Комментарии 11
Господа Кибер безопасники, а каким сканером пользуетесь вы и почему? (какие фишки). ОпенВас нынче использовать моветон, когда сайт greenbone заблочен по гео IP. Nessus также, вполне может получить "враждебные закладки", как это было со многим софтом. Конечно это мое ИМХО. Давайте делиться опытом!
Большое спасибо автору за проявленный интерес нашему сканеру RedCheck и вдвойне спасибо за объективную оценку возможностей сканера.
Небольшие комментарии в дополнение:
1) Да, действительно, для реализации отдельных функций сетевого сканирования мы используем nmap, однако nmap используется исключительно как сетевой транспорт, и собственно для детектирования уязвимостей используется наш собственный репозиторий уязвимостей OVALdb. Более того, nmap используется исключительно легально и в составе сертифицированной версии присутствует "наша уникальная сборка nmap", прошедшая контроль отсутствия НДВ с нашими внутренними "обвязками" в виде собственных скриптов. Можно использовать и обычный nmap, но в "нашем" nmap вырезан неиспользуемый код, это требование сертификации.
2) В сканировании Windows используются 3 варианта сканирования: А) агент; Б) временный агент (он пробрасывается только на время выполнения задания и для пользователя фактически это "безагентный режим"), работающий по протоколу WinRM; В) "чистый" безагент на основе протокола WMI. Все режимы сканирования показывают идентичные результаты в части поиска уязвимостей, однако существуют объективные плюсы и минусы каждого режима и они используются для разных целей: в частности, вариант В хорошо подходит для быстрого сканирования с выборкой по продукту или по конкретному перечню наиболее актуальных для Заказчика CVE. В тоже время, варианты А и Б показывают ощутимо более быстрые результаты сканирования и рекомендуются нами для использования в штатном режиме для полного неизбирательного сканирования.
Сканирование всех остальных платформ - "чисто безагентное". Исходя из того, что нет альтернатив, в нем существенно лучше проработан механизм многопоточности, поэтому оно показывает хорошие временные показатели даже при полном сканировании по всей БД уязвимостей.
3) Хостам можно присваивать набор уникальных credentials, которые будут использоваться в приоритете над учетными данными, введенными для задания. Это существенно уменьшает количество создаваемых заданий и нивелирует указанный автором недостаток " явного указания учетных данных". Используя этот принцип, теоретически можно объединять в рамках одного задания хосты разных платформ, однако, если речь идет именно об сканировании на уязвимости, мы это не рекомендуем делать в силу описанного в п.2.
4) В режиме "аудит конфигураций" сканер имеет возможности оценки соответствия актуальным Compliance-политикам в области ИБ, включая PCI DSS, CIS, нормативные документы ФСТЭК России.
5) БД сканера полностью синхронизирована с данными репозиториев Регуляторов: БДУ ФСТЭК России и НКЦКИ. Что актуально для нашего непростого времени.
Автор может рассчитывать на получение демонстрационных версий сканера для продолжения своей исследовательской деятельности, нашу техническую поддержку и обратную связь.
От имени коллектива "АЛТЭКС-СОФТ".
Спасибо за дополнения. Кто как не разработчик знает свой продукт лучше других! Хотелось бы задать Вам вопросы в таком случае, чтобы читатели, да и я получил объективную "картину":
По 1 пункту в общим то логичный и правильный шаг с погрузкой собственных скриптов и обращению к БД уязвимостей. Это не плохое решение в общим то, однако рассматриваете ли вы возможность разделить "аудит в режиме пентест" на несколько профилей. Например, профиль "пентест веб", "пентест сетевых устройств" "пентест сети". Как правило, клиент знает что будет сканировать и разделение на профили позволит ускорить процесс сканирования, ведь не будут использоваться ненужные скрипты. Что думаете?
По 2 пункту, насколько работа без агента медленнее? Есть результаты тестирования?
Касательно третьего пункта. Да, хостам можно присваивать отдельно credentials, но мы получим задачу из пула отдельных хостов, которые изначально задавались и настраивались вручную. Настройка этой задачи достаточно долгий процесс, если мы берем крупные сети. Опять же, это не решит основную проблему функционала, когда подсеть в процессе постоянного изменения. Нужно будет вручную добавлять по новому хосту в пул и настраивать его. Однако, по крайней мере "как вариант", спасибо за дополнение.
4) Вы имеете ввиду, что критерии соответствуют этим политикам? Можно ли применять профили соответствие "на лету" как в МП8? Если да, то для меня этот функционал был не очевиден при тестировании.
5) Об этом я в общим то написал сразу в ведении. Это один из ключевых моментов, по которым я отобрал решения. И это действительно важно в наше время, когда "Отечество в опасности" в кибер-пространстве!
