей и др. На что непременно обратят внимание пользователи, знакомые с предыдущими версиями RedCheck, так это на появившиеся поля для работы Patch Manager, теперь входящего в состав RedCheck, о котором расскажем ниже.
Аудит конфигураций
В RedCheck 2.0 заметно расширилось количество платформ, в которых стал доступен аудит конфигурации. Сегодня это все актуальные операционные системы Windows, Linux (ALT Linux, Astra Linux, Amazon Linux AMI, CentOS, Debian, FreeBSD, openSUSE, Oracle Linux, Red Hat Enterprise Linux, ROSA, SUSE, Ubuntu), сетевое оборудование Cisco, Huawei, Check Point, «Булат», платформа виртуализации VMware. Всего в представленную на тест версию было включено 106 конфигураций (compliance) для различных продуктов.
Рисунок 10. Формирование задания аудита конфигураций в RedCheck 2.0
Также имеется возможность создать отдельный профиль сканирования, например, для того чтобы исключить какие-либо неактуальные параметры.
В результатах проверок теперь можно видеть не только соответствие рекомендациям, но и фактически текущее значение параметра. В описании параметра содержится подробное описание назначения параметра и рекомендации по настройке с указанием пути, где находится данный параметр.
Рисунок 11. Результат аудита конфигураций в RedCheck 2.0
В отдельные задачи вынесены аудит конфигураций серверов приложений и СУБД. RedCheck позволяет осуществлять глубокие проверки таких СУБД как Microsoft SQL Server 2005/2008/2008 R2/2012/2014/2016, MySQL Server 5.5/5.6/5.7, Oracle Database Server 11/12 PostgreSQL.
Рисунок 12. Формирование задания аудита конфигураций сервера приложений в RedCheck 2.0
Рисунок 13. Результат аудита конфигураций сервера приложений в RedCheck 2.0
Интересной фичей для данного блока является функция «Контроль». Выбрав в закладке «Истории» одно из заданий «аудит конфигураций», можно поставить его на контроль, результатом сканирования будут не все параметры, а лишь только изменившиеся, что удобно при контроле систем в процессе эксплуатации.
Аудит и установка обновлений (Patch Manager)
Сканер RedCheck является единственным в своем классе, который не только обнаруживает, но и самостоятельно устанавливает недостающие обновления безопасности. Сканер способен интегрироваться с Microsoft WSUS и с помощью специального Агента осуществлять установку обновлений безопасности как для продуктов Microsоft, так и для программ сторонних разработчиков, работающих на платформе Windows. Сегодня доступна установка обновлений практически для всех продуктов Microsoft и более 100 популярных программ работающих под управлением Windows других вендоров, таких как Adobe, PostgreSQL, Google и пр. Каталог программ, обновляемых с помощью RedCheck, cо слов разработчиков, постоянно расширяется.
Рисунок 14. Логическая схема аудита и установки обновлений безопасности RedCheck
Специально для российских пользователей сертифицированных по требованиям безопасности версий Microsoft реализован легитимный механизм управления (установки) обновлениями, прошедших процедуру сертификации.
Рисунок 15. Формирование задания обновления программного обеспечения в RedCheck 2.0
Инвентаризация
Инвентаризация состава программного и аппаратного обеспечения является типовой функцией для сканеров этого класса. Теперь инвентаризацию можно проводить как с использованием агента, так и без него (доступные транспорты WinRM, SSH).
Рисунок 16. Формирование задания инвентаризации в RedCheck 2.0
Сетевые проверки
В RedCheck реализована поддержка внешней сетевой утилиты Nmap, с помощью которой можно провести некоторые сетевые проверки. Для подключения Nmap к консоли управления RedCheck необходимо открыть пункт меню «Инструменты» — «Настройки», вкладка «Компонент Nmap» и установить флаг «Использовать Nmap», после чего указать путь к папке, где установлен Nmap, и задать число потоков работы сканера. Активация утилиты Nmap позволит использовать в RedCheck функции «Сканирование портов» и «Подбор паролей».
Контроль целостности
Сканер может использоваться как инструмент фиксации и контроля целостности как системных файлов и папок, так и защищаемых данных. Контрольное суммирование осуществляется с помощью заимствованной сертифицированной ФИКС-библиотеки по «уровню 3» от разработчика известной программы ФИКС.
Рисунок 17. Подключение внешней сетевой утилиты NMAP в RedCheck 2.0
Система отчетности
Программа, как и раньше, предоставляет возможность построения простых и дифференциальных отчетов. Несколько расширилась возможности их построения, в частности, сейчас в качестве исходных данных может быть выбран конкретный хост, задание или актуальное сканирование.
При построении отчета можно задать, какие элементы отчета включать, что позволяет существенно уменьшить его объем (см. рисунок).
Пользователь сканера может самостоятельно определять содержание отчета. Типовой отчет содержит следующие разделы:
Каждая из перечисленных категорий может включаться или не включаться в отчет в зависимости от выбранных настроек.
Рисунок 18. Настройка содержимого отчета в RedCheck 2.0
Имеется возможность формирования дифференциальных отчетов, что позволяет отслеживать любые изменения между двумя сканированиями, будь то появившиеся уязвимости, измененные параметры, несанкционированно установленное программное обеспечение или «железо».
Сформированные отчеты сохраняются в системе и могут быть экспортированы в один из выбранных форматов — PDF, XML или HTML. Имеется возможность отправлять из системы сформированные отчеты на указанные электронные адреса.
Рисунок 19. Вкладка «Отчеты» в RedCheck 2.0
Рисунок 20. Фрагмент отчета, генерируемого в RedCheck 2.0
В целом, отчеты красочны и иллюстративны, могут выступать как «генеральскими отчетами», так и использоваться в качестве заданий на выполнение работ системным администратором.
Выводы
Стоит отметить, что за последние несколько лет продукт получил серьезное развитие и ряд значимых конкурентных преимуществ.
В первую очередь, была значительно доработана функциональность, много внимания было уделено юзабилити работы с программой, увеличилось число сканируемых платформ и предлагаемых готовых конфигураций безопасности. Добавлено еще несколько способов (транспортов) для безагентного сканирования.
Также стоит отметить, что RedCheck стал действительно полноценным сканером для Enterprise-систем с качественно новой архитектурой и возможностями по масштабированию и гибкой системой лицензирования.
Отличительной особенностью сканера является наличие модуля Patch Manager, что позволяет не только обнаруживать уязвимости, но и устранять их путем установки обновлений из того же интерфейса программы.
Как и прежде, программа имеет понятный графический интерфейс, не предъявляет высоких требований к подготовке пользователя при установке и использовании.
Достоинства:
Недостатки: