Пока вы читаете эту статью, злоумышленники уже могут прощупывать слабые места, чтобы нанести удар. Одна незамеченная брешь — и под угрозой оказываются данные клиентов, финансовая отчётность, репутация компании.
Как узнать, где затаились критические дыры? Какие из них нужно закрыть в первую очередь? Как именно это сделать? Есть решение, которое в режиме реального времени покажет уязвимости виртуальной среды.
MaxPatrol VM — система, которая разработана для обеспечения информационной безопасности в средах с виртуальными машинами. MaxPatrol VM:
Как узнать, где затаились критические дыры? Какие из них нужно закрыть в первую очередь? Как именно это сделать? Есть решение, которое в режиме реального времени покажет уязвимости виртуальной среды.
MaxPatrol VM — система, которая разработана для обеспечения информационной безопасности в средах с виртуальными машинами. MaxPatrol VM:
- даёт полную карту рисков виртуальной инфраструктуры;
- расставляет приоритеты и показывает, где угроза максимальна;
- говорит конкретные шаги по устранению проблем;
- следит за изменениями, чтобы не пропустить новую брешь.
MaxPatrol VM – решение, которое предотвращает инциденты.
Команда интегратора «Экстрим безопасность» проводила пилотный проект PT MaxPatrol VM в инфраструктуре ИТ-компании. Перейдем к результатам.
Команда интегратора «Экстрим безопасность» проводила пилотный проект PT MaxPatrol VM в инфраструктуре ИТ-компании. Перейдем к результатам.
Пользователи Системы
В PT MC используется система ролевой модели управления доступом. Пользователю можно назначить одну или несколько ролей. Каждая роль включает определенный перечень прав, которые определяют доступ к интерфейсу и операциям.
В пилотном проекте была произведена настройка LDAP-подключений. В Системе работали пользователи с доменной и локальной учетными записями. Пользователи Системы (рис. 1) и их роли (рис. 2) представлены ниже.
В пилотном проекте была произведена настройка LDAP-подключений. В Системе работали пользователи с доменной и локальной учетными записями. Пользователи Системы (рис. 1) и их роли (рис. 2) представлены ниже.
Управление активами
Управление активами — процесс, в ходе которого выполняются идентификация, регистрация, учет и поддержка в актуальном состоянии информации об активах организации. Система охватывает полный цикл функций процесса управления активами, уделяя особое внимание сбору сведений об активах и контролю их текущего состояния.
1) Поиск активов
Вся информация об активе в MaxPatrol VM хранится в карточке актива. Данные об активах вводятся автоматически путем сканирования локальных сетей системой или вручную пользователями.
Первым этапом выполняется поиск активов, затем проводится их подробный аудит. Обнаружение активов позволяет системе зафиксировать наличие ресурса и сформировать первичные сведения о нем. Аудит предполагает получение детальной информации об активе разными способами.
Количество обнаруженных активов: 79.
1) Поиск активов
Вся информация об активе в MaxPatrol VM хранится в карточке актива. Данные об активах вводятся автоматически путем сканирования локальных сетей системой или вручную пользователями.
Первым этапом выполняется поиск активов, затем проводится их подробный аудит. Обнаружение активов позволяет системе зафиксировать наличие ресурса и сформировать первичные сведения о нем. Аудит предполагает получение детальной информации об активе разными способами.
Количество обнаруженных активов: 79.
2) Автоматизация аудита активов
В рамках сканирования активов были проведены аудит защищенности и поиск уязвимостей для сетевого оборудования, контроллеров домена, для ОС семейства Windows и Linux.
3) Группировка активов
В рамках пилотного проекта для формирования структуры групп использовались статические группы:
Другие варианты возможных статических групп:
В рамках сканирования активов были проведены аудит защищенности и поиск уязвимостей для сетевого оборудования, контроллеров домена, для ОС семейства Windows и Linux.
3) Группировка активов
В рамках пилотного проекта для формирования структуры групп использовались статические группы:
- IP
- Значимость актива
- ОС
- СКХП
- Уязвимости
Другие варианты возможных статических групп:
- DMZ — для выделения серверов в демилитаризованной зоне.