Пользуясь случаем, благодарю Вас, как отечественного разработчика, который создал и развивает продукт мирового уровня, несмотря на , возможно, не такие бюджеты, как тот же Tenable и другие решения западных "финансовых ИТ гигантов"!
Добрый день. Спасибо за ваши уточнения и вопросы, собственно говоря, по вопросам:
1) Да, мы развиваем pentest именно в направлении создании профилей сканирования приблизительно в ваших формулировках. Планируем его выпустить в самом ближайшем будущем.
2) Для Windows фактически у нас 2 безагентных режима и они показывают разные цифры быстродействия. В относительных цифрах: агент и безагент на протоколе WinRM в среднем в 10 раз быстрее на одном и том множестве проверок, чем WMI. Соответственно, безагент-WinRM и агент показывают приблизительно одинаковые временные показатели (один хост - от 1 до нескольких минут). Для агентского сканирования используются асинхронный способ обработки и многопоточность, поэтому безагент-WMI целесообразно использовать только для избирательного сканирования (например, поиск уязвимостей в конкретном продукте).
4) Все встроенные Compliance-политики можно посмотреть в Инструменты\Менеджер конфигураций. Там в общем списке конфигурации "на соответствие документам", есть и "экспертные" конфигурации для конкретных ОС и ПО. Менять конфигурации для задания "на лету" нельзя, но можно на одно задание "повесить" сразу несколько конфигураций.
От имени коллектива "АЛТЭКС-СОФТ".
Что могу сказать по опыту использования данных продуктов. RedCheck очень сырой продукт. У них в веб-интерфейсе не работает фильтрация задач, нельзя отредактировать задачи типа "Фиксация". Что было удивительно для меня, то что у них, когда ставишь задачу под расписание "Ежемесячно" и ты подразумеваешь, что задача будет сканироваться каждого 3 числа, то тут не так. У них под месяцем подразумевается 28 дней, то есть задача будет сканироваться не 3 числа следующего месяца, а 1 числа следующего месяца и т д. Отчет можно выгрузить только в формате PDF, например в MaxPatrol 8 можно выгрузить в формате Excel, что очень удобно для работы в будущем. RedCheck может быть хорош для маленьких организаций (до 100 хостов), но точно не для больших организаций.
Спасибо за мнение. В целом я согласен по всем нюансам. Я сначала был удивлен, что, если сканер на сервере и им захочет пользоваться несколько сотрудников, то это проблема. Только 1 может пользоваться, но, когда поставил веб интерфейс, вроде как обрадовался, а оказалось что он не полностью функционален пока что, некоторые функции нельзя активировать из под него. Проблему подтверждаю с веб. Про расписание это странно. Хотелось бы послушать ЭТЭКС-СОФТ. @CVE_fan Прокомментируете почему так решили сделать с расписанием? . Касательно выгрузки отчета я написал в статье. Мне показалось это недоработкой. Исполнители любят "парсить" данные, а не красиво читать в пдф. ПДФ больше для общей отчетности перед "управленцами". Что за МП8 скажешь?
На счет МП8. С точки зрения администрирования данного продукта, можно выделить следующее:
1) Иногда сборки выходят "корявые", из-за этого иногда приходится обновляться вручную, через СТП (отдельная песня).
2) У них иногда выходят новые фишки быстрее, чем данное описание появляется в админгайде. Бывали истории, замечаешь новую фишку, а в мануале ни слова).
3) Нет отображения в интерфейсе даты окончания сертификатов. Иногда узнаешь по факту)))
4) Очень скудное описание у некоторых уязвимостей.
5) По мелочи, зависит от инфраструктуры.
На счет "отдельной песни". СТП у PT мега адекватная, быстрая, всегда готова помочь. А у RedCheck очень плохая поддержка, у них могут месяцами решать проблемы. Как-то понадобилось в МП8 выгружать дифф отчеты в формате Excel, так ребята за 1,5 месяца сделали нам данный шаблон. К МП8 очень мало претензий, так как данное ПО очень гибкое в настройке, надо что-то выкинуть из отчета, можно сделать несколькими способами.
Да, интерфейс может и выглядит из 2000-х, но его функционал и возможности все это перекрывают.
Да, были!
Но, все зависит от настроек профиля сканирования. Был случай. УЗ закинули в группу локал админа, а в профиле сканирования установили RPC "Приоритетность транспортов для доступа к реестру" и "Приоритетность транспортов для файловых проверок" и МП8 находил меньше уязвимостей, чем если предоставить доступ через WMI.
Битва «Титанов». Сравнение двух лучших отечественных сканеров уязвимостей. MaxPatrol 8 и RedCheck Enterprise