Управление техническими уязвимостями
Куда я попал?
Управление техническими уязвимостями (Vulnerability Management, VM) - это процесс информационной безопасности, цель которого снижать риски, которые могут наступить в результате эксплуатации технических уязвимостей в программном обеспечении.
Управление уязвимостями — это «циклическая практика выявления, классификации, приоритезации, исправления и снижения» уязвимостей программного обеспечения. Управление уязвимостями является неотъемлемой частью компьютерной и сетевой безопасности, и его не следует путать с оценкой уязвимостей.
Для поиска технических уязвимостей в инфраструктуре используются сканеры безопасности (сканеры уязвимостей), но простого сканирования инфраструктуры для построения процесса VM недостаточно. Процесс VM состоит из следующих этапов:
Сканирование активов -> Анализ выявленных уязвимостей -> Устранение уязвимостей -> Контроль устранения.
Ключевые проблемы процесса управления техническими уязвимостями:
- Нет приоритета
Как оценить уязвимости основываясь на целях бизнеса и критичности активов? - Много мусора
Сотни страниц отчетов от сканеров безопасности. - Нет контроля исполнения
Задачи на устранение уязвимостей ставятся и не исполняются, ведь системы постановки задач в компании не связаны с результатами работы сканеров безопасности.
Возможности
В SECURITM реализован модуль управления техническими уязвимостями.
SECURITM не является сканером безопасности, цель модуля VM реализовать именно процесс управления уязвимостями. В SECURITM загружаются данные из сканеров безопасности, результаты сканирования связываются с активами компании, определяются приоритеты, формируются задачи на устранение уязвимостей и ведется контроль их исполнения.
Управление техническими уязвимостями в SECURITM обеспечивает:
SECURITM не является сканером безопасности, цель модуля VM реализовать именно процесс управления уязвимостями. В SECURITM загружаются данные из сканеров безопасности, результаты сканирования связываются с активами компании, определяются приоритеты, формируются задачи на устранение уязвимостей и ведется контроль их исполнения.
Управление техническими уязвимостями в SECURITM обеспечивает:
- Интеграцию с несколькими сканерами безопасности одновременно;
- Оценку интегральной критичности уязвимостей с учетом множества параметров;
- Возможность принятия рисков (настройки исключений) для уязвимостей;
- Автоматическое формирование задач, с напоминаниями и контролем исполнения, привязкой к конкретным уязвимостям, группам уязвимостей, активам;
- Интеграцию с Jira и иными Service Desk системами для заведения заявок на устранение уязвимостей в ИТ отдел;
- Механизмы обсуждения проблем и ведения базы знаний;
- Формирование метрик эффективности по процессу;
- Контрольный след по всем операциям.
- Создание активов в модуле Активы из собранных в отчетах данных. Список типов активов для новых активов:
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 10
- Windows 11
- Ubuntu
- Linux
- Windows
- Операционная система
Алгоритм работы
Процесс управления техническими уязвимостями в Сервисе строится следующим образом:
- Загрузка в Сервис отчетов от сканера (сканеров) безопасности
Прим.: Если нет сканера безопасности можно воспользоваться бесплатным Nmap с скриптом vulners.nse или OpenVAS
Сделать это можно:- В разделе Технические уязвимости (левое меню), нажав на кнопку Настройки и выбрав подходящий сканер
- В разделе Профиль команды во вкладке Технические уязвимости
- Перед загрузкой данных можно выбрать режим импорта - с созданием новых активов в Реестре активов или без.
Активы будут создаваться только если из отчета сканера безопасности были получены IP, Hostname и Операционная система актива.
Работать с модулем технических уязвимостей можно и без создания активов. Уязвимые хосты это отдельные сущности, которые могут быть связаны с активами или нет. - Сервис автоматически установит связи с активами из Реестра активов - по IP адресу.
Максимальный приоритет связанных активов будет присвоен уязвимости и учитываться при расчете интегральной уязвимости.
Например, если хост на котором обнаружена уязвимость входит в состав критичной системы или входит в состав системы которая входит в критичный бизнес-процесс то его приоритет будет считаться критичным. - В отношении Уязвимости, связки Уязвимость-Хост или Хоста (всех уязвимостей на хосте) можно выполнить следующие операции:
- Принять риск
Принятые уязвимости будут скрыты из общего дашборда и не будут участвовать в оценке интегральной уязвимости.
Принять уязвимости можно на время, указав срок после которого они будут восстановлены. - Закрыть уязвимость
Закрытие является ручным подтверждением того, что уязвимость была устранена.