- Структурные подразделения — для формирования структуры организации (например, IT-отдел, бухгалтерия).
- Диапазоны IP-адресов — для группировки узлов по IP-адресам.
- По типу установленной ОС (например, Windows Server, Windows Desktop, iOS).
- По функциональной роли (например, Firewall, Network Switch, DHCP, Domain Controllers, Exchange, Hyper-V).
- По наличию установленного ПО.
Для автоматического наполнения указанных статических групп использовались входящие в их состав динамические группы. Иерархия групп приведена на рисунке 3.
4) Присвоение значимости активам
Динамические группы также используются для присвоения значимости активам. Активам, входящим в группы, присваиваются следующие уровни значимости:
Результаты присвоения значимости представлены на рисунке 4.
Динамические группы также используются для присвоения значимости активам. Активам, входящим в группы, присваиваются следующие уровни значимости:
- СD AD — высокая;
- Серверы — средняя;
- ПК — низкая.
Результаты присвоения значимости представлены на рисунке 4.
5) Политики актуализации данных об активах
В ходе пилотного тестирования были нарушены политики. Зарегистрированы нарушения для активов высокой и средней значимости. Причина – нерегулярный запуск сканирования. Результаты представлены на рисунке 5.
Был выполнен поиск активов с установленным неподдерживаемым и (или) запрещенным ПО. Пример представлен на рисунке 6.
В ходе пилотного тестирования были нарушены политики. Зарегистрированы нарушения для активов высокой и средней значимости. Причина – нерегулярный запуск сканирования. Результаты представлены на рисунке 5.
Был выполнен поиск активов с установленным неподдерживаемым и (или) запрещенным ПО. Пример представлен на рисунке 6.
Управление уязвимостями
Управление уязвимости – процесс своевременного выявления, анализа и устранения уязвимостей. Система позволяет специалистам информационной безопасности автоматизировать процесс управления уязвимостями.
1) Выявление уязвимостей
Обнаружение уязвимостей для активов осуществляется Системой автоматически после завершения процедуры сканирования или при внесении изменений в базу известных уязвимостей. Процесс проверки объектов проходит в режиме аудита и в режиме пентеста. Выявленные уязвимости являются свойствами соответствующего актива.
2) Политики устранения уязвимостей
В ходе пилотного тестирования были нарушены политики. Зарегистрированы нарушения для активов высокой и средней значимости. Причина – невозможность проведения патчинга всех выявленных уязвимостей в рамках пилотного проекта.
Сведения об устранении представлены на рисунке 7.
1) Выявление уязвимостей
Обнаружение уязвимостей для активов осуществляется Системой автоматически после завершения процедуры сканирования или при внесении изменений в базу известных уязвимостей. Процесс проверки объектов проходит в режиме аудита и в режиме пентеста. Выявленные уязвимости являются свойствами соответствующего актива.
2) Политики устранения уязвимостей
В ходе пилотного тестирования были нарушены политики. Зарегистрированы нарушения для активов высокой и средней значимости. Причина – невозможность проведения патчинга всех выявленных уязвимостей в рамках пилотного проекта.
Сведения об устранении представлены на рисунке 7.
3) Оценка защищенности пилотной зоны
Выявлено наличие трендовых уязвимостей в ходе оценки защищенности пилотной зоны – рис. 8 и 9.
Выявлено наличие трендовых уязвимостей в ходе оценки защищенности пилотной зоны – рис. 8 и 9.
В пилотной зоне обнаружены уязвимости, для которых есть эксплойты – рис. 10.
Наиболее уязвимые активы: рис. 11 и 12.
Система позволяет отображать и группировать найденные уязвимости операционной системы и программного обеспечения: рис. 13.
4) Отчеты и уведомления
Система предоставляет возможность формировать отчеты и настраивать уведомления. Отчеты строятся на основании информации об активах или уязвимостях и представляют собой файл одного из форматов: PDF или CSV. Можно настроить расписание отправки отчета в формате PDF на почту.
