Система управления уязвимостями ПО

Управление уязвимостями — это идентификация, оценка, классификация и выбор решения для устранения уязвимостей. Фундаментом управления уязвимостями являются репозитории информации об уязвимостях, один из которых — Система управления уязвимостями «Перспективного мониторинга».

Наше решение контролирует появление информации об уязвимостях в операционных системах (Windows, Linux/Unix-based), офисном и прикладном программном обеспечении, ПО оборудования, средствах защиты информации.

Источники данных

База данных Системы управления уязвимостями программного обеспечения «Перспективного мониторинга» автоматически пополняется из следующих источников:

Банк данных угроз безопасности информации (БДУ БИ) ФСТЭК России.

  • National Vulnerability Database (NVD) NIST.
  • Red Hat Bugzilla.
  • Debian Security Bug Tracker.
  • CentOS Mailing List.

Также мы используем автоматизированный метод пополнения нашей базы уязвимостей. Мы разработали обходчик веб-страниц и парсер неструктурированных данных, которые каждый день анализируют более сотни различных иностранных и российских источников по ряду ключевых слов — группы в соцсетях, блоги, микроблоги, СМИ, посвящённые информационным технологиям и обеспечению безопасности информации. Если эти инструменты находят что-то, удовлетворяющее условиям поиска, аналитик вручную проверяет информацию и заносит в базу уязвимостей.

Контроль уязвимостей программного обеспечения

C помощью Системы управления уязвимостями разработчики могут контролировать наличие и состояние обнаруженных уязвимостей в сторонних компонентах своего ПО.

Например, в модели Secure Software Developer Life Cycle (SSDLC — Безопасная разработка программного обеспечения) компании Hewlett Packard Enterprise контроль сторонних библиотек занимает одно из центральных мест.

Наша система отслеживает наличие уязвимостей в параллельных версиях / билдах одного программного продукта.

Это работает так:

1. Разработчик передаёт нам перечень сторонних библиотек и компонентов, которые используются в продукте.

2. Мы ежедневно проверяем:

a. были ли опубликованы новые уязвимости или способы эксплуатации уязвимостей этих компонентов;

b. появились ли методы устранения ранее обнаруженных уязвимостей.

3. Оповещаем разработчика, если изменился статус или скоринг уязвимости, в соответствии с заданной ролевой моделью. Это значит, что разные группы разработчиков одной компании будут получать оповещения и видеть статус уязвимостей только для того продукта, над которым они работают.

Частота оповещений Системы управления уязвимостями настраивается произвольно, но при обнаружении уязвимости с CVSS-скорингом больше 7,5 разработчики получат немедленное оповещение.

Интеграция с ViPNet TIAS

Программно-аппаратный комплекс ViPNet Threat Intelligence Analytics System автоматически обнаруживает компьютерные атаки и выявляет инциденты на основании поступающих от различных источников событий информационной безопасности. Основной источник событий для ViPNet TIAS — ViPNet IDS, которая анализирует входящий и исходящий сетевой трафик при помощи баз решающих правил AM Rules разработки «Перспективного мониторинга». Некоторые сигнатуры написаны на детектирование эксплуатации уязвимостей.

Если ViPNet TIAS обнаруживает инцидент ИБ, в котором была проэксплуатирована уязвимость, то в карточку инцидента из СУУ автоматически заносится вся связанная с уязвимостью информация, включая методы устранения или компенсации негативного влияния.

Система управления инцидентами помогает и в расследованиях инцидентов ИБ, предоставляя аналитикам информацию об индикаторах компрометации и потенциальных затронутых инцидентом узлах информационной инфраструктуры.

Мониторинг наличия уязвимостей в информационных системах

Ещё один сценарий использования системы управления уязвимостями — проверка по требованию.

Заказчик самостоятельно формирует встроенными средствами или разработанным нами скриптом перечень установленного на узле (АРМ, сервер, СУБД, ПАК СЗИ, сетевое оборудование) системного и прикладного программного обеспечения и компонентов, передаёт этот перечень в СУУ и получает отчёт об обнаруженных уязвимостях и периодические оповещения об их статусе.

Отличия Системы от распространённых сканеров уязвимостей:

  • Не требует установки агентов мониторинга на узлах.
  • Не создаёт нагрузки на сеть, поскольку самой архитектурой решения не предусмотрены агенты и серверы сканирования.
  • Не создаёт нагрузку на оборудование, поскольку перечень компонентов создаётся системными командами или легковесным скриптом с открытым исходным кодом.
  • Исключает возможность утечки информации. «Перспективный мониторинг» не может ничего достоверно узнать о физическом и логическом местоположении или функциональном назначении узла в информационной системе. Единственная информация, которая покидает пределы контролируемого периметра заказчика, — txt-файл с перечнем программных компонентов. Этот файл проверяется на содержание и загружается в СУУ самим заказчиком.
  • Для работы системы нам не нужны учётные записи на контролируемых узлах. Информацию собирает администратор узла от своего имени.
  • Безопасный обмен информацией по ViPNet VPN, IPsec или https.

Подключение к сервису управления уязвимостями «Перспективного мониторинг» помогает заказчику выполнить требование АНЗ.1 «Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей» приказов ФСТЭК России № 17 и 21. Наша компания — лицензиат ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Стоимость

Минимальная стоимость — 25 000 рублей в год за 50 подключённых к системе узлов.