Сканеры проверяют используемые приложения, ищут «дыры», которыми могли бы воспользоваться хакеры, и предупреждают администратора о зонах риска и пробелах в системе безопасности. Их задачи — идентификация и анализ уязвимостей, инвентаризация ресурсов, формирование отчетов, содержащих описание уязвимостей и варианты их устранения. Конечно, функциональность разных продуктов существенно различается, однако грамотно используя сканер уязвимости сети, хорошо зарекомендовавший себя на рынке, можно значительно усилить сетевую безопасность.
Такой инструмент — необходимое средство не только для компаний, владеющих уникальными базами данных, ценными архивами или работающими с конфиденциальной информацией. Они пригодятся везде, где нежелательна или даже опасна утечка информации, имеются базы персональных данных клиентов. Это один из важных элементов системы обеспечения информационной безопасности предприятия.
Расскажем об одном из таких продуктов — GFI LanGuard. Это значительно более зрелый инструмент, чем многие наводнившие рынок сканеры безопасности, отмеченный целым рядом отраслевых наград, а по функциональности он превосходит многие подобные платформы.
Посмотрим, чем такой продукт может быть полезен и системным администраторам в небольших компаниях, и ИБ-специалистам в крупных организациях.
Что такое LanGuard?
LanGuard компании GFI Software – сетевой сканер безопасности и инструмент управления обновлением ПО, который строит карту сети и проводит анализ рисков. GFI Software – один из лидеров на рынке информационной безопасности. Компания работает с 1992 года и за это время заслужила репутацию надежной организации, производящей профессиональные продукты для решения широкого спектра ИТ-задач.
Этот продукт решает сразу несколько задач – работает как сканер безопасности, служит для управления обновлениями, аудита программного и аппаратного обеспечения. Причем он управляет обновлениями не только ОС и продуктов Microsoft, но и отличного Microsoft популярного ПО – Acrobat Reader, Flash Player, Skype и др. Кроме того, он пригодится компаниям, которым необходимо соответствовать требованиям PCI DSS.
LanGuard устанавливается на одном компьютере с ОС Windows и сканирует локальную сеть, обнаруживая все устройства в ней – серверы, рабочие станции, ноутбуки, мобильные гаджеты, виртуальные машины, коммутаторы, маршрутизаторы и принтеры, чтобы проверить их на предмет безопасности.
Сканер уязвимости проверяет все: от серверов до сетевого аппаратного обеспечения, виртуальных машин и смартфонов. Это делается с помощью программных агентов или без них. В первом случае можно получить более точные и глубокие результаты.
В сочетании с новыми инструментами защиты облачной инфраструктуры наподобие CloudPassage или продуктами IDM, такими как ViewFinity, GFI LanGuard станет неотъемлемым средством в арсенале продуктов сетевой безопасности.
Сканирование сети в GFI LanGuard
По существу, GFI LanGuard работает как виртуальный консультант по безопасности:
- Управляет обновлениями для Windows, Mac OS и Linux.
- Обнаруживает уязвимости на компьютерах и мобильных устройствах.
- Проводит аудит аппаратного и программного обеспечения.
Как сетевой сканер безопасности GFI LanGuard осуществляет обнаружение, определение и исправление уязвимостей в сети. Полное сканирование портов, наличие необходимых обновлений ПО для защиты сети, а также аудит программного и аппаратного обеспечения — все это возможно из единой панели управления.
Возможности LanGuard
Важная функция – сканирование портов. Несколько уже созданных профилей сканирования позволяют провести как полное сканирование всех портов, так и быстро проверить только те, которые обычно используются нежелательным и вредоносным ПО. GFI LanGuard сканирует сразу несколько узлов одновременно, заметно сокращая требуемое время, а затем сравнивает найденное ПО на занятых портах с ожидаемым.
