База уязвимостей RedCheck сопоставлена с банком данных угроз безопасности информации

[aga5510]

Компания «Алтэкс-Софт» выпустила очередную версию (1.4) сканера безопасности RedCheck. Данная версия имеет множество новшеств, которые коснулись как репозитория уязвимостей OVALdb, на котором построен сканер, так и непосредственно функциональных возможностей программы, сообщили CNews в «Алтэкс-Софт».

Как отмечается, компания не оставила незамеченной активность регулятора по публикации уязвимостей, выявляемых в программных продуктах, которые применяются при создании автоматизированных и информационных систем, находящихся в сфере технического регулирования ФСТЭК России. В базу описаний уязвимостей RedCheck, кроме международных классификаторов, добавлены ссылки на банк данных угроз безопасности информации ФСТЭК России.

От версии к версии «Алтэкс-Софт» продолжает расширять число поддерживаемых платформ. Сканер RedCheck версии 1.4 осуществляет полномасштабную поддержку сканирования сетевого оборудования на базе IOS по направлениям аудита: инвентаризация, аудит уязвимостей, аудит конфигураций и контроль целостности.

Много внимания компания уделяет конфигурированию систем управления базами данных. Так, в новой версии представлены расширенные конфигурации безопасности для СУБД Microsoft SQL Server и Oracle.

В контексте аудита конфигураций (Compliance) основное внимание в последней версии уделено оценке соответствия требованиям приказа ФСТЭК России № 17 от 11.02.2013 г. для государственных информационных систем, меры защиты которых реализуются как с использованием встроенных механизмов безопасности операционных систем Microsoft Windows и Microsoft Windows Server, так и наложенных СЗИ, таких как Secret Net и Dallas Lock.

Кроме того, в RedCheck появился отдельно лицензируемый модуль аудита безопасности серверов приложений, который в сочетании с базовым функционалом RedCheck позволит проводить комплексный аудит защищенности серверных приложений. В модуле реализована поддержка веб-серверов и их компонентов (платформ): Apache HTTP Server, Nginix, IIS, .NET Framework, Apache Tomcat, PHP. Использование модуля позволит контролировать настройки безопасности наиболее используемых веб-сервисов и смежных с ними компонентов для различных Linux и Windows систем, рассказали в «Алтэкс-Софт».

В то же время, в программу добавлены многочисленные сервисные улучшения, в частности: автоматизация обновления контента программы из выбранной папки (автономный режим без доступа к OVALdb); поддержка профилей сканирования, с помощью которых можно выбирать подмножество уязвимостей для выполнения каждого задания с целью сокращения времени сканирования; шаблоны (паттерны) для формирования имен заданий. Также расширены фильтры поиска в менеджере конфигураций и истории сканирования. Значительно переработан интерфейс и функционал инвентаризации, доводящий RedCheck, по словам разработчиков, до уровня профессионального инструмента для сбора и обработки информации об ИТ-ресурсах организации.

Помимо того, в версии 1.4 претерпело значительные изменения ядро сканирования, за счет чего этот процесс стал более быстрым и стабильным, особенно в части обработки «сигнатур» уязвимостей, требующих значительных вычислений. При этом кардинально переработано сканирование Linux-платформ — теперь оно полностью безагентское для всех типов заданий, что расширяет возможности сканирования в распределённых и гетерогенных enterprise-системах, подчеркнули в «Алтэкс-Софт».

«Как нетрудно заметить, основной акцент в новой версии RedCheck ставился на сканирование инфраструктуры, связанной с веб-серверами и СУБД, а также на инструменты оценки соответствия требованиям регуляторов, прежде всего для государственных информационных систем. Мы надеемся, что новшества программы по достоинству должен оценить широкий круг наших пользователей, эксплуатирующих крупные и средние сети, интернет-провайдеры, организации, проходящие процесс аттестации соответствия требованиям безопасности, испытательные лаборатории и аудиторские компании», — прокомментировал выпуск новой версии RedCheck заместитель генерального директора по ИТ компании «Алтэкс-Софт» Сергей Уздемир.