Positive Technologies: MaxPatrol VM (Vulnerability Management)

Основные статьи:

• Security Information and Event Management (SIEM)
• Fraud Detection System (фрод, система обнаружения мошенничества)

2024: Возможность версии на базе Linux сканировать Windows

Обновленный MaxPatrol VM на базе Linux может сканировать Windows. Об этом Positive Technologies сообщили 25 марта 2024 года.

Дополнительные возможности MaxPatrol VM 2.1 направлены на автоматизацию обновления данных и повышение эффективности сканирования.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т

Благодаря данной функции хранения информации об уязвимостях в MaxPatrol VM 2.1 ускорилась ее доставка. Теперь можно использовать API для адаптации системы под конкретные задачи сканирования, анализировать устаревшие версии Windows с помощью коллектора, установленного на Linux, а также настраивать гибкое расписание для запуска заданий.

По данным «Коммерсанта», несмотря на уход Microsoft из России и требования Указа Президента РФ от 30.03.2022 № 166, доля Windows в инфраструктуре частных компаний до сих пор достигает 99%, а государственных — 50%. Этим компаниям важно оставаться защищенными в период импортозамещения. Поэтому в MaxPatrol VM 2.1 появился коллектор для Linux, который позволяет сканировать Windows (даже устаревшие версии) в режимах аудита и пентеста. На данный момент MaxPatrol VM 2.1 — единственный отечественный продукт, в котором есть такая возможность.

В MaxPatrol VM 2.1 реализована также обновленная модель хранения данных: автоматическое обновление информации осуществляется напрямую через PT Management and Configuration без использования других компонентов. Это позволило в несколько раз увеличить скорость доставки информации об уязвимостях, в том числе трендовых.

Обновленный MaxPatrol VM проводит сканирование в ускоренном режиме, скорость сканирования будет пропорциональна количеству добавленных коллекторов. Если при создании или изменении задачи выбрать несколько коллекторов, то подзадачи распределяются между ними. Чем больше коллекторов будет, тем меньше нагрузки придется на каждый из них.

Кроме того, в продукте расширились параметры запуска задач на сканирование. Теперь в MaxPatrol VM можно задать дату, время и периодичность в виде строки Сron — это общемировой формат представления времени, который позволяет установить значение для выполнения заданий. Если возникнет необходимость временно разгрузить сеть, задачу на сканирование можно будет поставить на паузу; это еще одно преимущество обновленной версии. При повторном запуске анализ начнется с тех активов, на которых был приостановлен. Функция доступна в интерфейсе и через запрос к API. Открытый программный интерфейс можно использовать и для других задач: это позволит безопасно улучшить продукт и настроить его под конкретные потребности.

С тех пор как MaxPatrol VM стал получать информацию о трендовых уязвимостях за 12 часов, мы предоставили своим пользователям информацию более чем о 120 из них. Это помогает компаниям быть на шаг впереди атакующих, — сказал Павел Попов, лидер практики продуктов для управления уязвимостями Positive Technologies. — Наша постоянная задача — расширять возможности MaxPatrol VM, двигаясь в сторону автоматизации, повышения эффективности сканирования и оптимизации рабочих процессов. С выходом данной версии продукт стал еще удобнее: задачи запускаются строго по расписанию и приостанавливаются без потери прогресса, а время сканирования сокращается за счет подключения нескольких коллекторов.

Внедрение агента MaxPatrol EDR — еще одно значимое обновление. Совместное использование продуктов поможет снизить нагрузку на сетевой сканер MaxPatrol VM, сократить задержки при повторном сканировании и обеспечить оперативную обратную связь об устранении уязвимостей. Это в числе прочего позволит получать актуальную информацию с устройств удаленных сотрудников, которые не всегда бывают подключены к сети компании во время сканирования. Агент MaxPatrol EDR автоматически проведет анализ, как только устройства появятся в сети, и направит результаты в MaxPatrol VM.

