PT MaxPatrol VM. Большой обзор05.02.2024 09:01

Коллеги, добрый день!

Сегодняшняя статья является обзором одного из продуктов вендора Positive Technologies MaxPatrol VM.

MaxPatrol VM — система нового поколения для управления уязвимостями. Решение позволяет построить полноценный процесс vulnerability management и контролировать защищенность IT-инфраструктуры. Продукт учитывает значимость активов и показывает, какие угрозы нужно устранить в первую очередь.

Какие задачи помогает решать MaxPatrol VM?

  • получать полные и актуальные данные о составе IT-инфраструктуры

  • учитывать значимость активов

  • выявлять, приоритизировать и задавать правила обработки уязвимостей

  • получать информацию о трендовых уязвимостях

  • контролировать устранение уязвимостей и отслеживать общее состояние защищенности компании

Продукт построен на базе единой платформы MaxPatrol 10, объединяющей в себе несколько решений Positive Technologies. Они обогащают друг друга информацией об активах и дают возможность наиболее полно оценивать защищенность инфраструктуры.

Устранение уязвимостей в четыре этапа

Устранение уязвимостей в классическом понимании происходит в четыре этапа:

  1. Сканирование инфраструктуры

  2. Обнаружение уязвимостей

  3. Передача данных об уязвимостях в IT с целью их устранения

  4. Повторное сканирование с целью подтверждения устранения уязвимостей

Данный процесс в основном крутится вокруг самого сканирования, вследствие чего может возникнуть ряд сложностей:

1. Специалист по информационной безопасности может не видеть инфраструктуру в целом и, соответственно, не понимать, как ее защитить.

Решение:  

В основе продукта MaxPatrol VM — технология Security Asset Management, позволяющая:

  • собирать данные об активах при сканировании как в активном, так и в пассивном режимах

  • идентифицировать активы по большому количеству параметров

  • строить актуальную модель IT-инфраструктуры в реальном времени.

Встроенная система управления активами обеспечивает актуальность сведений об инфраструктуре. Данные собираются из множества источников: самостоятельного сканирования активов, импорта данных из Active Directory и System Center Configuration Manager, использования экспертизы, присутствующей в других решениях ИБ. Также можно импортировать данные в формате csv или создать активы вручную, указав его атрибуты (IP-адрес, имя хоста, операционную систему).


2. Специалист по информационной безопасности может не знать, какие активы наиболее значимы и на какие стоит обращать внимание в первую очередь.

Решение:  в MaxPatrol VM есть возможность классификации активов по уровню значимости. Это помогает оперативно устранять уязвимости в первую очередь на наиболее критически важных активах. Продукт также сообщает о неоцененных активах и самостоятельно подсказывает потенциально значимые.


3. Специалист по ИБ не может оперативно проверить актуальность новой уязвимости для всей инфраструктуры, т.к. сканирование нужно согласовать и потратить на него много драгоценного времени.

Решение:  в продукте данная проблема решается благодаря возможности определения уязвимостей без повторного сканирования на основе данных от предыдущих сканирований.

Одним из основных преимуществ MaxPatrol VM является разделение процессов сбора информации об активах и вычисление уязвимостей. Это позволяет запоминать результаты предыдущего сканирования и автоматически определять новые уязвимости и их применимость на активах. Можно гораздо оперативнее приступить к устранению уязвимостей или применению компенсационных мер. Также разделение этих процессов позволяет показывать в реальном времени, какие уязвимости устранены. При таком подходе дифференциальные отчеты уже не потребуются.


4. Приходится постоянно объяснять IT-специалистам необходимость устранения уязвимостей

Проблема заключается в больших трудозатратах на взаимодействие с IT по устранению уязвимостей. Бывают случаи, когда ИБшник обосновывает необходимость устранения каждой обнаруженной уязвимости. А их в инфраструктуре очень много.

Решение:  чтобы избежать этой проблемы, необходимо изменить процесс устранения уязвимостей и реализовать проактивный подход, когда IT-подразделение регулярно устанавливает патчи, не дожидаясь информации об уязвимостях от службы по ИБ.

