Устранение уязвимостей в классическом понимании происходит в четыре этапа:
- Сканирование инфраструктуры
- Обнаружение уязвимостей
- Передача данных об уязвимостях в IT с целью их устранения
- Повторное сканирование с целью подтверждения устранения уязвимостей
Данный процесс в основном крутится вокруг самого сканирования, вследствие чего может возникнуть ряд
сложностей:
1. Специалист по информационной безопасности может не видеть инфраструктуру в целом и, соответственно, не понимать, как ее защитить.
Решение: в основе продукта MaxPatrol VM — технология Security Asset Management, позволяющая:
- собирать данные об активах при сканировании как в активном, так и в пассивном режимах
- идентифицировать активы по большому количеству параметров
- строить актуальную модель IT-инфраструктуры в реальном времени.
Встроенная система управления активами обеспечивает актуальность сведений об инфраструктуре. Данные собираются из множества источников: самостоятельного сканирования активов, импорта данных из Active Directory и System Center Configuration Manager, использования экспертизы, присутствующей в других решениях ИБ. Также можно импортировать данные в формате csv или создать активы вручную, указав его атрибуты (IP-адрес, имя хоста, операционную систему).
2. Специалист по информационной безопасности может не знать, какие активы наиболее значимы и на какие стоит обращать внимание в первую очередь.
Решение: в MaxPatrol VM есть возможность классификации активов по уровню значимости. Это помогает оперативно устранять уязвимости в первую очередь на наиболее критически важных активах. Продукт также сообщает о неоцененных активах и самостоятельно подсказывает потенциально значимые.
3. Специалист по ИБ не может оперативно проверить актуальность новой уязвимости для всей инфраструктуры, т.к. сканирование нужно согласовать и потратить на него много драгоценного времени.
Решение: в новом продукте данная проблема решается благодаря возможности определения уязвимостей без повторного сканирования на основе данных от предыдущих сканирований.
Одним из основных преимуществ MaxPatrol VM является разделение процессов сбора информации об активах и вычисление уязвимостей. Это позволяет запоминать результаты предыдущего сканирования и автоматически определять новые уязвимости и их применимость на активах. Можно гораздо оперативнее приступить к устранению уязвимостей или применению компенсационных мер. Также разделение этих процессов позволяет показывать в реальном времени, какие уязвимости устранены. При таком подходе дифференциальные отчеты уже не потребуются.
4. Приходится постоянно объяснять IT-специалистам необходимость устранения уязвимостей
Проблема заключается в больших трудозатратах на взаимодействие с IT по устранению уязвимостей. Бывают случаи, когда ИБшник обосновывает необходимость устранения каждой обнаруженной уязвимости. А их в инфраструктуре очень много.
Решение: чтобы избежать этой проблемы, необходимо изменить процесс устранения уязвимостей и реализовать проактивный подход, когда IT-подразделение регулярно устанавливает патчи, не дожидаясь информации об уязвимостях от службы по ИБ.
В MaxPatrol VM есть возможность настроить политики/регламенты взаимодействия с IT-отделом, в которых можно указать сроки патч-менеджмента для разных групп активов. Система будет контролировать соблюдение договоренностей и сигнализировать, если SLA по устранению не выполнен.
5. Уязвимостей в инфраструктуре всегда очень много, зачастую нет понимания, с какого края начать патч-менеджмент и какие уязвимости должны быть закрыты в первую очередь.
Решение: MaxPatrol VM отображает информацию о трендовых уязвимостях, которую поставляют эксперты Positive Technologies. Это позволяет оперативно выявлять особо опасные уязвимости в инфраструктуре, а также планировать приоритетное сканирование тех систем, где они потенциально могут присутствовать. Закрытие таких уязвимостей позволяет сказать, что мы защитили инфраструктуру на базовом уровне в кратчайшие сроки, и теперь можно закрывать остальное.