2023

Выявление в среднем более 700 трендовых уязвимостей в ходе одного пилотного проекта

Компания Positive Technologies 13 июля 2023 года представила результаты анализа пилотных проектов по внедрению MaxPatrol VM, проведенных в государственных учреждениях, финансовых организациях, промышленных и других компаниях с начала 2022 года по февраль 2023 года. В ходе исследования на одном пилотном проекте в среднем было выявлено более 700 трендовых уязвимостей. Результаты внедрения показали, что в большинстве организаций допускаются ошибки в приоритизации активов, отсутствует регулярное обновление данных о них, а в трети компаний встречаются просроченные уязвимости.

MaxPatrol VM — система, обеспечивающая полный цикл управления уязвимостями: от выявления до контроля за их устранением. MaxPatrol VM доставляет информацию о трендовых уязвимостях за 12 часов, что позволяет оперативно реагировать на новые угрозы и минимизировать риски.

Одной из главных проблем, выявленных в ходе пилотных проектов, является недостаточная классификация активов, то есть их разделение по уровню значимости для организации — участника проекта. В 80% проектов имелись активы, уровень важности которых не был определен, — это повышает риск оставления важных систем без должной защиты. Эксперты Positive Technologies рекомендуют начать процесс управления уязвимостями с оценки и классификации активов, чтобы выделить наиболее значимые из них и обеспечить их приоритетную защиту.

Около четверти компаний выстроили процесс приоритизации выявленных уязвимостей без учета важности активов, на которых они были обнаружены, — отметил аналитик Positive Technologies Екатерина Семыкина. — В 76% проектов при формировании политик устранения не учитывался уровень опасности уязвимости, а в 59% не рассматривалось наличие публичного эксплойта. Мы советуем обращать внимание в числе прочего и на популярность уязвимости среди злоумышленников — ее трендовость. Часто популярность обретают недавно опубликованные уязвимости, для которых еще не выпущены обновления безопасности. Однако трендовыми могут быть и уязвимости прошлых лет — по нашим данным, они продолжают быть актуальными и активно применяются атакующими. Такие уязвимости стоит устранять в первую очередь, поскольку злоумышленники часто используют их в цепочках атак, и для многих из них существует публичный эксплойт.

В ходе пилотных проектов по внедрению MaxPatrol VM трендовые уязвимости были обнаружены в 36% активов высокой значимости, в среднем четыре уязвимости на один актив. Чаще всего они встречались в компонентах Windows и других продуктах Microsoft.

Другой выявленной проблемой стала неактуальность информации об активах. В 75% компаний данные об активах не обновлялись вовремя — из-за этого пропускались сканирования и некоторые уязвимости не были обнаружены. Positive Technologies рекомендует регулярно проводить инвентаризацию активов, чтобы поддерживать информацию в актуальном состоянии и обеспечивать своевременное обнаружение и устранение уязвимостей.

Как показало исследование Positive Technologies, большинство компаний допускают ошибки в приоритизации уязвимостей, то есть не учитывают значимость активов и уровень опасности уязвимостей при формировании политик устранения. Это может привести к пропуску наиболее опасных для инфраструктуры уязвимостей.

Во всех исследованных организациях минимальные сроки устранения уязвимостей оказались больше, чем время, через которое злоумышленники начинают использовать уязвимости в атаках. Специалисты рекомендуют устанавливать минимальные сроки устранения уязвимостей на активах высокой значимости, особенно при обнаружении трендовых и критически опасных уязвимостей.

По результатам пилотных проектов были также выявлены серьезные проблемы, связанные с несвоевременным устранением недостатков в информационных системах. В каждой третьей компании нарушалась политика устранения уязвимостей, при этом около 30% активов высокой значимости содержали в среднем семь просроченных трендовых уязвимостей. По мнению экспертов, несоблюдение специалистами по информационной безопасности заданных сроков облегчает задачу злоумышленникам. Компаниям необходимо выделять ресурсы на своевременное устранение уязвимостей, сделать этот процесс регулярным и контролируемым.

MaxPatrol VM 2.0 с модулем НСС

Обновленная версия системы MaxPatrol VM (2.0) получила модуль host compliance control (НСС) для автоматизированной проверки узлов сети на соответствие стандартам безопасности, а также функции, позволяющие учитывать рекомендации ФСТЭК по приоритизации уязвимостей. Система обеспечивает полный цикл управления уязвимостями (vulnerability management, VM) и получает информацию о новых трендовых уязвимостях в течение 12 часов. Об этом компания Positive Technologies (Позитив Текнолоджиз) сообщила 29 июня 2023 года.