Закрывать уязвимости необязательно. При загрузке результатов следующего сканирования, если уязвимость исчезнет - она будет закрыта автоматически. - Создать задачу на устранение уязвимости
В зависимости от имеющихся данных (связи с активами) Сервис автоматически сформирует- Название задачи
- Описание задачи
- Срок (SLA) на устранение уязвимости
SLA можно изменять, в Настройках модуля VM - Ответственного за задачу
Если уязвимость связана с активом то ответственным за ее устранение будет выбран администратор актива
- Принять риск
- Контроль выполнения задач на устранение уязвимостей осуществляется в модуле управления задачами
- Повторное сканирование инфраструктуры и загрузка результатов в Сервис
- При получении отчета о сканировании уязвимого объекта исчезнувшие из результатов сканирования уязвимости будут закрыты
- Закрытые ранее, но но найденные в результатах сканирования уязвимости будут повторно открыты
Интегральная уязвимость
Сканеры безопасности при импорте передают в сервис базовую оценку уязвимости - CVSS, CVSS 3, Severity, без учета контекста.
SECURITM рассчитывает интегральную величину (критичность) уязвимости с учетом дополнительной информации, результат указывается в столбец Integral:
SECURITM рассчитывает интегральную величину (критичность) уязвимости с учетом дополнительной информации, результат указывается в столбец Integral:
- Наличие публичных экспойтов;
- Приоритет актива, на котором найдена уязвимость;
- Наличие доступа к уязвимому активу из сети Интернет;
- Приоритет связанных активов - систем, процессов;
- Количество уязвимостей определенного типа в инфраструктуре.
Интегральная величина уязвимости рассчитывается отдельно в отношении уязвимостей и в отношении хостов.
Формулу, по которой будет рассчитываться интегральная величина, можно выбрать в Настройках модуля VM.
Сейчас доступны следующие варианты расчета интегральной величины уязвимости:
Формулу, по которой будет рассчитываться интегральная величина, можно выбрать в Настройках модуля VM.
Сейчас доступны следующие варианты расчета интегральной величины уязвимости:
- Базовая формула SECURITM
Учитывается критичность уязвимости определенная сканером безопасности, количество уязвимых хостов, их максимальный приоритет, наличие доступа из интернета.
[Vuln severity] x |COUNT(IP)| x |0,5 * MAX(Asset priority)| * |1.5*COUNT(Public Assets)| - Методика ФСТЭК
Формула установлена Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств (утв. ФСТЭК России 28.10.2022)
Учитываются значения CVSS, связь с критичными системами, тип уязвимых активов, количество уязвимых хостов по отношению к общему кол-ву хостов в инфраструктуре, наличие доступа к хосту из интернета.
Добавление новых формул для расчета интегральной уязвимости производится по запросу
Метрики и показатели
Модуль Технические уязвимости содержит набор готовых метрик и показателей для визуального контроля текущего состояния:
- Интегральная уязвимость - показатель всех интегральных уязвимостей на хостах и уязвимостей в коде. Расчет производится по формуле: SUMM([Vuln severity] x |COUNT(IP)| + [Vuln severity] x |COUNT(URI)|);
- Статистика - общее количество различных объектов:
- открыт - общее количество открытых уязвимостей разного типа;
- типов - общее количество уникальных уязвимостей;
- хостов - общее количество уязвимых хостов;
- URI - общее количество уникальных идентификаторов объектов (для анализа уязвимых объектов в коде).
- Шкала статистики - отражение динамики количества обнаруженных и устраненных уязвимостей за последний месяц;
- Задач в работе – количество открытых задач на устранение уязвимостей, виджет кликабельный, является ссылкой на задачи отображаемые в модуле;
- Принято/Устранено – количество принятых и устраненных уязвимостей, виджет кликабельный, являются ссылками на реестры таких уязвимостей;
- Severity - диаграмма соотношения критичности загруженных уязвимостей (низкий, средний, высокий и критический), виджет кликабельный, результатом является установка одноименного фильтра по критичности уязвимостей. При наведении на каждый из уровней отображается количество уязвимостей;
- Частота сканирования – отображение частоты загрузки отчетов на уязвимости, при наведении отображается срок с последней загрузки;
- Топ по администраторам - информация об администраторах активов, для которых обнаружены уязвимости;
- Время устранения – среднее количество дней для устранения критических и высоких уязвимостей устраненных за последний месяц;
- дополнительно раскрывается блок:
- Группы уязвимостей - диаграмма соотношения по группам уязвимостей, виджет кликабельный, результатом является установка одноименного фильтра по группе уязвимостей.
- Источники уязвимостей - диаграмма соотношения источников импорта (сканеров) уязвимостей, виджет кликабельный, результатом является установка одноименного фильтра по сканеру или источнику уязвимостей.
