Приветствуем вас в пятой статье нашего курса-обзора решения MaxPatrol VM! В этом материале мы обсудим то, как выглядит построение процесса поиска и устранения уязвимостей в работе с решением.

В крупных компаниях простое сканирование и получение списка уязвимостей создают больше проблем, чем решают.

Основные вызовы:

Информационная перегрузка
Сканирование тысяч активов может выявить сотни тысяч уязвимостей. Без правильной приоритизации ИБ-специалисты тонут в данных, не зная, за что браться в первую очередь.

Недостаток контекста
Стандартные оценки, такие как CVSS, не учитывают важность актива для бизнеса. Уязвимость с рейтингом 9.8 на тестовом сервере менее опасна, чем уязвимость с рейтингом 7.5 на сервере, обрабатывающем платежи.

Динамичность инфраструктуры
Постоянно появляются и исчезают новые виртуальные машины, контейнеры, облачные сервисы. Поддерживать актуальную картину активов и их уязвимостей вручную невозможно.

"Шум" и ложные срабатывания
Сканеры могут генерировать ложноположительные результаты, что отвлекает ресурсы на проверку несуществующих проблем.

Разрыв между ИБ и ИТ
ИБ-специалисты находят уязвимости, а устраняют их ИТ-администраторы. Отсутствие единого процесса и инструментов для отслеживания жизненного цикла уязвимости приводит к тому, что многие из них остаются неустраненными.

В MaxPatrol VM предусмотрен механизм для автоматизации процессов устранения уязвимостей и контроля за регулярностью сканирования активов — политики.

Политика состоит из совокупности правил, которые автоматически изменяют параметры объектов системы (например, сроки актуальности данных об активах или статусы экземпляров уязвимостей).

Если говорить о значимости активов — правила политики автоматически их изменяют.

Определение значимости активов позволяет упорядочить работу с ними, выделить значимые активы, уязвимости на которых могут нанести больше всего вреда IT-инфраструктуре организации, и уделять им повышенное внимание.

Необходимо стремиться к тому, чтобы для всех активов была указана значимость.

Как это работает?
Каждому активу или группе активов присваивается вес или категория.

Источники данных
Значимость может быть определена автоматически (например, на основе сетевого сегмента, наличия определенных сервисов) или вручную. Также возможна интеграция с CMDB-системами для импорта бизнес-контекста.

Влияние на приоритет
Уровень значимости актива становится множителем при расчете итогового риска уязвимости. Уязвимость на критически важном активе автоматически получает более высокий приоритет, даже если ее базовая оценка CVSS не максимальна. Это позволяет сфокусировать усилия на защите самых ценных ресурсов.

Правила политики автоматически устанавливают сроки актуальности и устаревания данных об активах, полученных в результате сканирования IT-инфраструктуры методами аудита и пентеста.

Опасные уязвимости на активах, данные о которых редко обновляются, могут быть выявлены слишком поздно.

Как это работает?

В MaxPatrol VM можно настроить политики, определяющие максимально допустимое время хранения данных сканирования для различных групп активов.

Правила политики автоматически изменяют статус экземпляров уязвимостей, определяют срок их устранения или откладывают их обработку на определенный срок.

Перечень запланированных к устранению уязвимостей можно выпускать в виде отчета по расписанию и отправлять по электронной почте системному администратору.

Жизненный цикл уязвимости

Каждая обнаруженная уязвимость проходит через определенные статусы:

• В работе: Только что обнаружена.
• Исправляется: Назначена ответственному, ведется работа по устранению.
• Исключена: Уязвимость не подтверждена или решена и ожидает верификационного сканирования..

Автоматизация статусов
Система автоматически проверяет, была ли уязвимость устранена при следующем сканировании, и меняет ее статус. Это избавляет от ручного отслеживания и обеспечивает объективный контроль.

Отметка «Важная» — правила политики автоматически отмечают отдельные экземпляры уязвимостей как важные.

Например, в качестве важных могут быть отмечены наиболее опасные для IT-инфраструктуры уязвимости.

Когда это используется:

• Появилась информация о новом эксплойте "нулевого дня", но сигнатура для сканера еще не выпущена. Эксперт может вручную пометить потенциально уязвимые системы.
• Разведка сообщила об атаках на компании в той же отрасли с использованием конкретной уязвимости.
• Руководство дало прямое указание устранить определенную проблему в кратчайшие сроки.

Как это работает?
Специалист ИБ может установить флаг "Важная" для любой уязвимости. Такие уязвимости немедленно попадают в топ списков и отчетов, независимо от их автоматически рассчитанного рейтинга, привлекая первоочередное внимание.