Автор: Андрей Селиванов, продакт-менеджер R-Vision
Атаки на производственные мощности могут приводить к остановке производства, утечке данных и значительным финансовым и репутационным потерям. В таких условиях управление уязвимостями при помощи систем класса VM (Vulnerability Management) становится критически важным элементом стратегии кибербезопасности. Полноценное VM-решение позволяет выявлять, приоритизировать и устранять уязвимости в ИТ-инфраструктуре, снижая риски и минимизируя влияние человеческого фактора.
В 2024 г. в R-Vision обратился крупный промышленный холдинг с запросом на внедрение системы управления уязвимостями. Цель – автоматизировать и централизовать процесс VM в шести филиалах, каждый из которых – крупный завод. В инфраструктуре холдинга около 25 тыс. хостов: серверы, сетевое оборудование, рабочие станции и другие устройства. Управлением ИБ занимается центральная команда из двенадцати специалистов, которые работают совместно с ИТ-администраторами в каждом филиале.
До внедрения R-Vision VM [1] управление уязвимостями преимущественно велось в ручном режиме с использованием сканера стороннего вендора. Сканер собирал сведения с нескольких тысяч хостов в каждом филиале и передавал их специалистам по ИБ. Данные обрабатывались вручную, приоритизировались и передавались в ИТ-департамент. После устранения уязвимостей проводилось повторное сканирование, а результаты вручную сопоставлялись с предыдущими отчетами. Процесс был трудоемким, а также подверженным ошибкам из-за человеческого фактора, – все это снижало эффективность контроля безопасности.
Команда ИБ понимала, что нужен инструмент для автоматизации и централизации процесса. После тестирования нескольких решений, выбор пал на R-Vision VM – систему, которая показала стабильную работу, соответствие требованиям организации, и обеспечивала полный цикл управления уязвимостями: от выявления до автоматического контроля устранения.
Основная цель проекта – централизовать и автоматизировать процесс выявления, приоритизации и устранения уязвимостей в масштабах всей ИТ-инфраструктуры холдинга. Для этого потребовалось выстроить несколько ключевых процессов, охватывающих все этапы управления уязвимостями:
В ходе проекта особое внимание уделили интеграции R-Vision VM с существующими ИТ- и ИБ-системами холдинга, включая CMDB (собственная разработка заказчика), Kaspersky Security Center, Microsoft Active Directory и Microsoft SCCM (System Center Configuration Manager). Это позволило получить полную картину по всем активам и уязвимостям – как в центральном офисе, так и в филиалах.
Собранные данные использовались для автоматического формирования ресурсно-сервисной модели активов, где учитывались различные факторы: тип оборудования, ОС, прикладное ПО, физическое расположение, состояние поддержки и уровень критичности для бизнес-процессов. Это позволило оценить влияние каждого актива на ключевые бизнес-процессы, что стало основой для последующей точной приоритизации уязвимостей.
Далее специалисты настроили регулярное сканирование всех хостов на предмет наличия известных уязвимостей, включая трендовые, которые могут быть в ближайшее время использованы злоумышленниками для получения несанкционированного доступа или нарушения работы систем. В R-Vision VM используются продвинутые алгоритмы сканирования, позволяющие оперативно выявлять уязвимости в зарубежных и отечественных ОС, ПО, сетевом оборудовании и базах данных.
После выявления всех уязвимостей в R-Vision VM была настроена автоматическая приоритизация на основе собственной формулы. В расчет входят базовые характеристики уязвимости (оценка CVSS, наличие эксплойта и др.), а также критичность актива или группы активов. Это позволило быстро определить, на каких уязвимостях и активах необходимо сосредоточиться в первую очередь.
Одним из ключевых запросов ИБ-команды холдинга было создание полностью автоматизированного процесса контроля устранения уязвимостей с минимальным участием человека, при этом должна быть обеспечена высокая точность и оперативность обработки данных (см. рис. 1).
Рис. 1. Процесс контроля устранения уязвимостей
После выявления и приоритизации уязвимостей в R-Vision VM автоматически создается задача на их устранение. Задача формируется на основании заранее заданных критериев. Например, если уязвимость с рейтингом выше 9 (критический) обнаружена на устройстве из группы критичных ИТ-активов, задача автоматически создается и передается в Jira вместе со списком всех затронутых хостов. Для задачи устанавливаются сроки выполнения и SLA для ИТ-подразделения (см. рис. 2).
Рис. 2. Пример отображения задачи в интерфейсе
После завершения работ ИТ-специалисты переводят задачу в Jira в статус "требуется проверка" и отправляют в систему отчет об устранении. На этом этапе в R-Vision VM автоматически создается задача на пересканирование с указанием IP-адресов соответствующих хостов. Результаты пересканирования поступают обратно в систему.
Если уязвимости успешно устранены, соответствующие задачи автоматически закрываются. Далее система сверяет список устраненных уязвимостей с первоначальным перечнем. Если все уязвимости закрыты, задача в Jira и R-Vision VM автоматически переводится в статус "закрыта".
Если же какие-либо уязвимости остались неустраненными, в задачу в Jira добавляется уведомление с их списком. Задача переоткрывается и процесс повторяется: данные обновляются, запускается очередное пересканирование, и уязвимости закрываются, после успешного устранения.
Если при запуске пересканирования один или несколько хостов недоступны, система автоматически фиксирует это и продолжает попытки до тех пор, пока все хосты не станут доступны, либо не закончится число попыток пересканирования. После успешного сканирования выполняется сверка результатов. Если хосты остаются недоступными, то задача переоткрывается.
В R-Vision VM предусмотрены и другие сценарии:
Получение актуальных данных об активах. Система собирает и обновляет информацию о состоянии всех хостов во всех филиалах в течение 7–8 часов (в каждом филиале установлен свой коллектор). Ранее этот процесс занимал несколько дней.
Регулярное сканирование на уязвимости. Система автоматически сканирует около 5 тыс. хостов за 8 часов одним коллектором. При необходимости запускается внеочередное сканирование для проверки критических угроз.
Точная приоритизация уязвимостей. Приоритизация строится на основе критичности актива, рейтинга CVSS и других атрибутов, что позволяет сосредоточиться на устранении наиболее опасных уязвимостей и сократить время реакции на критические инциденты.
Контроль устранения уязвимостей. Система автоматически создает задачи на устранение уязвимостей, отслеживает их статус и запускает пересканирование после выполнения работ.
Сокращение рутинных операций. Автоматизация обработки данных, создания задач и контроля их устранения позволила сократить время выполнения ежедневных рутинных операций на 90% по сравнению с предыдущим процессом.
Прозрачность взаимодействия между ИТ и ИБ. Интеграция с Service Desk и автоматическое обновление статусов задач упростили контроль за устранением уязвимостей и повысили согласованность между ИТ и ИБ.
Снижение рисков. Быстрое выявление и устранение критических уязвимостей позволило уменьшить вероятность успешных атак на инфраструктуру.
Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
ООО «Р-Вижн». ИНН 7712023924. Erid2SDnjdYeWpM