Импорт
В SECURITM загружаются данные из сканеров безопасности, результаты сканирования связываются с активами компании, определяются приоритеты, формируются задачи на устранение уязвимостей и ведется контроль их исполнения. Размер импортируемых файлов не должен превышать 1 ГБ.
Существую четыре способа загрузки уязвимостей в SECURITM:
Существую четыре способа загрузки уязвимостей в SECURITM:
- Прямые интеграции из сканеров;
- Импорт с сетевого ресурса;
- Ручной импорт;
- API.
Ручной импорт
Поддерживаемые сканеры безопасности и правила формирования отчета:
- Qualys: требуемый формат *.xml, пример отчета.
- Nessus: требуемый формат *.nessus, пример отчета.
- RedCheck: требуемый формат *.xml, пример отчета.
- Nmap: требуемый формат *.xml, пример отчета
- OpenVas: требуемый формат *.xml, пример отчета.
- Kaspersky.
- Минимально необходимые поля в отчете:
- Уязвимость
- Программа
- IP-адрес
- Формат: *.xls/*.xml
- Пример отчета.
- Минимально необходимые поля в отчете:
- XSpider: требуемый формат *.xml, пример отчета.
- Sarif: требуемый формат *.json/*.sarif, пример отчета.
- Lunty: требуемый формат *.json, пример отчета.
- MaxPatrol 8: требуемый формат *.xml пример отчета.
- (PT) MaxPatrol VM
- Необходимые поля:
- @Host
- Host.IpAddress
- Host.@Vulners (илии) Host.@Vulners.CVEs
- Дополнительные поля:
- Host.Fqdn - Имя хоста
- Host.@Vulners.Description - Описание уязвимости
- Host.@Vulners.SeverityRating - Уровень Severity
- Формат: *.csv
- Пример отчета.
- Необходимые поля:
- Manage Engine (Endpoint Central): требуемый формат *.xlsx, пример отчета.
Импорт с сетевого ресурса
Цель: регулярное обновление информации об уязвимостях в SECURITM через загрузку отчетов от сканеров размещенных в общей сетевой папке.
Для настройки сбора отчетов из общей сетевой папки требуется настроить следующие параметры:
Для настройки сбора отчетов из общей сетевой папки требуется настроить следующие параметры:
- Сервер
Необходимо указать hostname или ip адрес сервера с общей сетевой папкой; - Сетевой ресурс
Название опубликованного ресурса - общей сетевой папки; - Каталог
Путь до каталога с результатами сканирования (отчетами), через , может быть пустым в случае когда отчеты располагаются непосредственно в общей сетевой папке; - Пользователь
Логин учетной записи для подключения; - Пароль
Пароль от учетной записи для подключения; - Автоматический импорт
Включает автоматический импорт при появлении новых данных согласно расписанию. - Настройка расписания для импорта
Настройте cron выражение для расписания или выберите из примеров. Рекомендуем воспользоваться сервисом - https://crontab.guru - Для сохранения настроек подключения нажмите Сохранить
Импорт через прямые интеграции
Ссылки на интеграции поддерживающие импорт уязвимостей:
Импорт из API
Описание методов и необходимых действий для настройки импорта уязвимостей через API указан в разделе:
Настройки модуля
Настройки
Настройки модуля управления техническими уязвимостями (Vulnerability Management). Изменение настроек модуля доступно пользователю с правами Администратор.
- Формула риска (интеграл) для хоста – формула рассчета величины технического риска для отдельных хостов (IP-адресов), возможен выбор из двух значений:
- SUM (Vulns severity) x |0,5*MAX(Asset Priority)| x |1,5*[Asset publicity]|
- MAX(Asset priority) + Vuln severity
- Формула риска (интеграл) для технической уязвимости - необходимо выбрать формулу, по которой будет рассчитываться величина риска для отдельных технических уязвимостей.
- [Vuln severity] x |COUNT(IP)| x |0,5 * MAX(Asset priority)| * |1.5*COUNT(Public Assets)| в случае уязвимости в коде будет применяться формула: [Vuln severity] x |COUNT(URI)| x |0,5 * MAX(Asset priority)| * |1.5*COUNT(Public Assets)|
- MAX(Asset priority) + Vuln severity
- Методика ФСТЭК - оценка согласно формулы установленной Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств (утв. ФСТЭК России 28.10.2022)
- Новые уязвимости - позволяет задать количество дней после обнаружения уязвимости, когда она считается новой. По умолчанию - 7 дней.
