25/03/24
Благодаря новой функции хранения информации об уязвимостях в MaxPatrol VM 2.1 ускорилась ее доставка. Теперь можно использовать API для адаптации системы под конкретные задачи сканирования, анализировать устаревшие версии Windows с помощью коллектора[1], установленного на Linux, а также настраивать гибкое расписание для запуска заданий.
По данным «Коммерсанта», несмотря на уход Microsoft из России и требования Указа Президента РФ от 30.03.2022 № 166, доля Windows в инфраструктуре частных компаний до сих пор достигает 99%, а государственных — 50%. Этим компаниям важно оставаться защищенными в период импортозамещения. Поэтому в MaxPatrol VM 2.1 появился коллектор для Linux, который позволяет сканировать Windows (даже устаревшие версии) в режимах аудита и пентеста. На данный момент MaxPatrol VM 2.1 — единственный отечественный продукт, в котором есть такая возможность.
В MaxPatrol VM 2.1 реализована также новая модель хранения данных: автоматическое обновление информации осуществляется напрямую через PT Management and Configuration[2] без использования других компонентов. Это позволило в несколько раз увеличить скорость доставки информации об уязвимостях, в том числе трендовых[3].
Обновленный MaxPatrol VM проводит сканирование в ускоренном режиме, скорость сканирования будет пропорциональна количеству добавленных коллекторов. Если при создании или изменении задачи выбрать несколько коллекторов, то подзадачи распределяются между ними. Чем больше коллекторов будет, тем меньше нагрузки придется на каждый из них.
Кроме того, в продукте расширились параметры запуска задач на сканирование. Теперь в MaxPatrol VM можно задать дату, время и периодичность в виде строки Сron — это общемировой формат представления времени, который позволяет установить значение для выполнения заданий. Если возникнет необходимость временно разгрузить сеть, задачу на сканирование можно будет поставить на паузу; это еще одно преимущество новой версии. При повторном запуске анализ начнется с тех активов, на которых был приостановлен. Функция доступна в интерфейсе и через запрос к API. Открытый программный интерфейс можно использовать и для других задач: это позволит безопасно улучшить продукт и настроить его под конкретные потребности.
«С тех пор как MaxPatrol VM стал получать информацию о трендовых уязвимостях за 12 часов, мы предоставили своим пользователям информацию более чем о 120 из них. Это помогает компаниям быть на шаг впереди атакующих, — комментирует Павел Попов, лидер практики продуктов для управления уязвимостями Positive Technologies. — Наша постоянная задача — расширять возможности MaxPatrol VM, двигаясь в сторону автоматизации, повышения эффективности сканирования и оптимизации рабочих процессов. С выходом новой версии продукт стал еще удобнее: задачи запускаются строго по расписанию и приостанавливаются без потери прогресса, а время сканирования сокращается за счет подключения нескольких коллекторов».
Внедрение агента MaxPatrol EDR — еще одно значимое обновление. Совместное использование продуктов поможет снизить нагрузку на сетевой сканер MaxPatrol VM, сократить задержки при повторном сканировании и обеспечить оперативную обратную связь об устранении уязвимостей. Это в числе прочего позволит получать актуальную информацию с устройств удаленных сотрудников, которые не всегда бывают подключены к сети компании во время сканирования. Агент MaxPatrol EDR автоматически проведет анализ, как только устройства появятся в сети, и направит результаты в MaxPatrol VM.
