Управление техническими уязвимостями
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Управление техническими уязвимостями (Vulnerability Management, VM) - это базовый процесс информационной безопасности, цель которого снижать риски, которые могут наступить в результате эксплуатации технических уязвимостей в программном обеспечении.
Управление уязвимостями — это «циклическая практика выявления, классификации, приоритезации, исправления и снижения» уязвимостей программного обеспечения. Управление уязвимостями является неотъемлемой частью компьютерной и сетевой безопасности, и его не следует путать с оценкой уязвимостей.
Для поиска технических уязвимостей в инфраструктуре внедряются сканеры безопасности (сканеры уязвимостей), но простого сканирования инфраструктуры для построения процесса VM недостаточно. Процесс VM состоит из следующих этапов:
Сканирование активов -> Анализ выявленных уязвимостей -> Устранение уязвимостей -> Контроль устранения.
Ключевые проблемы процесса управления техническими уязвимостями:
- Нет приоритета
Как оценить уязвимости основываясь на целях бизнеса и критичности активов? - Много мусора
Сотни страниц отчетов от сканеров безопасности. - Нет контроля исполнения
Задачи на устранение уязвимостей ставятся и не исполняются, ведь системы постановки задач в компании не связаны с результатами работы сканеров безопасности.
Возможности
В SECURITM реализован модуль управления техническими уязвимостями.
Сервис не является сканером безопасности, наша цель реализовать именно процесс управления уязвимостями.
В Сервис загружаются данные из сканеров безопасности, результаты сканирования связываются с активами компании, определяются приоритеты, формируются задачи на устранение уязвимостей и ведется контроль их исполнения.
Управление техническими уязвимостями в SECURITM обеспечивает:
Сервис не является сканером безопасности, наша цель реализовать именно процесс управления уязвимостями.
В Сервис загружаются данные из сканеров безопасности, результаты сканирования связываются с активами компании, определяются приоритеты, формируются задачи на устранение уязвимостей и ведется контроль их исполнения.
Управление техническими уязвимостями в SECURITM обеспечивает:
- Интеграцию с несколькими сканерами уязвимостей одновременно;
- Возможность принятия рисков (настройки исключений) для уязвимостей;
- Автоматическое формирование задач, с напоминаниями и контролем исполнения, привязкой к конкретным уязвимостям, группам уязвимостей, активам;
- Интеграцию с Jira и иными Service Desk системами для заведения заявок на устранение уязвимостей в ИТ отдел;
- Механизмы обсуждения проблем и ведения базы знаний;
- Формирование метрик эффективности по процессу;
- Контрольный след по всем операциям.
Сканеры
Сервис может принимать результаты работы от любых сканеров безопасности.
На текущий момент добавлены интеграции со сканерами:
На текущий момент добавлены интеграции со сканерами:
- Nessus
- Qualys
- RedCheck
- Nmap (с плагином vulners.nse)
Добавление новых интеграций - по запросу
Алгоритм работы
Процесс управления техническими уязвимостями в Сервисе строится следующим образом:
- Загрузка в Сервис отчетов от сканера (сканеров) безопасности
Прим.: Если нет сканера безопасности можно воспользоваться бесплатным Nmap с скриптом vulners.nse
Сделать это можно:- В разделе Технические уязвимости (левое меню), нажав на кнопку Настройки и выбрав подходящий сканер
- В разделе Профиль команды во вкладке Технические уязвимости
- Перед загрузкой данных можно выбрать режим импорта - с созданием новых активов в Реестре активов или без.
Активы будут создаваться только если из отчета сканера безопасности были получены IP, Hostname и Операционная система актива.
Работать с модулем технических уязвимостей можно и без создания активов. Уязвимые хосты это отдельные сущности, которые могут быть связаны с активами или нет. - Сервис автоматически установит связи с активами из Реестра активов - по IP адресу.
Максимальный приоритет связанных активов будет присвоен уязвимости и учитываться при расчете интегральной уязвимости.
Например, если хост на котором обнаружена уязвимость входит в состав критичной системы или входит в состав системы которая входит в критичный бизнес-процесс то его приоритет будет считаться критичным. - В отношении Уязвимости, связки Уязвимость-Хост или Хоста (всех уязвимостей на хосте) можно выполнить следующие операции:
- Принять риск
Принятые уязвимости будут скрыты из общего дашборда и не будут участвовать в оценке интегральной уязвимости.
Принять уязвимости можно на время, указав срок после которого они будут восстановлены. - Закрыть уязвимость
Закрытие является ручным подтверждением того, что уязвимость была устранена.
Закрывать уязвимости необязательно. При загрузке результатов следующего сканирования, если уязвимость исчезнет - она будет закрыта автоматически. - Создать задачу на устранение уязвимости
В зависимости от имеющихся данных (связи с активами) Сервис автоматически сформирует- Название задачи
- Описание задачи
- Срок (SLA) на устранение уязвимости
SLA можно изменять, в Настройках модуля VM - Ответственного за задачу
Если уязвимость связана с активом то ответственным за ее устранение будет выбран администратор актива
- Принять риск
- Контроль выполнения задач на устранение уязвимостей осуществляется в модуле управления задачами
- Повторное сканирование инфраструктуры и загрузка результатов в Сервис
- Исчезнувшие из результатов сканирования уязвимости будут закрыты
- Закрытые ранее, но но найденные в результатах сканирования уязвимости будут повторно открыты