Новая версия Security Vision Vulnerability Management: обзор функций и преимуществ для повышения уровня защиты

Представляем обновленный комплексный продукт по управлению уязвимостями на базе Security Vision – первой в ИБ ИТ-платформы Low code/No code, позволяющей роботизировать до 95% программно-технических ИТ/ИБ функций в круглосуточном режиме.

Security Vision Vulnerability Management (VM) включает обнаружение уязвимостей на активах, предоставление максимально подробной информации по выявленным уязвимостям и рекомендаций по их устранению (в т.ч. функционал по автоматизации обновлений), процесс контроля с подтверждением устранения, мониторинг сроков и SLA. Обновленный продукт состоит из трех основных блоков:

• Управление активами, в рамках которого происходит формирование базы активов, включая сканирование и обнаружение новых активов, их автоматическую идентификацию, инвентаризацию и управление жизненным циклом, а также выполнение автоматизированных действий по администрированию;
• Сканирование на уязвимости, в котором представлен собственный движок по поиску уязвимостей с возможностями ограничения времени и применения «окон» сканирования на Windows/Linux хостах, средах контейнеризации, прикладном ПО, сетевых устройствах, базах данных и др.;
• Процесс устранения обнаруженных уязвимостей, включая автоматическое подтверждение устранения, автопатчинг и интеграцию с внешними Service Desk.

Управление активами

В рамках блока Управление активами продукт предоставляет функционал автоматического обнаружения и сбора данных об активах, их категорирование и управление в соответствии с рекомендациями ITIL, а также выполнение большого количества разнообразных преднастроенных действий на самих активах. Активы автоматически объединяются по подсетям. Система выстраивает карту сети, доступную также в графическом виде.

В дополнение к сканированию активы могут быть автоматически получены или обогащены из большого количества преднастроенных внешних источников (с возможностью добавления своих источников и интеграций): сервисов каталогов (Active director, Open LDAP, FreeIPA, Astra Linux Directory и др.), различных СЗИ (антивирусов, SIEM, DLP), инфраструктурных сервисов, файлов различных форматов и т.д. Также активы можно создавать вручную.

В продукте преднастроены различные типы активов: серверы, АРМы, сетевые устройства, базы данных, принтеры, VoIP и IoT устройства и др. Для каждого типа устройства настроен свой уникальный атрибутивный состав, карточки для визуального отображения характеристик и работы с объектом, а также свой уникальный набор действий, которые можно выполнять с активом как по сбору данных, так и по внесению изменений в конфигурацию устройств. Каждый из преднастроенных типов активов можно кастомизировать: добавлять новые атрибуты, менять отображение на карточках, в табличных списках или деревьях, корректировать процесс жизненного цикла, добавлять новые действия для каждого вида актива.

Частью Управления активами является полноценная ресурсно-сервисная модель, в которую включены такие объекты, как Информационная система, Бизнес-процесс, Приложение, Оборудование, Поставщики, Продукты. На карточках объектов можно заполнять их данные и строить связи между объектами. Все объекты ресурсно-сервисной модели можно заводить вручную или загружать из внешних систем.

Добавлено большое количество новых скриптов взаимодействия с активами, которые позволяют выполнять типовые действия по получению информации, администрированию и изменению конфигураций на Linux/Windows хостах, различных видах сетевого оборудования и базах данных.

В рамках управления активами реализована возможность построения маршрутов достижимости активов, автоматически с использованием правил маршрутизации и ACL-листов из сетевых устройств. Система поддерживает большое количество типов сетевых устройств, например, Usergate, Континент, Cisco и др. Данная функциональность крайне важна при анализе выявленных уязвимостей, т.к. позволяет эффективно оценить потенциальный риск эксплуатации атакующим в процессе продвижения по корпоративной сети и риск захвата актива.

В продукт встроен функционал управления и контроля за используемым Программным обеспечением с возможностью вести белые/черные списки, списки разрешенного и неразрешенного ПО, а также централизованно управлять его обновлением.

Реализована возможность выполнения сложных скриптов при автоматическом патчинге, включая возможность отменить внесённые изменения.

В рамках регулярных обновлений баз уязвимостей со стороны Security Vision дополнительно предоставляется информация о трендовых уязвимостях и выполнение дополнительных проверок по обнаружению наиболее актуальных и критичных уязвимостей.

