Описание тестирования
В процессе выбора дистрибутива для демонстрации работы сканера Max Patrol 8, наш взгляд упал на популярный дистрибутив Metasploitable 2. Эта сборка представляет собой некое подобие тренажера для пентестеров, исследователей и начинающих специалистов в области информационной безопасности.
Дистрибутив построен на Ubuntu server с большим набором установленного уязвимого софта. В системе вы сможете найти очень многие виды уязвимостей. Тут найдутся и бэкдоры, и SQL инъекции, и просто пароли не устойчивые к брутфорсу. Практически через каждый запущенный сервис в системе можно проникнуть в систему и повысить свои привилегии. Этот инструмент отлично подходит для демонстрации работы сканеров уязвимостей, в нашем случае Max Patrol 8.
50 слов о продукте
Система MaxPatrol 8 предназначена для объективной оценки уровня защищенности IТ-инфраструктуры компании. Система позволяет своевременно обнаружить уязвимости информационной системы, провести комплексный анализ сетевого оборудования, операционных систем, СУБД, прикладных и ERP-систем, веб-приложений, а также контролировать соответствие основным стандартам информационной безопасности (ISO 27001, PCI DSS, CIS).
Audit
Сканирование в режиме Audit используется для контроля обновлений, анализа конфигурации, локальной оценки стойкости паролей и т.д. Сканирование производится посредством удаленного доступа к объектам сканирования с использованием сетевых транспортов и учетных данных, при этом MaxPatrol 8 не требует наличия агента на сканируемом узле.
Сканирование в режиме Audit позволяет собрать наиболее полные данные об активах и установленных на них ПО и благодаря проверке с использованием учетной записи с необходимыми привилегиями выдает намного больше уязвимостей актива чем в сканирование в режиме Pentest.
Также в режиме Audit можно собирать данные о контроле целостности конкретных файлов и производить подбор учетных записей с помощью справочников аналогично сканированию в режиме Pentest.
Стоит отметить, что список поддерживаемых систем, которые можно просканировать режимом Audit большой, но есть и неподдерживаемые системы.
Compliance
Сканирование в режиме Compliance позволяет проводить проверки на соответствие требованиям различных стандартов. При этом могут быть учтены как простые технические проверки (длина или возраст паролей), так и более сложные, например, отсутствие устаревшего программного обеспечения.
Режим Compliance предусматривает обработку результатов сканирования, выполненных в режимах PenTest и Audit, а также добавляет проверки, специфичные для данного режима.В MaxPatrol 8 существует достаточно большой перечень встроенных стандартов, которые содержат в себе рекомендации компетентных организаций (Best Practice) и международные или государственные стандарты (требования регуляторов).
Также режим Compliance может быть дополнительно настроен с учетом требований корпоративных стандартов.
В системе MaxPatrol предусмотрено три механизма адаптации стандартов под корпоративные нужды:
- Добавление/удаление «требований»
- Переопределение параметров «требований»
- Создание пользовательских проверок
Добавление/удаление «требований» позволяет сформировать необходимый набор требований «с нуля» или путем создания копии стандартного списка с последующим внесением изменений в него.
Переопределение параметров «требований» позволяет выполнить более тонкую настройку параметров некоторых требований. Изменение параметров можно осуществлять для отдельных требований.
Создание пользовательских проверок осуществляется с помощью добавления «универсальных проверок».
С помощью универсальных проверок можно проверить:
- Состояние службы
- Допуски к файлу
- Контрольную сумму файла
- Допуски к ключу реестра
- Наличие или отсутствие определенной строки в файле конфигурации
- Значение элемента реестра
Cхема лицензирования
Лицензирование в IT, это всегда сложный и динамичный процесс, описание которого зачастую занимает десятки, а в особо сложных случаях, сотни страниц. Документ, описывающий политику лицензирования есть и у сканера Max Patrol 8. Но, этот документ доступен только партнёрам и имеет гриф “для внутреннего использования”, да и в принципе читать подобную техническую документацию дело скучное, и не всегда с первого раза удаётся понять, а как же вообще лицензируется продукт. По хостам? Используемым ресурсам? Или как? Попытаюсь в общих чертах ответить на поставленные вопросы.
