Добрый день. Спасибо за ваши уточнения и вопросы, собственно говоря, по вопросам:
1) Да, мы развиваем pentest именно в направлении создании профилей сканирования приблизительно в ваших формулировках. Планируем его выпустить в самом ближайшем будущем.
2) Для Windows фактически у нас 2 безагентных режима и они показывают разные цифры быстродействия. В относительных цифрах: агент и безагент на протоколе WinRM в среднем в 10 раз быстрее на одном и том множестве проверок, чем WMI. Соответственно, безагент-WinRM и агент показывают приблизительно одинаковые временные показатели (один хост - от 1 до нескольких минут). Для агентского сканирования используются асинхронный способ обработки и многопоточность, поэтому безагент-WMI целесообразно использовать только для избирательного сканирования (например, поиск уязвимостей в конкретном продукте).
4) Все встроенные Compliance-политики можно посмотреть в Инструменты\Менеджер конфигураций. Там в общем списке конфигурации "на соответствие документам", есть и "экспертные" конфигурации для конкретных ОС и ПО. Менять конфигурации для задания "на лету" нельзя, но можно на одно задание "повесить" сразу несколько конфигураций.
Большое спасибо автору за проявленный интерес нашему сканеру RedCheck и вдвойне спасибо за объективную оценку возможностей сканера.
Небольшие комментарии в дополнение:
1) Да, действительно, для реализации отдельных функций сетевого сканирования мы используем nmap, однако nmap используется исключительно как сетевой транспорт, и собственно для детектирования уязвимостей используется наш собственный репозиторий уязвимостей OVALdb. Более того, nmap используется исключительно легально и в составе сертифицированной версии присутствует "наша уникальная сборка nmap", прошедшая контроль отсутствия НДВ с нашими внутренними "обвязками" в виде собственных скриптов. Можно использовать и обычный nmap, но в "нашем" nmap вырезан неиспользуемый код, это требование сертификации.
2) В сканировании Windows используются 3 варианта сканирования: А) агент; Б) временный агент (он пробрасывается только на время выполнения задания и для пользователя фактически это "безагентный режим"), работающий по протоколу WinRM; В) "чистый" безагент на основе протокола WMI. Все режимы сканирования показывают идентичные результаты в части поиска уязвимостей, однако существуют объективные плюсы и минусы каждого режима и они используются для разных целей: в частности, вариант В хорошо подходит для быстрого сканирования с выборкой по продукту или по конкретному перечню наиболее актуальных для Заказчика CVE. В тоже время, варианты А и Б показывают ощутимо более быстрые результаты сканирования и рекомендуются нами для использования в штатном режиме для полного неизбирательного сканирования.
Сканирование всех остальных платформ - "чисто безагентное". Исходя из того, что нет альтернатив, в нем существенно лучше проработан механизм многопоточности, поэтому оно показывает хорошие временные показатели даже при полном сканировании по всей БД уязвимостей.
3) Хостам можно присваивать набор уникальных credentials, которые будут использоваться в приоритете над учетными данными, введенными для задания. Это существенно уменьшает количество создаваемых заданий и нивелирует указанный автором недостаток " явного указания учетных данных". Используя этот принцип, теоретически можно объединять в рамках одного задания хосты разных платформ, однако, если речь идет именно об сканировании на уязвимости, мы это не рекомендуем делать в силу описанного в п.2.
4) В режиме "аудит конфигураций" сканер имеет возможности оценки соответствия актуальным Compliance-политикам в области ИБ, включая PCI DSS, CIS, нормативные документы ФСТЭК России.
5) БД сканера полностью синхронизирована с данными репозиториев Регуляторов: БДУ ФСТЭК России и НКЦКИ. Что актуально для нашего непростого времени.
Автор может рассчитывать на получение демонстрационных версий сканера для продолжения своей исследовательской деятельности, нашу техническую поддержку и обратную связь.
