Блог Андрея Качинского

5 минут потребуется на прочтение (944 слов)
Выделенное 

Управление уязвимостями в корпоративной сети. Часть 1: RAPID7 (Nexpose)

 Программное обеспечение, которое использует любая организация, может содержать или содержит ошибки (так называемые дырки). К такому программному обеспечению относятся операционные системы, прикладное программное обеспечение, базы данных и т.д. Для устранения ошибок производители программных продуктов с некой периодичностью выпускают т.н. патчи, при помощи которых латаются эти дырки. Но любой патч требует предварительного тестирования, прежде чем его следует накатывать на программное обеспечение.

Как правило, крупные организации стремятся к стандартизации, и по максимуму стараются снизить количество производителей программных продуктов, используемых в своей инфраструктуре. Это значительно упрощает процесс тестирования и накатывая патчей. Но на самом деле, не все так просто. Процесс перехода к «моновендорности» очень длительный. А что делать, если организация использует «зоопарк» программного обеспечения, в том числе и самописного?
Выход один: использовать в своей инфраструктуре программно-аппаратные комплексы по управлению уязвимостями. Эти комплексы проводят сканирование всей ИТ-инфраструктуры организации на выявление ошибок, неверных настроек, слабых мест с целью предоставления рекомендаций по их устранению.
В этой статье я хочу сделать краткий обзор решения RAPID7.

Краткое описание RAPID7
RAPID7 - производитель систем управления уязвимостями предлагает комплексное решение по управлению уязвимостями, состоящее из модулей:

  • Vulnerability Management Software – Nexpose http://www.rapid7.com/products/nexpose/
  • Penetration Testing Solutions – Metasploit http://www.rapid7.com/products/metasploit/
  • Так же решение может быть дополнено модулем Mobilisafe http://www.rapid7.com/products/mobilisafe/, который в свою очередь позволяет управлять рисками на мобильных устройствах.

Рассмотрим модули системы управления уязвимостями от RAPID7:
Rapid7 Nexpose – это модуль управления уязвимостями, выполняет проактивное сканирование IT-инфраструктуры на наличие ошибочных конфигураций, дыр, вредоносных кодов и предоставляет рекомендации по их устранению. Под анализ попадают все компоненты инфраструктуры, включая сети, операционные системы, базы данных и web-приложения. По результатам проверки Rapid7 Nexpose в режиме приоритетов классифицирует обнаруженные угрозы и генерирует отчеты по их устранению.
Rapid7 Metasploit – модуль для тестирования проникновения уязвимостей в корпоративную среду при помощи пенатрейшн тестов. Основная задача этого модуля – симулировать атаки на сеть и таким образом заблаговременно выявлять слабые места ИТ-инфраструктуры.

Тестирование RAPID7 (Nexpose)

Процесс установки RAPID7 (Nexpose) не представляет никаких сложностей. Для тестирования была создана виртуальная машина с развернутой на ней Windows Server 2008 (R2). Системные требования для установки RAPID7 (Nexpose) представлены на сайте производителя (http://www.rapid7.com/products/nexpose/system-requirements.jsp). Так же на сайте производителя можно скачать инсталляцию продукта и запросить demo ключ, заполнив небольшую анкету (http://www.rapid7.com/products/nexpose/nexpose-enterprise-trial.jsp).

После процесса инсталляции на рабочем столе появляется ярлык «Nexpose». Кликаем на него и получаем страницу входа в систему. В моем случае доступ к консоли (авторизация) предварительно был настроен с помощью консоли администратора Administration. 

Страница входа в систему

После успешной авторизации загружается консоль. До полного появления разделов консоли система получает последние обновления своих баз.

Рассмотрим меню консоли. Для наглядности предварительно провел сканирование нескольких веб-приложений и VPN-концентратора на наличие уязвимостей. Эта информация отображена на следующем скриншоте. Так же можно увидеть, что после сканирования IP-адресов веб-приложений и IP-адреса VPN были найдены уязвимости.

Домашняя страница консоли
Домашняя страница консоли (продолжение)

Меню Assets отображает информацию о сайтах, которые были просканированы. Кроме этого выдается информация об IP-адресах сайтов, операционных системах, времени сканирования, найденных уязвимостях и т.д. Так же данное меню позволяет добавлять все необходимые объекты (сайты), которые нуждаются в периодическом сканировании.