Сканирование на уязвимости

Для поиска уязвимостей в системе реализован собственный движок, а также встроенный процесс по устранению уязвимостей с возможностью гибкой кастомизации под каждого Заказчика и его внутренние процессы. Сканирование может проводиться удаленно или через собственных «агентов». Возможно сканирование удаленных сегментов без наличия прямого сетевого доступа к серверу: для этого устанавливается отдельная компонента системы в виде сервиса (или цепочка таких компонентов), через которые происходит проксирование всех запросов и получение информации.

При сканировании на уязвимости доступно большое количество настроек, в т.ч.:

• режимы сканирования (быстрый, файловый, глубина сканирования и др.);
• ограничения времени сканирования;
• возможность указывать окна сканирования с отдельной опцией по ожиданию нужного окна (окна сканирования могут настраиваться индивидуально для каждого актива);
• возможность указывать узлы-исключения, в отношении которых сканирование на уязвимости производиться не будет;
• и многое другое.

Используя шаблоны, можно выполнять регулярные сканирования по кнопке или по расписанию.

Есть возможность загрузить результаты инвентаризации из файла и провести сканирование по ним. Это удобно в случае территориально удаленных филиалов или активов, к которым нет сетевого доступа. В таком случае предоставляется скрипт (под разные ОС), который можно выполнить на хосте. По его результатам система выполнит сканирование на уязвимости.

Также поддерживается обработка результатов сканирования из других сканеров уязвимостей (как open source, так и проприетарных) с загрузкой из файловых отчетов или по API.

Продукт умеет искать уязвимости по большому количеству операционных систем, системному и прикладному ПО, а также по сетевым устройствам. Это Astra Linux, Alt linux, RedOS, Ubuntu, Alpine, Solaris, RedHat, CentOS, AlmaLinux, Oracle Linux, Debian, включая все возможные Debian-based системы, Windows десктоп и серверные версии, MacOS, SUSE, прикладное программное обеспечение (включая MS Office с версиями click-to-run, exchange, sharepoint), базы данных (MS SQL, PostgreSQL, MySQL, Oracle, Elasticsearch и др.), сетевые устройства (Cisco, Juniper, CheckPoint, PaloAlto, Sun и др.).

Дополнительно в продукте реализована возможность поиска уязвимостей в Docker-контейнерах (как запущенных, так и остановленных) и в образах контейнеров, в т.ч. в средах под управлением Kubernetes.

Результаты предоставляются детализированно как по каждому объекту (ИТ-активу), так и по всей процедуре проведения сканирования. По каждой уязвимости отражаются оценки, описание, тэги и объекты, на которых она обнаружена.

Также отражаются агрегированные рекомендации, выполнение которых даст исправление обнаруженных уязвимостей. Дополнительно предоставляются рекомендации по установке обновлений безопасности и информация по операционным системам, снятым с поддержки.

В карточке уязвимости отражается полное описание уязвимости, полученное из различных источников (в том числе из экспертных аналитических интернет-сервисов), указываются оценки, вектор атаки, способы устранения уязвимости (для различных ОС), наличие эксплойта и много другой информации.

Различные режимы сканирования

• Pentest – обнаружение и проверка возможности эксплуатации сетевых уязвимостей, возможности применения наиболее серьезных эксплойтов, подборы слабых паролей, проверка устаревших/уязвимых алгоритмов шифрования и др.
• Сканирование Web-приложений – проводится проверка на XSS, CSRF уязвимости, SQL-инъекции, RFI, Сode injection, раскрытие внутренней информации и настроек сайтов, подбор слабых паролей, перебор пользователей, а также проверка эксплуатации специфичных Web-уязвимостей и др.
• Ретро-скан – поиск уязвимостей по полученным ранее данным из активов, без подключения к ним и ожидания окон сканирования. Это самый быстрый режим проверки, которым удобно пользоваться для частых проверок на новые уязвимости и срочные угрозы, а также для точечных проверок отдельных уязвимостей по внутренним и внешним запросам. При наличии контейнеров сканирование также будет выполнено и по ним.
• Сетевой аудит сервисов – поиск уязвимостей на основании информации о работающих сервисах, открытых портах и протоколов. Режим не требует каких-либо учетных данных и способен находить большое количество уязвимостей в таких сервисах, как OpenSSH, SSL/OpenSSL, Nginx, Apache, PHP, LDAP, MSSQL, PostgreSQL, Oracle, MySQL и многих других.

Все экспертные скрипты режима Pentest открыты, и предоставляют пользователям возможность их редактирования, а также добавлять любые другие скрипты, без привлечения разработчика.

