PT MaxPatrol VM

Коллеги, добрый день!

Сегодняшняя статья является обзором нового продукта Positive Technologies MaxPatrol VM.

MaxPatrol VM — система нового поколения для управления уязвимостями. Решение позволяет построить полноценный процесс vulnerability management и контролировать защищенность IT-инфраструктуры. Продукт учитывает значимость активов и показывает, какие угрозы нужно устранить в первую очередь.

Какие задачи помогает решать MaxPatrol VM?

• получать полные и актуальные данные о составе IT-инфраструктуры
• учитывать значимость активов
• выявлять, приоритизировать и задавать правила обработки уязвимостей
• получать информацию о трендовых уязвимостях
• контролировать устранение уязвимостей и отслеживать общее состояние защищенности компании

Продукт построен на базе единой платформы MaxPatrol 10, объединяющей в себе несколько решений Positive Technologies. Они обогащают друг друга информацией об активах и дают возможность наиболее полно оценивать защищенность инфраструктуры.

Устранение уязвимостей в классическом понимании происходит в четыре этапа:

1. Сканирование инфраструктуры
2. Обнаружение уязвимостей
3. Передача данных об уязвимостях в IT с целью их устранения
4. Повторное сканирование с целью подтверждения устранения уязвимостей

Данный процесс в основном крутится вокруг самого сканирования, вследствие чего может возникнуть ряд сложностей:

1. Специалист по информационной безопасности может не видеть инфраструктуру в целом и, соответственно, не понимать, как ее защитить.

Решение: в основе продукта MaxPatrol VM — технология Security Asset Management, позволяющая:

• собирать данные об активах при сканировании как в активном, так и в пассивном режимах
• идентифицировать активы по большому количеству параметров
• строить актуальную модель IT-инфраструктуры в реальном времени.

Встроенная система управления активами обеспечивает актуальность сведений об инфраструктуре. Данные собираются из множества источников: самостоятельного сканирования активов, импорта данных из Active Directory и System Center Configuration Manager, использования экспертизы, присутствующей в других решениях ИБ. Также можно импортировать данные в формате csv или создать активы вручную, указав его атрибуты (IP-адрес, имя хоста, операционную систему).


2. Специалист по информационной безопасности может не знать, какие активы наиболее значимы и на какие стоит обращать внимание в первую очередь.

Решение: в MaxPatrol VM есть возможность классификации активов по уровню значимости. Это помогает оперативно устранять уязвимости в первую очередь на наиболее критически важных активах. Продукт также сообщает о неоцененных активах и самостоятельно подсказывает потенциально значимые.


3. Специалист по ИБ не может оперативно проверить актуальность новой уязвимости для всей инфраструктуры, т.к. сканирование нужно согласовать и потратить на него много драгоценного времени.

Решение: в новом продукте данная проблема решается благодаря возможности определения уязвимостей без повторного сканирования на основе данных от предыдущих сканирований.

Одним из основных преимуществ MaxPatrol VM является разделение процессов сбора информации об активах и вычисление уязвимостей. Это позволяет запоминать результаты предыдущего сканирования и автоматически определять новые уязвимости и их применимость на активах. Можно гораздо оперативнее приступить к устранению уязвимостей или применению компенсационных мер. Также разделение этих процессов позволяет показывать в реальном времени, какие уязвимости устранены. При таком подходе дифференциальные отчеты уже не потребуются.


4. Приходится постоянно объяснять IT-специалистам необходимость устранения уязвимостей

Проблема заключается в больших трудозатратах на взаимодействие с IT по устранению уязвимостей. Бывают случаи, когда ИБшник обосновывает необходимость устранения каждой обнаруженной уязвимости. А их в инфраструктуре очень много.

Решение: чтобы избежать этой проблемы, необходимо изменить процесс устранения уязвимостей и реализовать проактивный подход, когда IT-подразделение регулярно устанавливает патчи, не дожидаясь информации об уязвимостях от службы по ИБ.

В MaxPatrol VM есть возможность настроить политики/регламенты взаимодействия с IT-отделом, в которых можно указать сроки патч-менеджмента для разных групп активов. Система будет контролировать соблюдение договоренностей и сигнализировать, если SLA по устранению не выполнен.


5. Уязвимостей в инфраструктуре всегда очень много, зачастую нет понимания, с какого края начать патч-менеджмент и какие уязвимости должны быть закрыты в первую очередь.

Решение: MaxPatrol VM отображает информацию о трендовых уязвимостях, которую поставляют эксперты Positive Technologies. Это позволяет оперативно выявлять особо опасные уязвимости в инфраструктуре, а также планировать приоритетное сканирование тех систем, где они потенциально могут присутствовать. Закрытие таких уязвимостей позволяет сказать, что мы защитили инфраструктуру на базовом уровне в кратчайшие сроки, и теперь можно закрывать остальное.

В новом продукте процесс устранения уязвимостей отличается и выглядит следующим образом:

• слежение за постоянной актуализацией данных об активах
• оценка и классификация активов
• составление политик/регламентов взаимодействия с IT
• сбор информации об активе и выявление уязвимостей
• слежение за устранением уязвимостей и за соблюдением SLA
• наблюдение за общими метриками и оценивание тренда продвижения компании.

Теперь перейдем к самому продукту. Я продемонстрирую, как выглядит MaxPatrol VM.

На главной странице продукта присутствуют дашборды, вывод данных с которых можно детально настроить под свои задачи.

Пару слов об основных дашбордах. Начнем со «Значимости активов».

Значимые активы делятся на 4 категории:

• высокая значимость

К таким можно отнести активы на внешнем периметре, то есть те, к которым есть доступ извне, целевые системы, являющиеся целью атаки и промежуточные системы в цепочке атаки (например АРМ-администратора, инфраструктурные сервера и т.д.)

• средняя значимость
• низкая значимость
• без категории

Сюда можно отнести все активы, для которых еще не выставлена категория.

Виджет «Актуальность данных об активах» демонстрирует, насколько актуальные и свежие у нас данные об активах для каждой группы значимости в разрезе режимов сканирования (Аудит и Пентест)

Виджет «Уязвимости на важных активах» показывает нам общий тренд по количеству активов, на которых были выявлены и рассчитаны уязвимости, а также на них видно разделение уязвимости по статусам:

• новые
  
  
• в работе
  
  
• исправляются
  
  
• требуют проверки
  
  
• просрочены
  
  

В ходе патч-менеджмента инфраструктуры силами IT-специалистов будут менятся статусы уязвимостей.

Виджет «Трендовые уязвимости» демонстрирует ленту самых опасных уязвимостей в вашей инфраструктуре. Список регулярно обновляется экспертами Positive Technologies.

Если трендовая уязвимость присутствует в сети, то она попадет на дашборд «Трендовые уязвимости на активах». Специалист по ИБ может оперативно выгрузить список таких уязвимостей и договориться с IT- отделом об их срочном устранении.

Итак, с помощью виджетов продукт сообщает о текущем уровне защищенности инфраструктуры. Специалист по ИБ может контролировать ситуацию по активам и уязвимостям, статусы устранения, насколько хорошо работает патч-менеджмент. MP VM информирует пользователя о новых трендовых уязвимостях и наличии их в инфраструктуре, а также показывает, как в динамике меняется уровень защищенности.

Если вас заинтересовало данное решение, то мы поможем провести пилотный проект или дадим объективную оценку о необходимости MaxPatrol VM в вашей инфраструктуре.
Оставьте заявку на нашем сайте, и наш менеджер свяжется с Вами!