Об актуальности проблемы обеспечения безопасности корпоративных систем свидетельствуют исследования вирусных аналитиков, отмечающих неуклонный рост активности киберпреступников и повышение интенсивности целевых атак на бизнес. По данным «Лаборатории Касперского», в прошлом году каждая четвертая организация в России столкнулась с попытками взлома вычислительных ресурсов, а каждая десятая — подвергалась таргетированным атакам со стороны злоумышленников, использовавших уязвимости «нулевого дня», вредоносные скрипты и другие приемы. При этом в 40% случаев атаки были успешными, приводили к утечке корпоративных данных и сбоям, избежать которых можно было с помощью превентивных методов защиты, предотвращающих угрозы, а не устраняющих их последствия.
Именно такой упреждающий подход к безопасности и реализован в рассматриваемых ниже системах анализа защищенности IT-инфраструктур. Все они разработаны российскими компаниями и позволяют обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также формируют четкие и понятные рекомендации по устранению выявленных брешей. Акцент на отечественных решениях сделан по нескольким причинам, главными из которых являются соответствие российским реалиям рынка IT, наличие русскоязычной документации и возможность получения оперативных технических консультаций на родном языке. Кроме того, в пользу созданных в России продуктов сыграло наличие у некоторых из них государственных сертификатов, подтверждающих соответствие требованиям российского законодательства и отраслевых стандартов в сфере информационной безопасности.
⇡#Система комплексного анализа защищенности «Сканер-ВС»
Разработчик: ЗАО «НПО «Эшелон»
Сайт продукта: scaner-vs.ru
Стоимость лицензии: от 5 тысяч до 1,5 млн рублей; доступна пробная версия дистрибутива
Универсальный инструмент, содержащий целый арсенал средств для выполнения внутреннего или внешнего аудита сетей, тестирования проникновением, перехвата и анализа трафика с помощью технологии ARP-спуфинга (возможен перехват шифрованного HTTPS-трафика посредством подмены сертификата), проверки стойкости сетевых и локальных паролей, а также поиска остаточной информации на жестких дисках и других носителях вне зависимости от файловой структуры. «Сканер-ВС» позволяет определять топологию корпоративной сети, производить инвентаризацию вычислительных ресурсов, проводить проверку защищенности беспроводных сетей Wi-Fi, контролировать появление сетевых сервисов и проверять на прочность брандмауэры, системы обнаружения вторжений и прочие средства защиты. Для имитации различных видов атак используется обновляемая международная база, включающая свыше 17 тысяч уязвимостей.
Система комплексного анализа защищенности «Сканер-ВС» содержит средства локального аудита паролей для операционных систем семейства Windows (NT, 2000, 2003, 2008, XP, Vista, 7) и Linux (МСВС, Linux XP, Astra Linux и другие). Решение поддерживает возможность подбора паролей более чем по двадцати сетевым протоколам (HTTP, SMTP, POP, FTP, SSH и прочие).
«Сканер-ВС» не требует изменения конфигурации IT-инфраструктуры и поставляется разработчиком в виде загрузочного DVD- или USB-накопителя с операционной системой и предустановленным программным обеспечением для всестороннего тестирования защищенности информационных комплексов. Решение может применяться в качестве мобильного места администратора информационной безопасности, а также как средство расследования инцидентов IT-безопасности и для мониторинга сети. Продукт имеет сертификаты Министерства обороны Российской Федерации (Минобороны России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
⇡#Сканер безопасности ERPScan Security for SAP
Разработчик: Digital Security
Сайт продукта: erpscan.ru
Стоимость лицензии: не указана, предоставляется по запросу; доступна демонстрационная версия продукта
Клиент-серверный инструментарий для комплексной оценки защищенности ERP-систем управления ресурсами предприятия, развернутых на базе решений SAP. В список выполняемых ERPScan задач входят поиск программных уязвимостей в ERP-платформах, ошибок конфигурации, конфликтов полномочий, устаревших версий компонентов и проверка параметров на соответствие рекомендациям производителя и процедурам аудита ISACA. Результатом работы сканера безопасности является отчет, в котором представлены обнаруженные уязвимости и степень критичности каждой из них.