Как и многие современные IT продукты, Max Patrol 8 предоставляется по модели подписки.То есть у этого решения есть так называемая “стоимость владения” — та сумма, которую вам придётся платить за каждый год использования сканера, о которой вам обязательно должен рассказать ваш партнёр, c которым идёт проработка решения.
Если же интегратор молчит о таком важном моменте, то это повод усомниться в его добросовестности, и задуматься о его смене. Поверьте, объяснять менеджменту компании, что нужно дать ещё денег для того, чтобы ваш сканер не превратился в “тыкву”, удовольствие не из приятных.
Лицензии на Max Patrol 8 можно разнести по функциональным возможностям. Тут выделяются три сборки:
PenTest — поддержка тестирования на проникновение;PenTest& Audit — поддержка тестирования на проникновение и системных проверок;PenTest& Audit & Compliance — поддержка тестирования на проникновение, системных проверок и контроля соответствия стандартам отрасли.
Подробное описание возможностей этих сборок выходит за рамки этой статьи, но уже из названия можно понять в чём ключевая особенность каждой из них.
Дополнительные сканирующие ядра так же требуют дополнительных лицензий. Так же на стоимость лицензии влияет максимальное количество хостов, которые будут сканироваться.
Maxpatrol vm
MaxPatrol VM — система нового поколения для управления уязвимостями. Решение позволяет выстроить полноценный процесс vulnerability management и контролировать его как в штатном режиме, так и при экстренных проверках.
С его помощью вы можете:
- получать полные и постоянно актуализируемые данные о составе IT-инфраструктуры;
- учитывать значимость защищаемых активов;
- выявлять, приоритизировать и задавать правила обработки уязвимостей для IT-отдела,
- контролировать устранение уязвимостей,
- отслеживать общее состояние защищенности компании.
В основе MaxPatrol VM лежит уникальная технология управления активами Security Asset Management (SAM). Она позволяет MaxPatrol VM с помощью активного и пассивного сбора данных строить в каждый момент времени актуальную и полную модель наблюдаемой IT-инфраструктуры. За счет понимания IT-среды решение помогает выстроить и автоматизировать управление уязвимостями с учетом значимости компонентов сети для бизнес-процессов, охватить все системы компании, а также учитывать изменения инфраструктуры.
MaxPatrol VM построена на базе единой платформы MaxPatrol 10, объединяющей продукты Positive Technologies для полной прозрачности сети и мониторинга безопасности. Продукты в составе MaxPatrol 10 (MaxPatrol SIEM, PT NAD) обогащают друг друга данными об активах, что позволяет MaxPatrol VM наиболее полно оценить защищенность IT-инфраструктуры.
С помощью интерактивных дашбордов пользователи системы смогут отслеживать состояние и актуальность сканирования наиболее значимых активов, появление новых неоцененных активов сети, контролировать количество особо опасных уязвимостей и метрики процесса устранения уязвимостей.
Maxpatrol сертифицирован организацией center for internet security
Компания Positive Technologies объявляет о получении системой MaxPatrol сертификата соответствия CIS Security Software Certification for CIS Security Benchmarks,
Компания Positive Technologies объявляет о получении системой контроля защищенности и соответствия стандартам MaxPatrol сертификата соответствия CIS Security Software Certification for CIS Security Benchmarks некоммерческой организации Center for Internet Security, которая играет ведущую роль в стандартизации в области информационной безопасности в США. Получение данного сертификата означает, что реализация режима Compliance в MaxPatrol соответствуют требованиям, которые предъявляются CIS к автоматизированным системам контроля конфигураций и анализа защищенности. В настоящее время в поставку MaxPatrol включены проверки по более чем 150 стандартам для широкого спектра различных систем, от сетевого оборудования до АСУ ТП, SAP- и ERP-систем, причем около половины используемых стандартов являются стандартами CIS.
Это не первый опыт сотрудничества Positive Technologies с данной организацией. Взаимодействие по вопросам разработки новых стандартов, а также усовершенствования уже существующих происходило начиная с 2009 года, а в сентябре 2021-го Positive Technologies получила статус действительного участника Center for Internet Security — Security Benchmarks. Именно подразделение Security Benchmarks занимается разработкой стандартов и рекомендаций информационной безопасности на основе консенсуса о лучших практиках, который вырабатывается внутри IT-сообщества многочисленными экспертами по ИБ. Эти рекомендации помогают миллионам компаний по всему миру адекватно оценивать степень защищенности своих информационных ресурсов и получать самую актуальную информацию о безопасной настройке различных систем. Эксперты Positive Technologies активно участвуют в разработке требований безопасности для стандартов CIS.
