Ну кто в здравом уме и памяти полезет в исправно работающую систему, чтобы устранять мелкую уязвимость, которая вряд ли кого-нибудь заинтересует? Правда, когда происходит атака на систему компании, все происходящее начинает играть совсем другими красками, но ведь пока до этого дойдет…
Компания Positive Technologies разработала продукт MaxPatrol VM, способный выдавать актуальную картину уязвимостей системы, выбирать из них наиболее критичные. Он может даже прекратить извечное противостояние департамента ИБ с ИТ-отделом.
Каким образом? Давайте посмотрим.
Новая концепция управления уязвимостями
Классический процесс управления уязвимостями состоит из сканирования системы (или ее части), поиска в ней «дыр», отправки ИТ-отделу отчета и списка проблемных мест, после чего следует удостовериться, что недочеты устранены.
В основе MaxPatrol VM совсем иная концепция, которая исходит из того, что нужно не просто сканирование и выявление уязвимостей, а полное управление активами. В MaxPatrol VM включена технология SAM, позволяющая собирать данные о системе, причем делается это как активным, так и пассивным способом, используя информацию, к примеру, полученную от сторонних ИТ-решений. Результатом такого сбора данных становится генерация детальной карты сети, где отражается все ИТ-система и все вносимые в нее изменения.
Проблемы традиционного подхода к управлению уязвимостями
- Отдел информационной безопасности не в курсе всех имеющихся в сети активов. Да, такое тоже бывает и нередко. Особенно, если компания большая, с разветвленной системой. Чем это плохо? Сканирование только известной инфраструктуры неизбежно даст неполную информацию. Неполная информация означает большую вероятность пропустить критическую уязвимость и дорого за это заплатить. MaxPatrol VM оснащен функциями Asset Management, что позволяет собрать полную информацию об инфраструктуре: охватить все узлы и системы, следить за актуальностью данных. Решение собирает более 3 тыс. характеристик актива и хранит историю изменений.
- Отсутствие возможности проверить актуальность уязвимости для инфраструктуры. Новые уязвимости обнаруживаются каждый день, а реагировать на них нужно быстро. Только вопрос – как реагировать? Запускать каждый день полное сканирование системы, требующее больших ресурсов и замедляющее, как правило, работу сервисов? Конечно, никто с этим связываться не будет. В отличие от прочих продуктов по работе с уязвимостями, MaxPatrol VM может выявлять «дыры» в безопасности без сканирования. В исполнении решения Positive Technologies процесс выглядит так: разделены процессы инвентаризации и управления уязвимостями. В первую очередь, разумеется, происходит получение информации об активах, сбор всех параметров, строится карта сети. После того, как этот процесс уже проведен, перерасчет новых уязвимостей, попавших в базу данных сети, может проводиться на основании прошлого сканирования. Таким образом MaxPatrol VM позволяет быстро сориентироваться, принять решение. Нюансы можно выяснить позже. Главное – нанести удар на опережение.
- Необходимость обосновывать ИТ-отделу важность устранения тех или иных уязвимостей. «Любимая» проблема многих компаний. Для безопасников важнее всего не допустить проблем, исключив все возможные уязвимости. А для ИТ-шников старания коллег выглядят как огромные списки с сотнями и тысячами позиций, при одном взгляде на которые хочется закрыть документ и сделать вид, что его никогда и не было. Для прозрачного взаимодействия отделов ИБ и ИТ необходимо заранее согласовать регламент патч-менеджмента. Политики сканирования и устранения уязвимостей в MaxPatrol VM помогают контролировать соблюдение договоренностей и мониторить эффективность процесса управления уязвимостями. Классификация и группировка активов позволяют автоматизировать выполнение различных операций над ними и найденными уязвимостями. После решения этих задач остается просто смотреть данные MaxPatrol VM и определять, достаточно ли той регулярности установки патчей, которая есть, или временной промежуток нужно изменить в ту или иную сторону.
- Сложно поставить правильную цель в управлении уязвимостями и добиться ее выполнения. Как уже говорилось, уязвимостей очень много и все устранить невозможно. Значит, в первую очередь нужно защитить самые важные активы и закрыться от наиболее критичных проблем. MaxPatrol VM позволяет оценить активы по значимости для бизнес-процессов компании, правильно приоритизировать выявленные уязвимости, а также предлагает ограниченный список трендовых уязвимостей, который обновляется многочисленными специалистами Positive Technologies. Закрыв этот небольшой список, можно говорить о наличии защиты на базовом уровне и быть спокойным за наиболее важные активы.
Как выглядит работа с MaxPatrol VM
- ИБ-отдел следит за постоянной актуализацией данных об активах. Система MaxPatrol VM своевременно показывает, что появилось из активов, что изменилось в инфраструктуре.
- Решение Positive Technologies помогает оценить и классифицировать активы, ничего не упустив.
- Совместно с ИТ-отделом фиксируются политики сканирования и устранения уязвимостей, а также определяется частота установки патчей.
- Система определяет уязвимости. В отдельный приоритетный процесс выделяется поиск особо опасных уязвимостей и их обработка.
- Специалисты по ИБ следят за тем, как соблюдаются политики/договоренности и определяют, чаще или реже нужно ставить патчи.
- Специалисты по ИБ проверяют общие метрики, оценивают тренд по компании.
Отдельным преимуществом решения является тот факт, что в мае 2021 года MaxPatrol VM был внесен в Реестр российского ПО.
Как партнер Positive Technologies, Softline уже имеет необходимую экспертизу для работы с MaxPatrol VM. Мы готовы проводить пилотное тестирование или рассказать вам подробнее об этом продукте.
Владимир Шевелев, менеджер по продажам решений ИБ