Управление уязвимостями

Управление уязвимостями — это идентификация, оценка, классификация и выбор решения для устранения уязвимостей. Фундаментом управления уязвимостями являются репозитории информации об уязвимостях, один из которых — Система управления уязвимостями «Перспективного мониторинга».

Наше решение контролирует появление информации об уязвимостях в операционных системах (Windows, Linux/Unix-based), офисном и прикладном программном обеспечении, ПО оборудования, средствах защиты информации.

Источники данных

База данных Системы управления уязвимостями программного обеспечения «Перспективного мониторинга» автоматически пополняется из следующих источников:

  • Банк данных угроз безопасности информации (БДУ БИ) ФСТЭК России.
  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS Mailing List.

Также мы используем автоматизированный метод пополнения нашей базы уязвимостей. Мы разработали обходчик веб-страниц и парсер неструктурированных данных, которые каждый день анализируют более сотни различных иностранных и российских источников по ряду ключевых слов — группы в соцсетях, блоги, микроблоги, СМИ, посвящённые информационным технологиям и обеспечению безопасности информации. Если эти инструменты находят что-то, удовлетворяющее условиям поиска, аналитик вручную проверяет информацию и заносит в базу уязвимостей.

Контроль уязвимостей программного обеспечения

C помощью Системы управления уязвимостями разработчики могут контролировать наличие и состояние обнаруженных уязвимостей в сторонних компонентах своего ПО.

Например, в модели Secure Software Developer Life Cycle (SSDLC — Безопасная разработка программного обеспечения) компании Hewlett Packard Enterprise контроль сторонних библиотек занимает одно из центральных мест.

Наша система отслеживает наличие уязвимостей в параллельных версиях / билдах одного программного продукта.

Это работает так:

1. Разработчик передаёт нам перечень сторонних библиотек и компонентов, которые используются в продукте.

2. Мы ежедневно проверяем:

a. были ли опубликованы новые уязвимости или способы эксплуатации уязвимостей этих компонентов;

b. появились ли методы устранения ранее обнаруженных уязвимостей.

3. Оповещаем разработчика, если изменился статус или скоринг уязвимости, в соответствии с заданной ролевой моделью. Это значит, что разные группы разработчиков одной компании будут получать оповещения и видеть статус уязвимостей только для того продукта, над которым они работают.

Частота оповещений Системы управления уязвимостями настраивается произвольно, но при обнаружении уязвимости с CVSS-скорингом больше 7,5 разработчики получат немедленное оповещение.

Интеграция с ViPNet TIAS

Программно-аппаратный комплекс ViPNet Threat Intelligence Analytics System автоматически обнаруживает компьютерные атаки и выявляет инциденты на основании поступающих от различных источников событий информационной безопасности. Основной источник событий для ViPNet TIAS — ViPNet IDS, которая анализирует входящий и исходящий сетевой трафик при помощи баз решающих правил AM Rules разработки «Перспективного мониторинга». Некоторые сигнатуры написаны на детектирование эксплуатации уязвимостей.

Если ViPNet TIAS обнаруживает инцидент ИБ, в котором была проэксплуатирована уязвимость, то в карточку инцидента из СУУ автоматически заносится вся связанная с уязвимостью информация, включая методы устранения или компенсации негативного влияния.

Система управления инцидентами помогает и в расследованиях инцидентов ИБ, предоставляя аналитикам информацию об индикаторах компрометации и потенциальных затронутых инцидентом узлах информационной инфраструктуры.

Мониторинг наличия уязвимостей в информационных системах

Ещё один сценарий использования системы управления уязвимостями — проверка по требованию.

Заказчик самостоятельно формирует встроенными средствами или разработанным нами скриптом перечень установленного на узле (АРМ, сервер, СУБД, ПАК СЗИ, сетевое оборудование) системного и прикладного программного обеспечения и компонентов, передаёт этот перечень в СУУ и получает отчёт об обнаруженных уязвимостях и периодические оповещения об их статусе.

Отличия Системы от распространённых сканеров уязвимостей:

  • Не требует установки агентов мониторинга на узлах.
  • Не создаёт нагрузки на сеть, поскольку самой архитектурой решения не предусмотрены агенты и серверы сканирования.
  • Не создаёт нагрузку на оборудование, поскольку перечень компонентов создаётся системными командами или легковесным скриптом с открытым исходным кодом.
  • Исключает возможность утечки информации. «Перспективный мониторинг» не может ничего достоверно узнать о физическом и логическом местоположении или функциональном назначении узла в информационной системе. Единственная информация, которая покидает пределы контролируемого периметра заказчика, — txt-файл с перечнем программных компонентов. Этот файл проверяется на содержание и загружается в СУУ самим заказчиком.
  • Для работы системы нам не нужны учётные записи на контролируемых узлах. Информацию собирает администратор узла от своего имени.
  • Безопасный обмен информацией по ViPNet VPN, IPsec или https.

Подключение к сервису управления уязвимостями «Перспективного мониторинг» помогает заказчику выполнить требование АНЗ.1 «Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей» приказов ФСТЭК России № 17 и 21. Наша компания — лицензиат ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Стоимость

Минимальная стоимость — 25 000 рублей в год за 50 подключённых к системе узлов при наличии действующего контракта на подключение к Центру мониторинга.


Реализованные проекты
Расследование инцидента ИБ и мониторинг
Заказчик — Региональный центр информационных систем (г. Ростов). В ходе тестирования было выявлено и устранено вредоносное программное обеспечения. Благодаря предоставленному анализу потенциальных угроз удалось существенно повысить уровень защищённости информационных ресурсов.
Услуги Центра мониторинга для крупного оператора связи топливно-энергетического комплекса
Заказчик — крупный оператор, организующий связь для компаний топливно-энергетического сектора. Для защиты коммерческой информации и соответствия требованиям регулятора, компании требовалось организовать многоуровневую систему защиты корпоративной мобильной связи, одной из частей которой должна была быть система обнаружения событий информационной безопасности.
Обслуживание информационной инфраструктуры силового ведомства средствами Центра мониторинга
Заказчик — силовое ведомство с развитой информационной инфраструктурой, которая включает несколько Центров обработки данных и программно-аппаратных комплексов ViPNet IDS. За первый месяц эксплуатации мы донастроили 52 решающих правила и выявили и предупредили 7 инцидентов информационной безопасности. Теперь мы расширяем зону взаимодействия за счёт подключения дополнительных сегментов информационной инфраструктуры.