В продукт добавлен новый режим сканирования – автономный Агент. В данном режиме на удаленные или изолированные хосты устанавливается специальный Агент, который при получении доступа в корпоративную сеть автоматически запрашивает и получает с центрального сервера задания по сканированию (в т.ч. через цепочку подобных сервисов – без прямого доступа), и далее выполняет их на регулярной основе, отправляя результаты сканирований также при появлении доступа в корпоративную сеть.

Процесс устранения обнаруженных уязвимостей

В продукт встроено несколько политик управления уязвимостями (основанных на метриках CVSS и CIAT актива, пользовательское «Дерево решений» и др.) с указанием SLA по устранению в рабочих или календарных днях и возможностью их полной кастомизации под внутренние процессы Заказчика. Пользователи могут выбрать различные сценарии создания задач и группировок: например, по определенным уязвимостям и объектам создавать отдельные задачи, в других задачах группировать все уязвимости по одному активу, а для отдельных уязвимостей создавать одну задачу на каждую уязвимость по всем активам, где она обнаружена, и т.д.

В создаваемых задачах по устранению представлена полная информация по объектам устранения, обнаруженным уязвимостям, их критичности и иным характеристикам. Задачи на устранение уязвимостей могут не только создаваться внутри Security Vision, но и автоматически передавать информацию во внешние Service Desk / ITSM системы (Naumen SD, Jira OTRS, Redmine и др.) с последующим автоматическим отслеживанием статусов выполнения по всем поставленным задачам.

Отдельно стоит отметить встроенный в продукт механизм подтверждений задач. Если задача была выполнена, то это не является ее финальным статусом. При последующих сканированиях система автоматически будет проверять, действительно ли все из указанного в задаче было устранено. Если все устранено – система переведет задачу в статус «Подтверждена». Но если что-то из уязвимостей осталось неустраненным, система вернет задачу в работу и проставит флаг, что задача не была решена.

При устранении уязвимостей можно пользоваться механизмом автоматического «патчинга» - по нажатию на кнопку или полностью автоматически система может выполнить обновление уязвимого ПО до актуальной версии. Также доступны настройки по автоматическому «откату» изменений в случае их неуспешного применения.

Security Vision VM обладает гибким механизмом добавления в исключения. В карточке сканирования хоста на уязвимости пользователю доступен следующий перечень действий:

• добавление выбранных продуктов в исключения по текущему хосту;
• добавление выбранных продуктов в исключения по всем хостам;
• добавление выбранных уязвимостей в исключения по текущему хосту;
• добавление выбранных уязвимостей в исключения по всем хостам.

Также в карточке уязвимости пользователю доступно действие на добавление данной уязвимости в исключение по всем хостам.

Система не учитывает исключения в статистике дашбордов и отчетов, по ним не создаются задачи на устранение в рамках будущих процедур сканирования.

Специальная версия сканера уязвимостей VS Basic

Security Vision VS Basic предназначен для автоматизации сканирования, устранения технических уязвимостей и мониторинга состояния активов с точки зрения уровня защищённости и позволяет проактивно выявлять слабые места в инфраструктуре, прежде чем ими воспользуются злоумышленники.

Продукт помогает оценить общий уровень безопасности системы и выявить наиболее критические угрозы, соблюдая требования стратегической безопасности и обеспечивая фундамент для процесса управления уязвимостями. Полный цикл работы возможен как с использованием сторонней системы ITSM/SD, так и при помощи встроенной системы тикетинга и управления SLA.

Специальная версия для малого и среднего бизнеса включает функционал классических модулей VS, VM и AM кроме расширенного управления конструкторами платформы, необходимого для крупных географически распределённых структур, и подходит для сканирования до 500 IP-адресов.

Преимущества Security Vision VS Basic:

• 1. Комплексное решение с самым широким функционалом «из коробки»:

• AM – управление активами и инвентаризацией;

• VS – сканирование уязвимостями;

• VM – управление уязвимостями и задачами.

• 2. Простая установка ALL in ONE.

Все компоненты устанавливаются в рамках одного виртуального или физического сервера (на одну операционную систему), ускоряя процессы внедрения и поддержки, что важно для компаний малого и среднего размеров.

• 3. Ежедневная поставка обновлений базы уязвимостей от Центра экспертизы Security Vision (включая трендовые).
• 4. Предоставляется набор лицензий на коннекторы и множество готовых наиболее востребованных интеграций «из коробки».
• 5. Облегченная версия Платформы.

Для упрощения эксплуатации и внедрения специальная лицензия устанавливается на облегченную версию платформы.

• 6. Низкая стоимость лицензий.

Доступны три варианта лицензий:

• до 100 IP-адресов;
• до 250 IP-адресов;
• до 500 IP-адресов.