- Актуальность уязвимостей – позволяет задать количество дней, после которых уязвимость будет автоматически закрыта, если в отчетах от сканера нет информации об уязвимости на данном активе. По умолчанию уязвимости хранятся до получения отчета от уязвимого объекта;
- Не импортировать уязвимости с низким severity – позволяет импортировать технические уязвимости только с severity от Среднего и выше.
- Не импортировать уязвимости со средним severity - позволяет импортировать технические уязвимости только с severity от Высокого и выше.
- Отображать порты, на которых были обнаружены уязвимости - позволяет вывести порты, на которых обнаружены уязвимости. В случае, если сканер загружает данные о портах.
Импорт активов
Модуль Технических уязвимостей позволяет импортировать данные (уязвимые объекты) из отчетов о сканировании в модуль Активов. Режим импорта позволяет выбрать режим импорта данных:
- Только обновление существующих активов.
- Обновление существующих и создание новых активов (хостов).
Сопоставлять активы по hostname - по умолчанию модуль привязывает уязвимости к ip адресам, для сопоставления активов по именам хостов следует включить эту опцию, например при частой смене IP-адресов у сканируемых узлов.
SLA задач
Модуль Технических уязвимостей позволяет создавать задачи с необходимым контекстом для устранения уязвимостей. Сервис позволяет настроить срок (количество дней) для выполнения для задач на устранение технических уязвимостей в зависимости от Severity уязвимостей и особенностей затрагиваемых ими активов:
- Уровень SLA Критический: под данный уровень попадают уязвимости с критическим severity на уязвимым активе который является публичным или у него высокий приоритет;
- Уровень SLA Высокий: под данный уровень попадают уязвимости с высоким severity, на уязвимым активе который является публичным или у него высокий приоритет;
- Уровень SLA Средний: под данный уровень попадают уязвимости с высоким severity, при этом приоритет уязвимого актива средний и актив не является публичным;
- Уровень SLA Низкий: Все остальные уязвимости.
Импорт с сетевого ресурса (Samba Share)
Сервис поддерживает автоматическую загрузку файлов отчетов от сканеров из общей сетевой папки. Размер импортируемых файлов не должен превышать 1ГБ.
Для настройки сбора отчетов из общей сетевой папки требуется настроить следующие параметры:
Для настройки сбора отчетов из общей сетевой папки требуется настроить следующие параметры:
- Сервер
Необходимо указать hostname или ip адрес сервера с общей сетевой папкой. - Сетевой ресурс
Название опубликованного ресурса - общей сетевой папки. - Каталог
Путь до каталога с результатами сканирования (отчетами), через , может быть пустым в случае когда отчеты располагаются непосредственно в общей сетевой папке. - Пользователь
Логин учетной записи для подключения. - Пароль
Пароль от учетной записи для подключения. - Автоматический импорт
Включает автоматический импорт при появлении новых данных согласно расписанию. - Настройка расписания для импорта
Настройте cron выражение для расписания или выберите из примеров. Рекомендуем воспользоваться сервисом - https://crontab.guru - Для сохранения настроек подключения нажмите Сохранить.
Пример:
На сервере hostname опубликован каталог share в котором есть подкаталог folder_for_task. Сетевой путь \hostnameshare older_for_task
Разбор примера в поля для настройки: поле Сервер — hostname, поле Сетевой ресурс - share (именно этот каталог публикуется), поле Каталог - folder_for_task (каталог внутри опубликованной папки).
На сервере hostname опубликован каталог share в котором есть подкаталог folder_for_task. Сетевой путь \hostnameshare older_for_task
Разбор примера в поля для настройки: поле Сервер — hostname, поле Сетевой ресурс - share (именно этот каталог публикуется), поле Каталог - folder_for_task (каталог внутри опубликованной папки).
Синхронизация данных
Кнопка Запустить синхронизацию - запускает синхронизацию уязвимостей с хостами в ручном режиме.
Реестр уязвимостей
Кнопка Очистить реестр уязвимостей- запускает очистку загруженного реестра уязвимостей. И реестра удаляются все уязвимости, восстановить после удаления нельзя.
Сканеры
Сервис может принимать результаты работы от любых сканеров безопасности.
Поддерживаемые отчеты от сканеров:
Поддерживаемые отчеты от сканеров:
- Nessus
- Qualys
- RedCheck
- Nmap (с плагином vulners.nse)
- OpenVAS
- Kaspersky
- XSpider
- MaxPatrol 8
- (PT) MaxPatrol VM
- Manage Engine
- OWASP ZAP
- AppScreener
- SNYK
- Lunty
- Отчеты формата sarif
Прямые интеграции:
Добавление новых интеграций с отчетами сканеров безопасности производится по запросу
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.