Сканеры уязвимости российской разработки. Что это, цены и обзоры.

Чем совершеннее становятся информационные системы, тем больше в них уязвимостей — потенциальных лазеек для хакеров. Поиском подобных брешей можно заниматься вручную, но автоматизация позволяет гораздо эффективнее распределять усилия специалиста по информационной безопасности. К тому же усталый ИБ-специалист с давно «замылившимся» от объема работы взглядом легко может пропустить потенциальную угрозу. Автоматизация поиска исключает такую проблему.

Избавление сотрудников службы информационной безопасности компании от рутинных операций без потери в эффективности их работы объясняет популярность сканеров уязвимостей. Сегодня они входят в обязательный набор инструментов, без которого сложно представить себе современную защиту корпоративной сети.

В обзор Cyber Media вошли три продукта отечественной разработки:

• XSpider;
• ScanOVAL;
• RedCheck.

Как работает сканер уязвимости

Эти инструменты проверяют на наличие брешей системы, приложения и другие элементы корпоративной сети. Результатом их работы становятся выявленные потенциальные уязвимости, которыми мог бы воспользоваться киберзлоумышленник, чтобы получить доступ к данным компании.

Сканер уязвимости работает с потенциальными угрозами в несколько этапов:

• выявляет их в результате комплексного анализа системы;
• оценивает уровень угрозы и составляет отчет для администратора по найденной проблеме;
• ищет и предлагает способ устранить найденную уязвимость;
• определяет и выполняет действия для ее устранения, если получено разрешение от администратора системы.

Сканеры уязвимостей могут работать по одному из двух алгоритмов: WhiteBox и BlackBox. В первом случае мониторинг потенциальных угроз происходит изнутри сети, что дает больше возможностей для проверки всех составляющих ИБ-системы. Во-втором случае сканер находится вне периметра сети, то есть его работа максимально приближена к действиям реального киберзлоумышленника, которому нужно проникнуть в систему. Зачастую оба эти метода используют в комлпексе.

XSpider

Сканер уязвимости XSpider — продукт компании Positive Technologies, который впервые появился на рынке два десятилетия назад. Если при выборе решения для компании важен отечественный продукт с именем и сложившейся репутацией на рынке, стоит рассмотреть данный инструмент.

XSpider решает весь комплекс задач сканера уязвимости:

• определяет состав сети, а далее отслеживает любые изменения в ней;
• проверяет все компоненты на наличие уязвимостей;
• формирует наглядные отчеты и рекомендации по устранению найденных проблем.   

Специалисты PT Expert Security Center и R&D-подразделений Positive Technologies постоянно исследуют новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний. Также осуществляется поддержка уязвимостей из банка данных угроз безопасности информации (БДУ) ФСТЭК России.

Инструмент находит уязвимости в:

• сетевом оборудовании и конечных узлах;
• сетевых сервисах, включая электронную почту и службы передачи файлов.

Кроме того XSpider находит открытые сетевые TCP и UDP-порты. Решение не просто выявит возможные уязвимости, но также оценит их по стандарту CVSS. Администратор также получит ссылки на имеющиеся источники по проблеме и детальную инструкцию с описанием возможного алгоритма действий.

Данные по сканированию XSpider доступны в формате наглядного отчета. Возможна настройка удобной формы документа, сравнение нескольких версий сканирования, а также фильтр с опцией вывода только необходимых данных.

Сканирование производится в полностью автоматическом режиме. Частоту администратор определяет вручную. Отчет по итогам проверки можно получить на свою электронную почту или найти в заданной в настройках сетевой папке.

Разработчики Xspider применили специальные алгоритмы, которые позволяют сократить число ложных срабатываний сканера. Каждое уточнение уровня актуальности выявленных угроз делает работу сканера точнее.

XSpider может работать аппаратно или в виртуальной среде. Решение отличается быстрой и простой установкой, так как физические устанавливать программные модули ставить на узлы не потребуется. Дополнительное преимущество — максимально гибкие условия лицензирования. Пользователь самостоятельно выбирает узлы, которые необходимо проверять, и добавляет их в лицензию. Последняя оформляется на 12 месяцев с возможностью последующего продления.

Сканер уязвимостей XSpider входит в реестр отечественного ПО. Он имеет сертификат ФСТЭК, что подтверждает четвертый уровень отсутствия недекларированных возможностей для защиты критической информационной инфраструктуры. Министерство Обороны РФ сертифицировало решение на предмет возможности использования в собственных сетях.

ScanOVAL

Программа ScanOVAL разработана компанией «Алтэкс-Софт» и распространяется на бесплатной основе. Скачать этот сканер уязвимостей можно с официального сайта Федеральной службы по техническому и экспортному контролю. Там же доступна и база уязвимостей для данной программы. В ней две сотни угроз и 43 тысячи уязвимостей.

Название продукта выбрано неслучайно. Описание уязвимостей в базе выполнено на языке OVAL. Таким образом владеющий им ИБ-специалист сможет самостоятельно дополнять базу актуальными уязвимостями. Чтобы добавить новую потенциальную угрозу в базу, нужно описать ее в соответствии со стандартом «The OVAL Language Specification» версии 5.10.1 или выше. Программа устанавливается физически на локальном устройстве и проводит сканирование с проверкой на соответствие загруженным в базу XML-файлами. Инструмент может использоваться для поиска брешей на рабочих станциях и серверах.