Отличительными особенностями ERPScan являются входящая в состав комплекса система оценки рисков на основе множественных критериев, поддержка многопользовательской работы с возможностью разграничения полномочий вовлеченных в процесс анализа и контроля безопасности SAP-серверов специалистов, встроенная база знаний с детальными сведениями и рекомендациями по устранению каждой уязвимости, а также интегрированная в сканер новостная лента с информацией о последних угрозах и методах защиты. Продукт позволяет компаниям своевременно защититься от хакерских атак и предотвратить инсайдерские атаки.
Разработчик: Positive Technologies
Сайт продукта: ptsecurity.ru/xs7
Стоимость: от 9 тысяч (лицензия на 4 хоста) до 1 млн рублей (10 000 хостов); поддержка дополнительных узлов оплачивается отдельно
Широко известный на российском рынке продукт, успевший себя зарекомендовать как в корпоративной среде, так и среди домашних пользователей компьютеров. XSpider работает под управлением Windows и проверяет возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная с рабочих станций под Windows и заканчивая сетевыми устройствами Cisco, включая *nix и веб-приложения (в том числе сайты, интернет-магазины и прочие онлайновые площадки). Программа работает с уязвимостями на разном уровне — от системного до прикладного — и умеет выискивать «дыры» в серверах со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты.
В процессе сканирования XSpider использует эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы. Решение поддерживает работу с RPC-сервисами, умеет осуществлять проверку надежности парольной защиты, а также проводить анализ структуры HTTP-серверов и выполняющихся на них скриптов на предмет разнообразных уязвимостей: SQL-инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтового скриптинга (XSS), HTTP Response Splitting. Помимо этого, в арсенале продукта имеются средства проведения проверок на нестандартные DoS-атаки и планировщик, позволяющий автоматизировать процесс аудита сетевой безопасности.
Отдельного упоминания заслуживают система обновления программных модулей и базы уязвимостей, функции одновременного сканирования большого числа рабочих станций и сетевых узлов, ведение полной истории проверок, встроенная документация и механизм генерации детализированных отчетов. Также стоит отметить, что XSpider сертифицирован Минобороны и ФСТЭК России.
⇡#Система контроля защищенности и соответствия стандартам MaxPatrol
Разработчик: Positive Technologies
Сайт продукта: ptsecurity.ru/maxpatrol
Стоимость лицензии: не указана, предоставляется по запросу
Продукт, построенный на базе профессионального сканера уязвимостей XSpider и объединяющий все необходимые механизмы оценки уровня безопасности: тестирование на проникновение (PenTest), системные проверки (Audit) и контроль соответствия стандартам (Compliance). С помощью MaxPatrol администраторы и специалисты по информационной безопасности могут получать информацию о защите всех узлов корпоративной сети и централизовано контролировать настройки более 70 платформ и приложений: сетевую и системную инфраструктуры, серверы, беспроводные сети и сети IP-телефонии, базы данных, системы ERP и веб-инструменты. При этом продукт решает задачи безопасности информационных систем любого масштаба на всех структурных уровнях организации — от технических специалистов IT-отделов до первых лиц компании.
MaxPatrol позволяет контролировать защищенность сложных информационных систем, использующих сетевое оборудование Cisco, Nortel, Juniper, Huawei, платформы Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, приложения Active Directory, Microsoft Exchange, Lotus, SAP/R3, веб-службы сторонних разработчиков и средства виртуализации VMware vSphere/ESX, Microsoft Hyper-V, Citrix XenApp. Комплекс включает поддержку стандартов ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standard), NSA (National Security Agency), NIST (National Institute of Standards and Technologies), CIS (Center for Internet Security), при этом он может использоваться для анализа защищенности банковских и критических производственных систем.
В отличие от классических сканеров, MaxPatrol не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно — с использованием встроенных механизмов удаленного администрирования. Система разработана с учетом требований российского законодательства в области информационной безопасности и имеет лицензии Министерства обороны РФ, ГАЗПРОМСЕРТ и ФСТЭК России. Дополнительные сведения о продукте можно получить на сайте компании Positive Technologies, проследовав по приведенной выше ссылке.