Одна из важных особенностей данной версии MaxPatrol VM — появление функциональности HCC. Добавленный модуль поможет компаниям повысить уровень защищенности инфраструктуры за счет автоматизированного контроля соответствия стандартам. Если на узле выполнялись требования стандарта, а затем перестали, HCC позволит определить, когда это произошло и почему, а также предоставит рекомендации, как исправить проблему.

Вердикты модуля HCC в сочетании с технологией управления активами, используемой в MaxPatrol VM, позволяют мгновенно получать данные об уровне соответствия ИТ-инфраструктуры стандартам кибербезопасности. Эту информацию можно отслеживать в динамике, и повторное сканирование инфраструктуры не требуется. Для сравнения: в системах прошлого поколения (сканерах уязвимостей) на такую задачу уходило от нескольких часов до нескольких дней. Кроме того, в MaxPatrol VM 2.0 мы добавили дополнительные параметры приоритизации требований к инфраструктуре, — сказал Юрий Шкодин, заместитель директора экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC).

Модуль HCC позволяет проверять ИТ-инфраструктуру на соответствие стандартам кибербезопасности с учетом требований PT Essentials, например, к Linux-системам (включая отечественные операционные системы ALT Linux, Astra Linux, «РЕД ОС»), сетевым устройствам Cisco, Windows Desktop и Windows Server, Docker, VMware, а также к базам данных Oracle. Стандарты PT Essentials разработаны экспертами Positive Technologies c учетом условий обеспечения результативной кибербезопасности.

MaxPatrol VM 2.0 учитывает рекомендации из методики ФСТЭК по приоритизации уязвимостей – исходя из уровня их опасности (базовые и временные метрики, а также влияние на функционирование информационных систем). Одно из основных качеств MaxPatrol VM — быстрая доставка информации о трендовых уязвимостях.

По нашим оценкам, чтобы создать эксплойт для трендовой уязвимости, злоумышленнику в среднем требуется 24 часа. Когда эксплойт готов, трендовая уязвимость сокращает время взлома компании в среднем до 45 минут. Важно опередить атакующего. Поэтому наша задача — доставлять в систему информацию о таких недостатках в течение 12 часов. Пользователи получают экспертизу вместе с рекомендациями по устранению уязвимостей, — отметила Анна Цыбина, менеджер по развитию и продвижению MaxPatrol VM, Positive Technologies.

Пользователи MaxPatrol VM 2.0 также получили порядка 80 самых часто используемых PDQL-запросов «из коробки». Это упростит и ускорит работу операторов, поскольку снимет с них задачи по самостоятельному написанию выражений.

2022: MaxPatrol VM 1.5

12 августа 2022 года компания Positive Technologies сообщила о выпуске обновленной версии системы управления уязвимостями MaxPatrol VM — 1.5. В обновленном продукте появились дополнительные возможности для контроля процесса vulnerability management, а также для автоматизации присвоения значимости активам — группировать и классифицировать активы станет проще. Добавлены шаблоны в конструктор отчетов: по уязвимостям, уязвимым узлам и компонентам. Кроме того, выпущен специальный пакет фильтров с преднастроенными запросами, которые позволят организовать работу с уязвимостями в соответствии с алгоритмом Национального координационного центра по компьютерным инцидентам (НКЦКИ).

По информации компании, в обновленной версии продукта можно автоматизировать присвоение значимости IT-активам на основе прописанных правил — политик. Например, можно присваивать высокий уровень значимости всем контроллерам домена. Присвоение значимости активам позволяет упорядочить работу с ними, вовремя обращать внимание на активы, эксплуатация уязвимостей на которых может нанести больше всего вреда организации.