Программа ScanOval для Windows появилась в свободном доступе в 2018 году. В 2020-м году также был разработан вариант для Linux, но по состоянию на ноябрь 2022 года на сайте ФСТЭК по-прежнему доступна только тестовая версия для данной операционной системы. Она работает на базе Astra Linux 1.6 SE. Варианты тестовой версии также разработаны для ОС Альт 9 и ОС Роса «Кобальт». Вариант для Windows будет функционировать с операционной системой, начиная от седьмой версии.

Для работы на устройстве пользователя потребуется процессор с тактовой частотой не менее одного гигагерца, от 512 Мб оперативной памяти для Linux и от 1 Гб — для Windows, а также от 0,5 Гб свободного объема жесткого диска. Для Windows также потребуется интерпретатор языка OVAL, который устанавливается в одном пакете с программой, и Microsoft.NET Framework от четвертой версии. В пакете тестовой версии для Linux присутствуют libcurl3 и libopenscap8_1.2.16-2altx1_amd64.

На странице скачивания сканера SanOval доступны руководство пользователя и лицензионное соглашение. Распространяемое через ФСТЭК решение, естественно, без вариантов включено в реестр отечественного ПО.

RedCheck

RedCheck — еще одна разработка компании «Алтэкс-Софт». Сканер уязвимости включен в реестр отечественного ПО и имеет сертификат ФСТЭК по четвертому уровню доверия.

Ключевой особенностью сканера безопасности RedCheck является его работа с унифицированным SCAP-контентом, получаемым из собственного репозитория информационной безопасности OVALdb. База данных определений проблем безопасности OVALdb, разработана компанией «АЛТЭКС-СОФТ» и включена в реестр российского ПО Минцифры России. Публикации новых определений в репозитории производятся на регулярной основе и проходят тщательную проверку.

RedCheck можно использовать для сканирования различных платформ, например, таких как операционные системы на основе Windows от XP до 11, Linux, в том числе CentOS, Debian, Oracle Linux, Red Hat, Ubuntu, Astra Linux, РОСА и других. Решение также анализирует серверные ОС, СУБД, офисные пакеты, свыше семи сотен приложений и другие компоненты.

RedCheck доступен в нескольких редакциях с различным функционалом, который применяется в зависимости от параметров анализируемой сети:

• RedCheck Base предоставляет инструменты, необходимые для обеспечения управления и контроля защищенности ИС при повседневном мониторинге.
• RedCheck Professional — полнофункциональная редакция, которая включает весь спектр инструментов для мониторинга и управления безопасностью инфраструктуры корпоративного уровня.
• RedCheck Enterpise —  масштабируемая редакция, ориентированная на крупные и распределенные ИС с возможностью подключения дополнительных модулей сканирования.
• Аудит АСУ ТП — отдельно лицензируемый модуль для сканирования уязвимостей элементов АСУ ТП (Iconics, Rockwell Automation, Schneider Electric, Siemens, Simatic). По итогам аудита формируется отчет в соответствии с требованиями регулятора.

Помимо наличия отдельной редакции для крупных предприятий, RedCheck отличает возможность аудита платформы Docker. Инструмент также подойдет для системы управления контейнеризацией Kubernetes. Эти опции повышают ценность RedCheck для компаний из сферы логистики.

Установить RedCheck можно на автоматизированное рабочее место администратора сети в том случае, когда речь идет о сканировании двух сотен или менее узлов. Если в качестве места установки сканера выбрать ноутбук, отвечающий за информационную безопасность, сотрудник сможет проводить выездной аудит. Этот вариант удобен для компаний с разветвленной сетью филиалов. Инструмент также можно установить на выделенный сервер.

Если речь идет о защите крупной сети, разработчик рекомендует отдавать предпочтение веб-версии программы. Местом установки веб-консоли и серверов сканирования в этом случае становится головной офис компании. Также для этих целей можно использовать центр хранения и обработки данных.

Выводы

В этот обзор вошел один бесплатный инструмент с открытой лицензией — ScanOVAL, который может послужить первым шагом к работе компании со сканерами уязвимостей. Рассматривать его как полноценный сервис мониторинга не дает наличие только тестовой версии для ОС на основе Linux. Два других инструмента — XSpider и RedCheck — имеют гибкую систему лицензирования и возможность помодульной установки именно тех опций, которые необходимы заказчику. Все три решения входят в реестр отечественного ПО. XSpider и RedCheck также имеют сертификаты ФСТЭК.

Важным отличием является база данных уязвимостей, которая используется в инструментах. У XSpider — это собственная разработка специалистов Positive Technologies, которая пополняется на основе банка данных угроз ФСТЭК. У ScanOVAL базу данных можно скачать на той же странице сайта ФСТЭК, где и сам сканер. Для этого инструмента доступно самостоятельное пополнение базы данных уязвимостями на языке OVAL. RedCheck использует базу данных OVALdb.

Для XSpider и RedCheck возможна как аппаратная и виртуальная установка в зависимости от задач и конфигурации сканируемой сети. ScanOVAL доступен только для скачивания и, соответственно, непосредственной установки на устройство.

У каждого из трех инструментов имеются свои преимущества. ScanOVAL – бесплатный и простой базовый вариант. XSpider — максимально гибкий инструмент со складывавшейся десятилетиями репутацией. RedCheck имеет специальные опции для интеграции с Docker и Cubernetes, что дает дополнительные плюсы при использовании этого сканера в сфере логистики.