LanGuard можно использовать для развертывания обновлений во всей сети
Данный сканер уязвимостей сети имеет очень важное отличие от множества конкурентов. Он может автоматически обновлять программное обеспечение. До установки последних обновлений узлы сети совершенно не защищены, так как именно новейшие уязвимости, которые закрывают актуальные патчи и обновления, используются хакерами для проникновения.
В отличие от встроенных в ОС инструментов, GFI LanGuard проверят не только саму ОС, но и популярное ПО, уязвимости которого обычно используется для взлома: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, браузеры, мессенджеры.
Стоит отметить, что после обновления данных об уязвимостях, количество которых в базе GFI LanGuard уже перевалило за 50000, сканирование сети запускается автоматически. Поставщиками информации об угрозах являются сами вендоры ПО, а также зарекомендовавшие себя списки SANS и OVAL. Это обеспечивает защиту от новейших угроз.
Результат инвентаризации приложений
Чтобы получить полную картину, необходим аудит сети. LanGuard подготовит подробный список установленного программного и аппаратного обеспечения на каждом из компьютеров, обнаружит запрещенные или недостающие программы, а также лишние подключенные устройства. Результаты нескольких сканирований можно сравнить, чтобы выявить изменения.
Функции сетевого сканера безопасности распространяются на все популярные ОС для рабочих станций и серверов (Windows, MacOS, популярные дистрибутивы Linux и Unix), а также на смартфоны на базе iOS и Android. Картину безопасности дополняют виртуальные машины VMware, Virtual PC, VirtualBox и др.
Установка и запуск продукта
«Весит» LanGuard около 300 Мбайт, а ключ активации продукта можно получить по электронной почте. Специальная утилита по шагам помогает выполнить инсталляцию – уже минут через пять можно будет сканировать сеть.
Главный экран LanGuard
На главном экране продукта отображаются результаты сканирования – статус уязвимости сети и данные аудита, а также советы по усилению защиты, например, рекомендация применить отсутствующие патчи, удалить неавторизованные программы, включить антивирусную защиту и пр. Кроме того, ПО дает информацию по работе с программными агентами, например, рекомендует разрешить их использование для автоматизации аудита безопасности сети и распределения нагрузки при сканировании по клиентским ПК. А в нижней части экрана есть ссылки на новости по продукту.
Web-консоль LanGuard
После установки и запуска сканирования в LanGuard автоматически разрешен поиск уязвимостей на локальных системах. Детальная информация показывает уровень уязвимости, основные проблемы, требующие решения, состояние сканирование, статус агентов и изменение уязвимости за период наблюдения.
Результаты сканирования сети отображаются в удобном для восприятия формате
Продукт дает консолидированную статистику уязвимости сети в целом, показывает уровень угроз (доли потенциальных, высоких, средних и низких проблем в безопасности), динамику изменения уровня безопасности и список самых незащищенных систем в сети.
В числе дополнительных функций — проверка соответствия IP-адресов DNS (DNS Lookup), трассировка сети (Traceroute), проверка информации о домене или IP-адресе, построение списка компьютеров в сети и пользователей в Active Directory.
Если щелкнуть один из показанных датчиков безопасности, то появится список уязвимостей в порядке их серьезности с подробными сведениями о каждой. Эти статусы можно менять, равно как и относящиеся к уязвимости правила.
Работа с LanGuard
Работу с продуктом облегчает наличие полной документации и даже видеотур. Кроме того, есть информативная база знаний, доступная в режиме онлайн. Для поддержки можно воспользоваться и чатом со специалистами GFI.
Настройка опций оценки уязвимости
Чтобы запустить начальное удаленное сканирование, нужно перейти на страницу сканирования. Здесь можно задать группу сканирования, указав диапазон IP-адресов и щелкнув кнопку «Сканировать». LanGuard показывает число сканируемых компьютеров и примерную оценку времени сканирования – это операция может занять несколько часов.