В MaxPatrol VM есть возможность настроить политики/регламенты взаимодействия с IT-отделом, в которых можно указать сроки патч-менеджмента для разных групп активов. Система будет контролировать соблюдение договоренностей и сигнализировать, если SLA по устранению не выполнен.

5. Уязвимостей в инфраструктуре всегда очень много, зачастую нет понимания, с какого края начать патч-менеджмент и какие уязвимости должны быть закрыты в первую очередь.

Решение:  MaxPatrol VM отображает информацию о трендовых уязвимостях, которую поставляют эксперты Positive Technologies. Это позволяет оперативно выявлять особо опасные уязвимости в инфраструктуре, а также планировать приоритетное сканирование тех систем, где они потенциально могут присутствовать. Закрытие таких уязвимостей позволяет сказать, что мы защитили инфраструктуру на базовом уровне в кратчайшие сроки, и теперь можно закрывать остальное.

Основная цель MaxPatrol VM — повысить защищенность компании и создать такие условия, при которых потенциальному злоумышленнику будет сложно и дорого проникнуть в инфраструктуру.

Устранение уязвимостей в MaxpatrolVM

В этом продукте процесс устранения уязвимостей отличается и выглядит следующим образом:

  • слежение за постоянной актуализацией данных об активах

  • оценка и классификация активов

  • составление политик/регламентов взаимодействия с IT

  • сбор информации об активе и выявление уязвимостей

  • слежение за устранением уязвимостей и за соблюдением SLA

  • наблюдение за общими метриками и оценивание тренда продвижения компании.

Теперь перейдем к демонстрации продукта.

0f4dfa22ba614ab9b83b2e693121cd55.png

На главной странице продукта присутствуют дашборды, вывод данных с которых можно детально настроить под свои задачи.

Пару слов об основных дашбордах. Начнем со «Значимости активов».

0f3d2fa0397dd4d1564cba0653a46023.png

Значимые активы делятся на 4 категории:

К таким можно отнести активы на внешнем периметре, то есть те, к которым есть доступ извне, целевые системы, являющиеся целью атаки и промежуточные системы в цепочке атаки (например АРМ-администратора, инфраструктурные сервера и т.д.)

  • средняя значимость

  • низкая значимость

  • без категории

Сюда можно отнести все активы, для которых еще не выставлена категория.

359151e6f2609f5b4a58093582fe0abc.png

Виджет «Актуальность данных об активах» демонстрирует, насколько актуальные и свежие у нас данные об активах для каждой группы значимости в разрезе режимов сканирования (Аудит и Пентест)

ddfdbd34f672c335f6e4892a09cf3487.png

Виджет «Уязвимости на важных активах» показывает нам общий тренд по количеству активов, на которых были выявлены и рассчитаны уязвимости, а также на них видно разделение уязвимости по статусам:

В ходе патч-менеджмента инфраструктуры силами IT-специалистов будут менятся статусы уязвимостей.

a07153c2ce3a549243af2b4aab36ba70.png

Виджет «Трендовые уязвимости» демонстрирует ленту самых опасных уязвимостей в вашей инфраструктуре. Список регулярно обновляется экспертами Positive Technologies.

Если трендовая уязвимость присутствует в сети, то она попадет на дашборд «Трендовые уязвимости на активах». Специалист по ИБ может оперативно выгрузить список таких уязвимостей и договориться с IT- отделом об их срочном устранении.

8e006d843ba38531eb6a5508433e8579.png

Заключение

Итак, с помощью виджетов продукт сообщает о текущем уровне защищенности инфраструктуры. Специалист по ИБ может контролировать ситуацию по активам и уязвимостям, статусы устранения, насколько хорошо работает патч-менеджмент.

MP VM информирует пользователя о новых трендовых уязвимостях и наличии их в инфраструктуре, а также показывает, как в динамике меняется уровень защищенности.

Cледите за актуальными новостями мира кибербеза на наших каналах:

© Habrahabr.ru