Сергей Гордейчик, заместитель генерального директора Positive Technologies: «Сертификация CIS является одним из стратегических этапов реализации международной экспансии компании Positive Technologies. Тот факт, что к сертификатам ФСТЭК, Министерства обороны, ГАЗПРОМСЕРТ, PCI DSS ASV прибавился сертификат одной из ведущих мировых организаций в области стандартизации ИБ, — лишний раз свидетельствует о высоком уровне качества базы знаний системы MaxPatrol и ее соответствии передовым международным требованиям».
мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на
, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как
Pentest
Сканирование в режиме PenTest направлено на получение оценки защищенности со стороны внешнего злоумышленника. Основные характеристики данного режима:
- Использование минимальных привилегий по отношению к тестируемой системе (анонимный доступ или доступ уровня пользователя)
- Идентификация и анализ уязвимостей серверного программного обеспечения
- Расширенная проверка нестандартных портов
- Эвристические алгоритмы идентификации типов и версий сетевых служб по особенностям протоколов
- Поиск уязвимостей и отсутствующих обновлений Microsoft Windows без использования учетной записи
- Эвристический анализ веб-приложений
- Эвристический механизм определения операционной системы
- Проверка стойкости паролей
Существуют преднастроенные профили сканирования Pentest
Отчеты
На вкладке
Отчеты
мы можем либо воспользоваться стандартными отчетами, присутствующие в системе, либо настроить свои собственные шаблоны.
В системе существуют несколько типов отчетов:
- Информация
- Дифференциальный
- Аналитический
- Сравнительный аналитический
- Динамический аналитический
Отчет типа Информация
Самый простой и наиболее используемый тип отчета – «Информация». К этому типу относится большинство стандартных шаблонов. Отчеты, сформированные на основе шаблона указанного типа, обычно содержат результаты одного или нескольких сканирований.
Например, отчет, сформированный на основе стандартного шаблона «Отчет по скану в режиме PenTest» содержит результаты одного сканирования.
Дифференциальный отчет
Дифференциальный отчет предназначен для сравнения результатов двух сканирований и определения различий. Соответственно, при формировании такого отчета указываются эталонные и изучаемые данные. Это, например, могут быть два отдельных скана, выбираемые при генерации отчета. Способ выбора исходных данных (по скану или по задачам) указывается при настройке шаблона.
Аналитические отчеты
Отчет «Сравнительный аналитический» позволяет получить картину состояния защищенности, выраженную в количественных показателях – метриках. При настройке шаблона или при формировании отчета указываются требуемые метрики.
Отчет Динамический аналитический позволяет увидеть динамику изменений названных показателей с течением времени.
Все отчеты могут быть сформированы в трех форматах:
- web-archive (MHT)
- XML
Также стоит отметить, что для формата XML существует несколько типовых шаблонов, некоторые из которые открываются с помощью Excel. Также можно бесплатно запросить разработку кастомного шаблона под свои нужды.
Пример отчета по шаблону paf_by_host_report:
Следует заметить, что вкладка «Отчеты» содержит не сами отчеты, а шаблоны для их формирования. Поскольку шаблон обычно используется многократно для формирования отчетов на основе различных данных, то при его настройке поля, предназначенные для выбора данных, оставляют пустыми.
Отчеты также можно гибко настраивать фильтрами, добавляя или удаляя необходимые вам данные, Осуществлять фильтрацию только по определенным версиям ПО, ОС, рейтингу CVSS и т.д.
Например для вывода только уязвимостей, в которых присутствует идентификатор BDU необходимо осуществить фильтрацию по полю “fstec” со значением “exists”.
Сформированный пользователем отчет при необходимости может быть сохранен в виде файла на диске. Однако в некоторых случаях эту процедуру желательно автоматизировать, например, при запуске задач по расписанию. Для этой цели в MaxPatrol предусмотрены так называемые доставки, которые можно осуществлять через сетевой каталог или через электронную почту.