Настройка профилей сканирования сети и программного обеспечения
Помимо обнаружения открытых портов, небезопасных настроек и запрещенного к установке ПО, LanGuard проверяет обновления и патчи не только ОС (десктопных и мобильных, физических и виртуальных), но и установленного ПО. В окне результатов отображаются IP-адреса систем, имя ПК и название/версия ОС. Можно получить дополнительные сведения по портам TCP и UDP, аппаратным и программным средствам, а также информацию о системе.
Мониторинг состояния патчей
Каждому компьютеру с Windows соответствуют разделы с оценкой уязвимости, данными аудита сети и программного обеспечения. Уязвимости разделяются по уровню серьезности – высокая, низкая, потенциальная, отсутствует Service Pack, не применены обновления. Двойной щелчок на названии приложения показывает новое окно с более глубокой информацией и ссылкой на обновление.
Интерфейс LanGuard хорошо продуман и «отшлифован». Окна и поля можно перетаскивать, менять их размер. Содержимое практически любого окна можно копировать в буфер обмена. Окна показывают информацию об устройствах, справочную информацию, интерфейс интуитивно понятен даже не очень искушенному пользователю, не говоря о сисадминах.
Сканер сетевой безопасности можно настроить на автономный режим работы, в этом случае он будет запускаться по таймеру, а исправления, разрешенные администратором, будут выполняться автоматически. Не менее продуманы и отчеты.
Отчеты LanGuard
Закончив сканирование, GFI LanGuard отправляет пользователю полный отчет с характеристиками всех уязвимостей и инструкциями по их ликвидации в ручном режиме. Можно сразу же ликвидировать пробелы в защите, исправить настройки, обновить ПО (включая установку недостающих элементов), удалить запрещенные программы.
Отчеты, которые строит GFI LanGuard, подходят как для технических специалистов, так и для менеджмента компании
Вкладка отчетов наряду с общими отчетами содержит отчеты, соответствующие требованиям регуляторов, такие как отчеты по стандартам PCI DSS, HIPAA и др. Отчет можно кастомизировать, распечатать или отправить по электронной почте.
Отчет по соответствию PCI DSS
Поддерживаются популярные форматы: PDF, HTML, XLS, XLSX, RTF и CSV. К уже существующим отчетам PCI DSS, HIPAA, SOX, GLB/GLBA и PSN CoCo можно добавить в планировщик собственные шаблоны.
Получив подробный отчет о результатах сканирования с описанием каждой уязвимости и ссылками на дополнительную литературу, можно исправить большинство угроз одним нажатием на кнопку «Устранить»: порты будут закрыты, ключи реестра исправлены, патчи установлены, ПО обновлено, запрещенные программы удалены, а недостающие программы установлены.
Выводы
LanGuard не случайно занимает верхние строчки в рейтингах сетевых сканеров. Продукт предоставляет полную картину происходящего в сети для оперативного реагирования и эффективного устранения проблем в кратчайшие сроки. Наряду с грамотно реализованными традиционными функциями сетевого сканера он может автоматически обновлять устаревшее программное обеспечение и устанавливать обновления и патчи на разные операционные системы, а цена GFI LanGuard не станет обременительной для небольшой организации. Наконец, он подойдет и компаниям, использующим виртуальные среды. GFI LANguard действительно позволяет получить достоверную информацию о проблемах сети, что позволит системному администратору принять меры по повышению уровня ее защищенности.
Загрузить бесплатную полнофункциональную версию (демо, 30 дней) можно здесь:
gfi-software.ru/downloads/gfi-languard
На время использования предоставляется техническая поддержка на русском языке в соответствии с политикой:
gfi-software.ru/support/policy
Пост 2 — GFI Archiver: хранилище для почты >>
Пост 3 — GFI MailEssentials: почта под защитой >>
Комментарии (9)
a1x0
28.06.2016 19:58+1Оптика на стяжках…
Akr0n
01.07.2016 06:42А как надо? Вопрос в целях повышения образованности :)
a1x0
01.07.2016 07:56+2Липучка :) http://www.aboveboardelectronics.com/upload/20130405_131014_821436981_HookLoopStrap_MainProduct.jpg
Это в идеальном мире все можно на стяжки зафигачить, а в реальном, кабели ломаются их надо менять, переключать и т.д. Со стяжками их приходится постоянно перекусывать и надеяться, что не повредишь кабель.