Меню Assets
Меню Assets продолжение

​При клике на сайт мы получим детальное описание по найденным уязвимостям. В данном случае я выбрал информацию по сайту: test_CSA

Детальная информация по уязвимостям
Детальная информация по уязвимостям (продолжение)

Меню Vulnerability представляет собой сводную информацию по всем найденным уязвимостям в процессе сканирования сайтов. Данная страница отображает тип уязвимости, когда она была внесена в общую глобальную базу уязвимостей, а также уровень критичности: Critical, Severe, Moderate. Для наглядности критические уязвимости выделены красным цветом, средней критичности - оранжевым, а менее критические – черным.

Информация по уязвимостям
Информация по уязвимостям (продолжение)

При клике на уязвимость мы получим детальное описание по ней и рекомендации по ее устранению. В качестве примера я выбрал уязвимость «Oracle Database Obsolete Version». Она выделена как критическая и требует немедленного исправления. Ниже представлена детальная информация по ней.

Уязвимость – детали
Уязвимость – детали (продолжение)

Меню Policies отображает предустановленные политики, которые применяются в соответствии с политиками информационной безопасности компании. В данном примере я не использовал никаких политик, поэтому это меню пустое.

Политики

​Меню отчетов - Reports. Система имеет гибкий конструктор составления отчетов, необходимых аудиторам и руководству компании. На следующем скриншоте отображена информация по ранее сгенерированным отчетам после сканирования вышеперечисленных веб-приложений и VPN-концентратора. Примеры отчетов в формате .pdf находятся в конце этой статьи.

Отчеты – просмотр

Конструктор составления отчетов позволят выбрать необходимый шаблон отчета, который необходим аудиторам и руководству компании. Меню позволяет выбрать шаблон, время генерации, вписать название отчета, выбрать формат предоставления отчета: pdf, html, text и т.д. Так же имеется дополнительные настройки для создания отчетов.

Создание отчета
Создание отчета (продолжение)
Создание отчета – дополнительные настройки

Administration позволяет производить различные настройки консоли. При помощи этого меню можно заводить пользователей консоли, заводить сайты для сканирования, задавать различные области сканирования и т.д.

Консоль администратора
Консоль администратора – продолжение

Примеры отчетов:

Авторские права

© Андрей Качинский

FotriGate и как бороться с бэкдором внутри сети
Тестирование Fortinet: FortiGate 60C и FortiAnalyz...
 

Комментарии

Нет созданных комментариев. Будь первым кто оставит комментарий.
Уже зарегистрированны? Войти на сайт
Гость
30.07.2021
Если вы хотите зарегистрироваться, пожалуйста заполните формы: Укажите ваше имя и Login пользователя.

Изображение капчи

IT Безопасность
 GreenSQL представляет собой комплексное решение для защиты СУБД, которое включает в себя полный комплекс средств безопасности, а также позволяет проводить кеширование,...
Просмотров: 12181
IT Безопасность
 В последнее время преимущественно в банковской сфере растет спрос к решениям, способным защитить важное – базы данных (далее СУБД). В этой статье я хотел бы провести краткий обзор одного интерес...
Просмотров: 12527
IT Безопасность
 В предыдущей статье «Open CRM» я ссылался на проданную мною платформу для обработки Big Data на базе продукта HPE IDOL Autonomy, и говорил, что напишу ряд статей, кото...
Просмотров: 12236
IT Безопасность
В последнее время Компании борются за идентификацию и защиту уязвимой информации. Конфиденциальные данные о клиентах, интеллектуальная собственность, коммерческая информация и внутренние юридические д...
Просмотров: 12511
Андрей Качинский
18 Февраль 2020
Инсталляции
 Информационные технологии плотно вошли в нашу повседневную жизнь, а для бизнеса, IT – это сервисная структура, которая позволяет обеспечить автоматизацию производственных и бизнес-процессов. Акс...
Просмотров: 12478
IT Безопасность
IPS (intrusion prevention system) – система обнаружения и предотвращения вторжений. Основное назначение – защита информации, которая хранится и обрабатывается внутри компании.В этой статье речь пойдет...
Просмотров: 12755