«Если система работает и нареканий не вызывает, то зачем в нее лезть» – примерно так зачастую рассуждают специалисты ИТ-отделов. Огромные простыни со списком уязвимостей, которые поставляет департамент информационной безопасности, в глазах ИТ-шников выглядят просто издевательством. Ну кто в здравом уме и памяти полезет в исправно работающую систему, чтобы устранять мелкую уязвимость, которая вряд ли кого-нибудь заинтересует? Правда, когда происходит атака на систему компании, все происходящее начинает играть совсем другими красками, но ведь пока до этого дойдет…

Компания Positive Technologies разработала продукт MaxPatrol VM, способный выдавать актуальную картину уязвимостей системы, выбирать из них наиболее критичные. Он может даже прекратить извечное противостояние департамента ИБ с ИТ-отделом. Каким образом? Давайте посмотрим.

Особенности управления уязвимостями в MaxPatrol VM

Классический процесс управления уязвимостями состоит из сканирования системы (или ее части), поиска в ней «дыр», отправки ИТ-отделу отчета и списка проблемных мест. После этого следует проконтролировать устранение недочетов.

В основе MaxPatrol VM лежит иная концепция. Разработчики этого продукта исходили из того, что нужно не просто сканировать и выявлять уязвимости, а полностью управлять активами. В MaxPatrol VM включена технология SAM, позволяющая собирать данные о системе, причем делается это как активным, так и пассивным способом, используя информацию, к примеру, полученную от сторонних ИТ-решений. Результатом такого сбора данных становится генерация детальной карты сети, где отражается вся ИТ-система и все вносимые в нее изменения.

Проблемы традиционного подхода к управлению уязвимостями

1. Отдел информационной безопасности не в курсе всех имеющихся в сети активов

Да, такое бывает нередко. Особенно если компания большая, с разветвленной системой. Чем это плохо? Сканирование только известной инфраструктуры неизбежно даст неполную информацию. Неполная информация означает большую вероятность пропустить критическую уязвимость и дорого за это заплатить. MaxPatrol VM оснащен функциями Asset Management, что позволяет собрать полную информацию об инфраструктуре: охватить все узлы и системы, следить за актуальностью данных. Решение собирает более 3 тыс. характеристик актива и хранит историю изменений.

2. Отсутствие возможности проверить актуальность уязвимости для инфраструктуры

Новые уязвимости обнаруживаются каждый день, а реагировать на них нужно быстро. Только вопрос – как реагировать? Запускать каждый день полное сканирование системы, требующее больших ресурсов и замедляющее, как правило, работу сервисов? Конечно, никто с этим связываться не будет. В отличие от прочих продуктов по работе с уязвимостями, MaxPatrol VM выявляет «дыры» в безопасности без сканирования. В исполнении решения Positive Technologies процесс выглядит так: разделены процессы инвентаризации и управления уязвимостями. В первую очередь, происходит получение информации об активах, сбор всех параметров, строится карта сети. После того, как этот процесс проведен, перерасчет новых уязвимостей, попавших в базу данных сети, может проводиться на основании прошлого сканирования. Таким образом, MaxPatrol VM позволяет быстро сориентироваться и принимать решения. Нюансы можно выяснить позже. Главное – нанести удар на опережение.

3. Необходимость обосновывать ИТ-отделу важность устранения тех или иных уязвимостей

«Любимая» проблема многих компаний. Для безопасников важнее всего не допустить проблем, исключив все возможные уязвимости. А для ИТ-шников старания коллег выглядят как огромные списки с сотнями и тысячами позиций, при одном взгляде на которые хочется закрыть документ и сделать вид, что его никогда не было. Для прозрачного взаимодействия отделов ИБ и ИТ необходимо заранее согласовать регламент патч-менеджмента. Политики сканирования и устранения уязвимостей в MaxPatrol VM помогают контролировать соблюдение договоренностей и мониторить эффективность процесса управления уязвимостями. Классификация и группировка активов позволяют автоматизировать выполнение различных операций над ними и найденными уязвимостями. После решения этих задач остается просто смотреть данные MaxPatrol VM и определять, достаточно ли той регулярности установки патчей, которая есть, или временной промежуток нужно изменить в ту или иную сторону.

4. Сложно поставить правильную цель в управлении уязвимостями и добиться ее выполнения

Как отмечалось выше, уязвимостей очень много и устранить все невозможно. Значит, в первую очередь нужно защитить самые важные активы и закрыться от наиболее критичных проблем. MaxPatrol VM позволяет оценить активы по значимости для бизнес-процессов компании, правильно расставить приоритеты выявленных уязвимостей, а также предлагает ограниченный список трендовых уязвимостей, который обновляется специалистами Positive Technologies. Закрыв этот небольшой список можно говорить о наличии защиты на базовом уровне и быть спокойным за самые важные активы.

Как выглядит работа с MaxPatrol VM

• ИБ-отдел следит за постоянной актуализацией данных об активах. Система MaxPatrol VM своевременно показывает, что появилось из активов, что изменилось в инфраструктуре.
• Решение Positive Technologies помогает оценить и классифицировать активы, ничего не упустив.
• Совместно с ИТ-отделом фиксируются политики сканирования и устранения уязвимостей, а также определяется частота установки патчей.
• Система определяет уязвимости. В отдельный приоритетный процесс выделяется поиск особо опасных уязвимостей и их обработка.
• Специалисты по ИБ следят за тем, как соблюдаются политики/договоренности и определяют, чаще или реже нужно ставить патчи.
• Специалисты по ИБ проверяют общие метрики, оценивают тренд по компании.