5) Чек-лист для настройки Системы
После установки Системы необходимо ее настроить. В процессе работы часть параметров может измениться, поэтому периодически необходимо проверять корректность настройки. Для данной задачи можно использовать чек-лист настройки Системы. В нем содержится список проверок по группам. Напротив каждой группы отображается количество пройденных проверок. Для каждой проверки дано краткое описание, объясняющее, что именно и почему требуется настроить и какие шаги необходимо выполнить. Неактуальные проверки можно исключить. Если остались не пройденные проверки, Система отправит уведомление. В ходе пилотного проекта было проведено максимальное количество проверок Системы по чек-листу согласно предоставленному доступу.
Система предоставляет возможность формировать отчеты и настраивать уведомления. Отчеты строятся на основании информации об активах или уязвимостях и представляют собой файл одного из форматов: PDF или CSV. Можно настроить расписание отправки отчета в формате PDF на почту.
5) Чек-лист для настройки Системы
После установки Системы необходимо ее настроить. В процессе работы часть параметров может измениться, поэтому периодически необходимо проверять корректность настройки. Для данной задачи можно использовать чек-лист настройки Системы. В нем содержится список проверок по группам. Напротив каждой группы отображается количество пройденных проверок. Для каждой проверки дано краткое описание, объясняющее, что именно и почему требуется настроить и какие шаги необходимо выполнить. Неактуальные проверки можно исключить. Если остались не пройденные проверки, Система отправит уведомление. В ходе пилотного проекта было проведено максимальное количество проверок Системы по чек-листу согласно предоставленному доступу.
Результаты оценки эксплуатационных характеристик Системы
В ходе пилотного проекта загрузка оперативной памяти сервера была на уровне 25%, а ресурсы процессора использовались в среднем на 10%. Спустя 1 месяц из выделенных 480 ГБ жесткого диска для пилотного проекта Система занимает 20 ГБ.
Результаты пилотного проекта:
- Система собирает полную информацию об активах. База пополняется за счет сканирования в режимах аудита, пентеста и ARP-таблиц сетевого оборудования. Механизм идентификации активов сводит воедино информацию об одном и том же сетевом узле, даже если она получена из разных источников.
- Система позволяет производить сканирование внешних ресурсов организации с использованием агента, размещенного в выделенном сегменте сети передачи данных.
- Система позволяет оценить и классифицировать активы. Классификация активов по уровню значимости помогает сконцентрироваться на работе с приоритетными узлами и отслеживать появление новых активов. Система сообщает о неоцененных активах и подсказывает потенциально значимые.
- Система выявляет уязвимости и ошибки конфигурации компонентов информационных систем. Гибкие механизмы сканирования и перерасчета уязвимостей при обновлении базы знаний позволяют максимально оперативно обнаружить уязвимости на активах.
- Система позволяет задавать способы устранения уязвимостей, учитывая уровень их опасности, а также параметры актива: уровень значимости актива, принадлежность актива к определенной информационной системе, версию ОС, состав и версии ПО и другое.
- Политики сканирования и устранения уязвимостей в Системе позволяют автоматизировать выполнение различных операций над активами и найденными уязвимостями. Например, можно задать рекомендованное расписание сканирования или дату плановой обработки уязвимости на множестве активов, а также отметить важные уязвимости.
- Информация о наиболее актуальных уязвимостях позволяет оперативно выявлять особо опасные уязвимости в инфраструктуре и планировать их приоритетное устранение.
- Система отслеживает наличие неоцененных активов и актуальность данных. Информация помогает специалистам по ИБ контролировать качество сканирования. С помощью ретроспективного анализа также можно оценить прогресс по устранению уязвимостей, контролировать соблюдение политик и степень защищенности инфраструктуры.
- Система может контролировать соответствие требований по информационной безопасности и SLA на устранение несоответствий в автоматизированном режиме.
- Гибкие механизмы визуализации информации, построения отчетов и отправки уведомлений в Системе позволяют вовремя получить всю необходимую информацию.
PT MaxPatrol VM позволил выявить ряд проблем в информационных системах даже при ограниченном наборе активов, которые доступны в рамках пилотного проекта. Своевременное применение корректирующих мер позволило предотвратить прерывание бизнес-процессов и повторное возникновение выявленных инцидентов, а также существенно снизить вероятность реализации репутационных, финансовых и иных рисков.