Rapid7 Nexpose

Продукт
Разработчики: Rapid7
Дата последнего релиза: 2020/10/26
Технологии: Network Health Monitoring - Мониторинг сети или управление здоровьем-производительностью ИТ-Инфраструктуры,  ИБ - Межсетевые экраны

Содержание

Основная статья: Межсетевой экран (Firewall)


Nexpose - универсальный сканер уязвимостей от компании Rapid7.

2020: Выявление уязвимости, позволяющей получать неавторизованный доступ к ресурсам и данным

Positive Technologies сообщила 26 октября 2020 года о том, что ее эксперт Михаил Ключников выявил уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.

Продукт Nexpose — это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.

Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DDoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.

«
Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять записи, — рассказывает Михаил Ключников. — Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе — это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав.
»

Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.

2016: Rapid7 Nexpose прошел аттестацию на соответствие требованиям ФСТЭК

По итогам испытаний компания Rapid7 получила сертификат соответствия №3550, подтверждающий, что программное обеспечение Rapid7 Nexpose соответствует требованиям технических условий и является программным средством анализа защищённости информации, не содержащей сведений, составляющих государственную тайну.

Решение Rapid7 Nexpose предназначено для защиты информации, и может применяться организациями для сканирования уязвимостей и принятия обоснованных решений по управлению рисками, обеспечивая соответствие своих информационных систем требованиям регуляторов.

2015

Проверка ФСТЭК РФ

27 октября 2015 года стало известно о решении Федеральная служба по техническому и экспортному контролю (ФСТЭК России) от 11 июня 2015 года о проведении сертификации партии программного обеспечения Rapid7 Nexpose.

Сертификационные испытания ПО Rapid7 Nexpose предстоит провести на соответствие требованиям технических условий, основное из которых - требование к обнаружению уязвимостей в различном программном обеспечении. Сертификационные испытания проведет испытательная лаборатория ЗАО "НПО "Эшелон", аккредитованная ФСТЭК России.

Александр Барабанов, директор департамента сертификации и тестирования ЗАО "НПО "Эшелон",отметил: "Около 10% продуктов по информационной безопасности, представленных на территории России, прошли сертификацию ФСТЭК. Решение о подаче сканера уязвимостей Rapid7 Nexpose на сертификацию, принятое разработчиком, позволит ему продемонстрировать соответствие своего продукта требованиям ФСТЭК России и этим повысить к нему доверие со стороны российского рынка информационных технологий. При успешном завершении сертификации конечные пользователи продукта смогут обеспечить соответствие своих информационных систем требованиям регуляторов".

Возможности Nexpose

Существуют различные вариации продукта Nexpose, ориентированные на различные компании. Бесплатная версия продукта рассчитана на небольшие компании или частное пользование (до 32 ip-адресов).

Возможности системы

  • Сканирование сети и операционных систем
    • Более 54500 различных проверок из базы 14000+ уязвимостей;
    • Низкий уровень ложных срабатываний;
    • Высокая скорость сканирования;
    • Возможность проводить безопасные проверки, без нарушения работы сети;
    • Обнаружение уязвимостей, в зависимости от установленной операционной системы (ОС);
    • Обнаружение уязвимостей на основании установленных обновлений ОС;
    • Сканирование уязвимостей большого количества ПО и оборудования: Windows, Unix, Cisco, Adobe и др.

  • Сканирование WEB приложений
    • Проверки SQL Injection, Directory Traversal, Parameter Manipulation
    • Анализ JavaScript (эмуляция веб браузера);
    • Выявление всех видов XSS уязвимостей, включая DOM XSS.

  • Сканирование баз данных
    • Аудит баз данных для обнаружения брешей в защите, в том числе вызванных неправильной настройкой;
    • Большой спектр проверяемых баз данных: Oracle, IBM, PostgreSQL, Sybase, Microsoft, Informix, MySQL.

Скриншот окна приложения (2014)

  • Технология NeXpose Expert System
    • Построение цепочек уязвимостей;
    • Глубокое сканирование;
    • Нахождение скрытых уязвимостей;
    • Подтверждение наличия эксплойта для уязвимости.

План устранения уязвимостей

  • NeXpose использует элементы искусственного интеллекта для классификации рисков, для принятия обоснованных решений и сосредоточения ресурсов на ликвидацию наиболее критических уязвимостей;
  • NeXpose генерирует план устранения уязвимостей, основанный на уровне риска.

  • Мощная система отчетов
    • Преднастроенные шаблоны с различной детализацией для технических специалистов, менеджеров и членов правления;
    • Настройка отчета по шаблону пользователя;
    • Экспорт в популярные форматы;

  • Простота управления
    • Интуитивно понятный веб-интерфейс Nexpose (Rapid7)
    • Гибкая настройка интерфейса в соответствии с требованиями (PCI DSS, HIPA, FISMA, SOX 404, GBLA);
    • Централизованное управление;
    • Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.

Скриншот окна приложения (2014)

  • Расширяемая архитектура
    • Клиент-серверная архитектура, позволяет работать с NeXpose как в малых так и в крупных компаниях;
    • Поставляется в нескольких вариантах исполнения - как программа, или как аппаратное устройство;
    • Открытый и описанный API для интеграции с другими продуктами;
    • Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (40)
  Другие (1191)

  Смарт-Софт (Smart-Soft) (5)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Аксофт (Axoft) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (3)
  Национальный аттестационный центр (НАЦ) (3)
  Другие (56)

  Positive Technologies (Позитив Текнолоджиз) (5)
  ИВК (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  ITProtect (Инфозащита) (2)
  Другие (43)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 169)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (714, 494)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  Curator (Эйч-Эль-Эль) ранее Qrator Labs (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  Positive Technologies (Позитив Текнолоджиз) (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  X-Labs (Икс Лабз) (1, 1)
  Код Безопасности (1, 1)
  Другие (4, 4)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 81
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Kaspersky Enterprise Space Security - 34
  MaxPatrol SIEM - 33
  Другие 666

  Смарт-софт: Traffic Inspector Next Generation - 5
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  Ngenix Облачная платформа - 2
  StormWall: Многоуровневая распределенная система фильтрации - 2
  Trend Micro: Deep Discovery - 2
  Другие 16

  Solar MSS - 3
  Kaspersky Endpoint Security - 3
  Solar JSOC - 3
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 20

  UserGate UTM - 4
  Kaspersky Endpoint Security - 3
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  UserGate C-серия Межсетевые экраны - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 8

  ИВК Кольчуга - 4
  UserGate UTM - 3
  MaxPatrol SIEM - 2
  UserGate Next-Generation Firewall (NGFW) - 2
  UserGate E-серия Межсетевые экраны - 2
  Другие 14

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Глобус-телеком (17)
  Softline (Софтлайн) (11)
  NetWrix Corporation (8)
  Т1 Интеграция (ранее Техносерв) (8)
  Инфосистемы Джет (7)
  Другие (199)

  Инфосистемы Джет (2)
  Крок (2)
  Platformix (Платформикс) (1)
  Schneider Electric Global (1)
  Softline (Софтлайн) (1)
  Другие (9)

  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  Первый Бит (1)
  Aruba Networks (1)
  C3 Solutions (СиТри Солюшнз, Новые Технологии) (1)
  Hewlett Packard Enterprise (HPE) (1)
  Другие (3)

  Связьком (1)
  Т-Банк (Тинькофф Банк) (1)
  Другие (0)

  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1)
  TrafficSoft (НФВер, Траффик Софт) ранее NFWare (1)
  Нота (Холдинг Т1) (1)
  Другие (0)