Платформы сканирования
Max Patrol 8 может похвастаться обилием поддерживаемых платформ. Начиная от десктопных операционных систем, заканчивая сетевым оборудованием и АСУ ТП. Перечень всех поддерживаемых платформ просто ошеломляющий, он содержится примерно на 30-ти листах А4…
В него входят:
По сути Max Patrol 8 из коробки позволяет просканировать всю корпоративную IT-инфраструктуру, включая сетевое оборудование, Linux и Windows сервера, и рабочие станции со всем установленным на них софтом.
Хочется отдельно отметить тот факт, что Max Patrol 8 отлично справляется с автоматизацией повторяющихся задач, таких как инвентаризация, технический аудит и контроль соответствия и изменений в информационной системе. Система Max Patrol 8 имеет мощную систему отчётности.
Благодаря этому трудозатраты на проведение таких рутинных операций как инвентаризация ПО на рабочих станциях, сокращаются в несколько раз. Достаточно один раз настроить кастомный отчёт, решающий вашу задачу, составить расписание запуска сканирования, и про рутину можно забыть. Вы будете иметь актуальную информацию о ПО, которое установлено на рабочих местах ваших сотрудников.
Max Patrol 8 не использует агентов при сканировании, что позволяет избежать возможных проблем при установки агентов на сервера. А зачастую, установка агентов требует перезагрузки сервера. Согласитесь, всегда немного тревожно ставить сторонний софт на продовые сервера.
Минимальная конфигурация сканера Max Patrol 8 состоит из одного сервера.
MP Server включает в себя:
Именно такая конфигурация использовалась при написании статьи.
Сам процесс инсталляции вполне тривиальный. Запускается Мастер установки, несколько раз нажимаем далее, и вуаля, сканер готов к работе при наличии у вас действующей лицензии.
Сканирование цели
Итак, с целью мы определились, теперь нужно создать задачу на сканирование. На этом этапе остановимся по-подробнее, и опишем процесс создания задачи, и сканирования выбранной цели.
Для того, чтобы запустить сканирование, нужно создать задачу.
В параметрах задачи мы укажем профиль сканирования. Для нашей демонстрации мы выберем профиль Fast Scan. По сути, это простое сканирование портов, с определением версией сервиса, который слушает порт.
Как видно на скриншоте, в сканере предусмотрено несколько предустановленных профилей. Описание всех профилей заслуживает отдельной статьи, и выходит за рамки сегодняшнего обзора. Далее нам необходимо задать узел сканирования, то есть необходимо ввести ip адрес нашего Metasploitable.
В дальнейшем эту задачу можно будет запускать по расписанию, применять на отдельные группы серверов или рабочих станций. Это позволяет создавать гранулированные политики, в задачах которых будут только те сервисы, которые актуальны для того или иного сервера, или ПК.
Итак, запускаем нашу задачу, и на главном дашборде видим статистику выполнения.
Простое сканирование портов, с определением приложения или службы и его версии, у нас заняло около 15 минут.
Результаты сканирования можно посмотреть в разделе история.
В разделе “Сканы” мы видим список выполненных задач по сканированию. Как видно на скриншоте, есть возможность сортировать задачи по имени и дате. Так же в системе присутствует возможность строить различные фильтры, что безусловно облегчает поиск результатов, особенно если сканирование проводится в большой инфраструктуре, и настроено сканирование по расписанию.
Заключение
В этой статье мы рассмотрели с вами базовые возможности сканера уязвимостей MaxPatrol 8. Из нашего эксперимента видно, что, для того чтобы начать работу со сканером, не требуется проходить дополнительное обучение, и долго изучать руководства администратора.
Весь интерфейс интуитивно понятен, и полностью на русском языке. Конечно, мы показали простейший сценарий сканирования одного единственного узла. И такой сценарий не требует тонкой настройки сканера. На практике же, сканер Max Patrol 8 может решать гораздо более серьёзные, и запутанные сценарии.
Мало того, что использование сканера уязвимостей поможет значительно повысить защищённость вашей инфраструктуры, он так же поможет в выполнении важных, но всеми нелюбимых задач по инвентаризации всех элементов IT инфраструктуры, включая ПО установленное на рабочие станции пользователей.