Народ, никто не имел дело с продуктами типа x-spider/rapid7?
Сейчас вот подбираю для организации продукт подобного рода, но не имею опыта такое ощущещние, что выбираю кота в мешке.
Если есть у кого практический опыт и готовность поделиться своим опытом/впечатлениями буду очень признателен.
Либо если не здесь, но подскажете хороший ресурс/обзоры тоже буду очень рад.
Заранее спасибо.

Сканер нужен для внутренних проверок на то насколько политика администрирования выполняется правильно.
А некторые стандарты безопасности, например PCIDSS требует использовать подобные продукты. Т.е. вопрос "зачем" для меня уже имеет ответ - "надо".
А вот вопрос что взять, очень актуален.

уважаемые отвечающие не по теме вопроса. Меня не интерисует мнение на тему нужны сканеры или не нужны. Если вы слабо знакомы или не сталкивались с международными стандартами безопасности то это ваше счастье.
Поэтому интересует мнение людей, которые с этими продуктами работали. А мнение тех, кто хочет поучить меня жизни мне не интересно.

меня интересует мнение о конкретных инструментах, в тонкостях и возможностях которых я начал только разбираться.
Вместо этого, какие-то умники на вполне конкретный вопрос пытаются объяснить, что оно мне не нужно. Такие советы мне не нужны.

AndreTM, вижу в вас "великого" спеца как по стандартам, аудиту больших сетей так и просто "культурного" человека который понимает потребности собеседника. Пожалуйста, пройдите мимо этого топика.

Khod, я сейчас ковыряю предоставленные поставщиками ограниченные версии Rapid7 community edition и триалку x-spider 7.7. То и то весьма сильно зарезаны и не дают попробовать основные доп. модули (веб-сканинг/проверка политик итп). Имею поверхностное знакомство по презентациям с qualys. Имел дело с accunetix, - очень добротный продукт для аудита веб-приложений, но мне веб-сканинг пока не нужен, поэтому акунетикс не расматриваю.
К сожалению, имею весьма очень ограниченный бюджет, полноценные версии версии rapid7 точно не дадут приобрести, а вот на x-spider хватает.

кстати qualys весьма интересен в плане возможностей, но ценник за продукт с доп.модулями тоже превышает бюджет :(
Сейчас у меня цель досконально рабобраться в возможностях этих инструментов, понять что я могу приобрести и получить, приоьрести и получить максимальную пользу от инструмента.
Тут проблема аналрогичная выбору sql-сервера, если опыта не имел сам, то выбрать качественно будет сложно, а маркетингу верить можно только после перепроверить.

khod, если у вас есть опыт, то прошу поделиться. Бюджет и прочее - мои проблемы. Мне сейчас надо изучить возможности инструментов, а на обрезках, которые мне дали это сделать сложно.

x-spider вполне себе сертифицорованный и мне доступен. Rapid7 выглядит поинтереснее, но основные интересности у него в топовых PRO-редакциях, а платная экспресс версия и тем более rapid7 comminity edition уже гораздо беднее по функционалу.

Khod, все мы работаем в разной степени колхозах, если фирма не иностранная. Так что мой случай - "посмотрел, изучил, вынес предложение". Но меня еще и перепроверят, по крайней мере придется составлять сравнительный анализ по результатам тест-забега. А вот составлять сравнение мне хочется самому, понимая что почем и за что, а не на основании маркетинговых птичек с сайта производителя.

взяли nexpose rapid7 express pro. Пока в самом начале пути освоения. Если у кого будет интерес - напишу впечатления.

khod, пока делаю первые тестирования. Даже не знаю, чего писать. Может, когда освою больше и получу результаты сканов разных систем в рахных режимах, то появится некое интегральное мнение. А пока, если есть интерес, то можешь задавть какаие-то конкретные вопросы.
У этого продукта есть бесплатначя версия - community edition, хоть она и ограничена, но базовый скан делает. Так что можно скачать и получить собственный опыт.

Khod, с чего вы взяли? Я отсканировал сервис интернетбанкинга, нашлось 22 уязвимости, из них 19 по делу. Очень хороший результат. Но это пока все, что я успел. Продукт пока изучаю.

из первых впечатлений, генерирует очень толковые и полезные отчеты об уязвимостях, что они из себя представляют и как их фиксить.
форм отчетов разные: просто отчет аудита, отчет в формате pcidss итд.
Т.к. инструмент заточен под большие корпорации, то сканирующие движки могут быть рспределены по разным компам, но моя версия экспресс лицензирована только на один движок на одном компе.
Впринципе идея такая:
система сканирует ресурсы сети и составляет т.н. реестр активов
Эти активы можно потом формировать по группам. Группы могут быть динамические (по сути некий фильтр по активам) и статические, когда вручную указываешь что куда.
Потом на эти активы создаются профили сканирования. Профилей даже встроенных весьма много. Сканирование упрощенно можно разделить на две группы:
-"слепое" сканирование. В этом режиме система сама сканирует порты, определяет сервисы и исходя из обнаруженных сервисов, их версий начинает прощупывать каждый на предмет уязвимостей свойственных ему.
-сканирование с учетными записями. Грубо говоря, задаются учетные записи, с помощью которых можно залезть на сервис и проверять его изнутри на предмет соблюдения всяких политик. Сканер понимает винду, лотусы, определенный набор БД, юниксы, умеет лазить внутрь веб-приложений (задается урл к форме авторизации и поля куда надо вставлять логин пароль, а потом изнутри уже можно щупать приложение на устойчивость к веб атакам типа инъекий, xss итп).

из всехрежимов удалось прощупать только режим веб-аудита. Впринципе кроме недостатков свойственных самому веб-серверу, определил, что-то конкретая реализация ssl содержит уязвимость и надо бы обновить библиотеку, выявил некие проблемы в конфигурации связанные с уязвимостьями к ddos атакам и возможным атакам на куки.
В общем я весьма доволен.

просто многое из то,что я написал о функционале есть в справке на систему,а дублировать справку не хочется.

но если говорить об аудите именно веб-приложений и это основная цель, то лучше обратить взор на сканер Accunetix - лучше него в этой нише нет.