Добрый день. Спасибо за ваши уточнения и вопросы, собственно говоря, по вопросам:
1) Да, мы развиваем pentest именно в направлении создании профилей сканирования приблизительно в ваших формулировках. Планируем его выпустить в самом ближайшем будущем.
2) Для Windows фактически у нас 2 безагентных режима и они показывают разные цифры быстродействия. В относительных цифрах: агент и безагент на протоколе WinRM в среднем в 10 раз быстрее на одном и том множестве проверок, чем WMI. Соответственно, безагент-WinRM и агент показывают приблизительно одинаковые временные показатели (один хост - от 1 до нескольких минут). Для агентского сканирования используются асинхронный способ обработки и многопоточность, поэтому безагент-WMI целесообразно использовать только для избирательного сканирования (например, поиск уязвимостей в конкретном продукте).
4) Все встроенные Compliance-политики можно посмотреть в Инструменты\Менеджер конфигураций. Там в общем списке конфигурации "на соответствие документам", есть и "экспертные" конфигурации для конкретных ОС и ПО. Менять конфигурации для задания "на лету" нельзя, но можно на одно задание "повесить" сразу несколько конфигураций.
От имени коллектива "АЛТЭКС-СОФТ".
Большое спасибо автору за проявленный интерес нашему сканеру RedCheck и вдвойне спасибо за объективную оценку возможностей сканера.
Небольшие комментарии в дополнение:
1) Да, действительно, для реализации отдельных функций сетевого сканирования мы используем nmap, однако nmap используется исключительно как сетевой транспорт, и собственно для детектирования уязвимостей используется наш собственный репозиторий уязвимостей OVALdb. Более того, nmap используется исключительно легально и в составе сертифицированной версии присутствует "наша уникальная сборка nmap", прошедшая контроль отсутствия НДВ с нашими внутренними "обвязками" в виде собственных скриптов. Можно использовать и обычный nmap, но в "нашем" nmap вырезан неиспользуемый код, это требование сертификации.
2) В сканировании Windows используются 3 варианта сканирования: А) агент; Б) временный агент (он пробрасывается только на время выполнения задания и для пользователя фактически это "безагентный режим"), работающий по протоколу WinRM; В) "чистый" безагент на основе протокола WMI. Все режимы сканирования показывают идентичные результаты в части поиска уязвимостей, однако существуют объективные плюсы и минусы каждого режима и они используются для разных целей: в частности, вариант В хорошо подходит для быстрого сканирования с выборкой по продукту или по конкретному перечню наиболее актуальных для Заказчика CVE. В тоже время, варианты А и Б показывают ощутимо более быстрые результаты сканирования и рекомендуются нами для использования в штатном режиме для полного неизбирательного сканирования.
Сканирование всех остальных платформ - "чисто безагентное". Исходя из того, что нет альтернатив, в нем существенно лучше проработан механизм многопоточности, поэтому оно показывает хорошие временные показатели даже при полном сканировании по всей БД уязвимостей.
3) Хостам можно присваивать набор уникальных credentials, которые будут использоваться в приоритете над учетными данными, введенными для задания. Это существенно уменьшает количество создаваемых заданий и нивелирует указанный автором недостаток " явного указания учетных данных". Используя этот принцип, теоретически можно объединять в рамках одного задания хосты разных платформ, однако, если речь идет именно об сканировании на уязвимости, мы это не рекомендуем делать в силу описанного в п.2.
4) В режиме "аудит конфигураций" сканер имеет возможности оценки соответствия актуальным Compliance-политикам в области ИБ, включая PCI DSS, CIS, нормативные документы ФСТЭК России.
5) БД сканера полностью синхронизирована с данными репозиториев Регуляторов: БДУ ФСТЭК России и НКЦКИ. Что актуально для нашего непростого времени.
Автор может рассчитывать на получение демонстрационных версий сканера для продолжения своей исследовательской деятельности, нашу техническую поддержку и обратную связь.
От имени коллектива "АЛТЭКС-СОФТ".