Izzet
29.06.2016 09:14Если можно, несколько вопросов:
- А в словах про вершину рейтинга про какой список идет речь?
- Есть ли возможность подключить внешнее тестирование из облака
- Есть ли агенты или для подробного тестирования придется создавать на хостах специальнцю учетку, пароль от которой скармливать сканеру
- Можно ли разграничивать роли? Только просмотр информации, запуск сканирований только на определенных сегментах и т.п.?
- Есть ли возможность поставить несколько серверов в разных сегментах и собирать информацию в единую консоль?
- Есть ли возможность автоматически заводить тикет на нужного пользователя в зависимости от типа уязвимости, уязвимого хоста и т.п.?
- Есть ли возможность оповещать пользователей в зависимости от критичности уязвимости?
iXCray
29.06.2016 16:17+1- http://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard/resources/awards
- Услуги по внешнему тестированию мы не предоставляем, но вы можете легко вынести GFI LanGuard за пределы сети, чтобы провести внешнее сканирование
- Агенты есть, ставятся из панели управления продуктом (если есть права), либо разбрасываются вручную
- По сегментам разграничивать роли пока нельзя, эта возможность ожидается в этом году, либо в начале следующего. Для ограничения только на просмотр отчетности можно дать доступ до веб-консоли — она не позволяет управлять сканированием
- Веб-консоль, которая позволяет консолидировать информацию со всех установок и генерировать отчетность, есть
- "Из коробки" возможность автоматически заводить кейсы в тикет-системе отсутствует, но есть консольный доступ до GFI LanGuard, отправка оповещений по почте (например, в тикет-систему), а также размещение отчетов в формате XML, удобном для интеграции в любой другой процесс даже через обычный планировщик Windows
- Оповещения есть, можно высылать, например, автоматический отчет по критическим уязвимостям на почту по окончании сканирования, но отсутствует возможность сегментации по пользователям.
- Интеграции с SIEM в текущей версии нет
Gekus
29.06.2016 13:41+1LanGuard стоит у меня на компьютере (консоль). Пользуюсь им, начиная с 7 версии (примерно с 1999 года, если не ошибаюсь). Сейчас использую LanGuard 2015 (ver. 11.4) На последнюю версию (которая включает в себя web-консоль по результатам сканирования) еще не перешел.
Да, он много что может, но недостатки есть:
— агенты грузят компьютеры, даже включенные с локальную с консолью сеть, после включения на ~5 минут;
— агенты, установленные на компьютерах, подключающихся по ВПН в нашу сеть примерно раз в неделю, грузят компьютеры безбожно. На полчаса можно идти пить кофе, пока он просканирует компьютер. Все дело в архитектуре агентов. Можно, конечно, установить сканирование агентом не раз в день, а раз в неделю, но для нас это не приемлемо;
— раз в месяц открываю кейс в службу поддержки, и они пока справляются с моими кейсами. Сейчас открыт кейс с ошибочным (false positive) репортингом по OVAL уязвимостям;
— web-консоль Languard 2016 (ver. 12) предназначена только для просмотров результатов сканирования, а менять любые параметры приходится все равно на локальной консоли LanGuard.
Но нас он пока устраивает. Как-то так…iXCray
29.06.2016 15:50Спасибо за отзыв.
Что касается консоли LanGuard — да, в ней пока что можно только смотреть за статусом всех установок, но в этом году выходит отличный инструмент, который позволит управлять сканированием и установками патчей централизованно во всей сети. Сообщим отдельно.
V0ldemar
Шасси конвертеров на превьюшке заставило понастольгировать…