Модуль управления уязвимостями для платформы Security Vision
Компания «Интеллектуальная безопасность» (бренд Security Vision) анонсировала модуль «Управление уязвимостями» для своей ИБ-платформы, который должен сделать процесс анализа, обогащения и коммуникации с другими отделами прозрачным, удобным и максимально автоматизированным.
В платформе Security Vision в рамках процесса классификации активов бизнес-владелец систем и технический администратор устанавливают для системы допустимые диапазоны сканирования, в рамках которых осуществляется процесс выявления уязвимостей. Каждая задача на сканирование для каждого сервера доступна для последующего анализа в случае выявления негативного эффекта на системы. Специалист за несколько минут сможет сказать, когда точно, с какой политикой и с какими ошибками началась и закончилась задача сканирования на конкретном оборудовании или рабочей станции.
Вне зависимости от ухода с российского рынка тех или иных производителей сканеров, разработчики продолжаем следить за изменениями форматов и методов производителей данного ПО. На текущий момент в продукте поддерживаются такие источники, как MaxPatrol 8/10, RedCheck, Tenable Nessus/Security Center, Qualys, Rapid7, SkyBox, Penterra.
В качестве единицы учета в модуле «Управление уязвимостями» используется универсальный идентификатор уязвимости CVE или БДУ ФСТЕК, и только при их отсутствии – собственные идентификаторы сканера. Благодаря встроенной базе знаний и внешним аналитическим сервисам каждая из уязвимостей имеет не только конкретные, принадлежащие именно ей постоянные и временные характеристики CVSS, но и постоянно обновляемую из внешних источников информацию о наличии эксплоитов, об упоминаниях в известных компьютерных атаках и фреймворках хакеров, а также о способах устранения и компенсирующих мерах.
Процесс устранения уязвимостей и взаимодействия с ИТ-подразделениями в качестве основного объекта оперирует собственно технической задачей на устранение (обновление или компенсирующая мера). Формирование заявок происходит автоматически на основании политики устранения. Заявки, соответствующие указанной политике, могут автоматически транслироваться во внешнюю систему ИТ-заявок. Security Vision поддерживает двустороннее взаимодействие со множеством тикетинг-систем, так что их интеграция не составит труда, а статусы, обновленные в одной из систем, автоматически будут обновлены в другой. Благодаря данным политикам специалисты кибербезопасности могут создавать критерии, по которым будет формироваться процесс не только регулярного, но и экстренного устранения, в случае если обновление требуется для критических активов, доступ к которым имеет большое количество пользователей. Аналогичным образом можно выстроить и заявки на тестирование.
Для упрощения работы с большим количеством заявок принятые решения и компенсирующие меры могут быть автоматически скопированы на аналогичные заявки на устранение.
В модуле поддерживаются основные форматы бюллетеней производителей, таких как CVRF и OVAL. Бюллетени содержат не только списки уязвимостей и обновлений, но и конкретные технические рекомендации для дополнительной настройки, а также митигации уязвимостей, как в сфере расширенного логирования, так и непосредственные мероприятия по уменьшению или устранению поверхности атаки без применения обновлений.
Ролевая модель в платформе Security Vision позволяет не только ограничить доступ на просмотр и редактирование к определенным объектам. Она формирует для каждого участника процесса, в зависимости от его роли, собственного уникальное представление информации, его собственную витрину, в которой доступна только необходимая информация, а фокус внимания сосредоточен на тех аспектах, которые необходимы в рамках функции и компетенции сотрудника.