⇡#Программный комплекс оценки защищенности АСУ ТП «SCADA-аудитор»
Разработчик: ЗАО «НТЦ «Станкоинформзащита»
Сайт продукта: ntcsiz.ru
Стоимость: нет информации
Средство анализа защищенности автоматизированных систем управления технологическими процессами (АСУ ТП), построенных на основе платформы SCADA. Решение поддерживает протоколы BACnet/IP, Ethernet/IP, Modbus TCP/UDP, OPC DA V.2 и работу с различными промышленными системами, которые используются во всем мире для управления объектами критически важных инфраструктур: Genesis, IGSS, RealWin, Siemens Simatic WinCC, Siemens Simatic Step7, Siemens Simatic WinCC Flexible, CoDeSys 2.X/3.X.
Сканер «SCADA-аудитор» может быть запущен с рабочего места администратора под управлением Windows. Основная его особенность заключается в использовании (в дополнение к стандартным средствам поиска потенциально опасных мест в АСУ ТП и типичных ошибок конфигурации) специализированной базы данных сигнатур и эвристических процедур, учитывающих специфику SCADA-платформ, которые получили наибольшее распространение при управлении объектами критически важных инфраструктур современных государств. Благодаря этому обеспечивается автоматизированное выявление элементов промышленных систем в глобальных вычислительных сетях и поиск уязвимостей в выявленных элементах, присущих как сетевому ПО в целом, так и системам SCADA в частности.
Комплекс «SCADA-аудитор» выполнен в виде открытой платформы, обеспечивающей наращивание возможностей системы путем добавления новых модулей с требуемыми функциональными характеристиками. Использование сканера целесообразно при аудите информационной безопасности производства, периодических проверках целостности системы безопасности автоматизированных платформ управления технологическими процессами, изменении конфигурации промышленной сети, разработке средств защиты АСУ ТП и приемо-сдаточных испытаниях SCADA-решений.
⇡#Сетевой сканер «Ревизор сети»
Разработчик: ООО «Центр безопасности информации»
Сайт продукта: cbi-info.ru
Стоимость лицензии: от 5 700 рублей
Комплекс, предназначенный для использования администраторами и службами безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP. Объектами исследования сканера являются рабочие станции, серверы, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса.
В основу «Ревизора сети» положена регулярно обновляемая база уязвимостей, посредством которой сканер умеет находить бреши в операционных системах семейства Linux (Mandriva, Gentoo, Red Hat, Slackware, Fedora Core, Debian, SUSE), а также FreeBSD и Solaris. Задействованные в продукте алгоритмы дают возможность проводить сканирование HTTP-серверов, анализ наиболее распространенных сетевых сервисов (Web, Mail, FTP, SNMP, RPC и прочих), подбор паролей, определение типов ОС, проверки типа «отказ в обслуживании», а также прочие тесты, позволяющие выявить узкие места в защите IT-инфраструктуры организации. Поддерживается взаимодействие с сетевым сканером Nmap.
«Ревизор сети» имеет сертификат ФСТЭК России и поставляется в рамках лицензии на ограниченное количество IP-адресов. В комплект включены электронные ключи Guardant для USB- или LPT-портов.
Для понимания текущей ситуации в области критически важных информационных систем достаточно обратиться к опубликованным Positive Technologies результатам исследования безопасности АСУ ТП. В обнародованном экспертами компании отчете отмечается стремительный рост числа обнаруживаемых брешей в промышленных комплексах. Если в период с 2005 до начала 2010 года было выявлено всего девять дыр в индустриальных системах, то после появления червя Stuxnet в 2011 году было найдено уже 64 уязвимости, а за первые восемь месяцев текущего года — 98 новых брешей, из которых около 65% относятся к высокой и критической степени риска. Этот показатель значительно превышает аналогичную оценку в прочих IТ-системах, что, по мнению экспертов Positive Technologies, свидетельствует о крайне низком уровне развития информационной безопасности АСУ ТП.
Однако отечественный рынок программных решений обеспечения информационной безопасности активно развивается, о чем свидетельствуют не только исследования аналитиков, но и наш обзор средств диагностики и мониторинга защиты вычислительных систем. Времена, когда IT-безопасность ассоциировалась у заказчиков с наличием антивируса и защитой внешнего периметра, уходят в прошлое. Компании стали уделять больше внимания проблемам управления уязвимостями и доступом к корпоративной инфраструктуре, что положительно сказывается как на безопасности бизнес-среды, так и на динамике роста российского рынка цифровых технологий в целом.