При приоритизации уязвимостей нужно не только оценивать их характеристики — является ли уязвимость трендовой, есть ли эксплойт в общем доступе, — но и учитывать, где она обнаружена, то есть насколько активы, которые она затрагивает, важны для бизнес-процессов компании. Чтобы специалисты по ИБ тратили меньше времени на ручную обработку результатов сканирования, мы реализовали политики, автоматизирующие различные операции над активами и уязвимостями. рассказал Евгений Полян, менеджер по развитию MaxPatrol VM, Positive Technologies

В MaxPatrol VM добавлены дополнительные способы проверки качества планового устранения уязвимостей и работы с трендовыми уязвимостями. Они позволяют контролировать процесс VM на основе понятных метрик: количество трендовых уязвимостей на важных активах, их срок жизни в системе, количество систем, не покрываемых патч-менеджментом, и др.

В продукте теперь доступны шаблоны отчетов по уязвимостям, активам и уязвимым компонентам на них. Можно самостоятельно настроить выгрузку данных — по категориям ПО и узлам с уязвимостями или по системам, выпавшим из процесса патч-менеджмента. Такие отчеты облегчают совместную работу отделов ИТ и ИБ.

В MaxPatrol VM также появился специальный пакет фильтров (add-on), который оптимизирует работу с рекомендациями НКЦКИ по управлению уязвимостями. Готовые запросы, сформированные специалистами Positive Technologies, помогут автоматизировать алгоритм принятия решений по обновлению критически важного ПО. Чтобы получить add-on, необходимо обратиться в техподдержку.

Перед тем как исключить уязвимость из планового процесса патч-менеджмента, следует не только пройти весь алгоритм регулятора, но и убедиться, что уязвимость не используется активно в атаках злоумышленников. Такие уязвимости могут не иметь максимальной оценки по CVSS. В MaxPatrol VM можно быстро проверить наличие актуальных и критически опасных уязвимостей в сети с помощью виджета «Трендовые уязвимости».

Необходимо, чтобы для всех активов инфраструктуры была прописана политика патч-менеджмента. Если нет возможности обновить ПО и задать конкретные сроки устранения уязвимостей, то принимается решение о выведении узла из эксплуатации или отказе от конкретного ПО. Если и эти меры недоступны и применяются компенсационные меры, то важно не упускать такие активы из виду и вернуться к их обновлению, когда это будет возможно и безопасно. В MaxPatrol VM можно задать политику для исключения уязвимости из планового процесса патч-менеджмента с определенным сроком или бессрочно. Можно собрать виджеты для мониторинга, которые позволят контролировать уязвимость такого типа. поведала Анастасия Зуева, менеджер по продуктовому маркетингу Positive Technologies

2021

Включение в Реестр российского ПО

Система следующего поколения для управления уязвимостями, разработанная Positive Technologies, вошла в список продуктов, внесенных в единый реестр российского ПО. Об этом 28 июня 2021 года сообщили в Positive Technologies. В соответствии с приказом Минцифры РФ, с 27 мая 2021 года продукт включен в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия.

Система MaxPatrol VM позволяет выстроить полный цикл управления уязвимостями: от сбора информации об ИТ-активах, выявления и приоритизации уязвимостей по уровню их опасности до контроля их устранения. Выстраивание непрерывно действующего процесса управления уязвимостями позволит обеспечить реальную защищенность инфраструктуры компании.

«По нашим данным, доля хакинга среди методов атак на организацию растет по сравнению с 2020 годом. Отмечен рост рынков по продаже доступов в компании. При этом госучреждения остаются наиболее популярной целью атакующих, — отметила Анастасия Зуева, менеджер по продуктовому маркетингу Positive Technologies. — В MaxPatrol VM добавлен специальный обновляемый набор трендовых уязвимостей. Так специалисты по ИБ будут в курсе новых опасных уязвимостей, которые наиболее активно используются злоумышленниками, и смогут оперативно их закрыть».

Продукты, внесенные в реестр, рекомендованы к закупке госструктурами и компаниями с существенной долей государственного участия.

Анонс системы MaxPatrol VM

23 марта 2021 года компания Positive Technologies представила систему MaxPatrol VM. Решение указывает на главные угрозы для важнейших IT-активов организации, обеспечивая таргетированный подход в борьбе с уязвимостями c учетом значимости активов.

MaxPatrol VM

По информации компании, MaxPatrol VM позволяет выстроить полный цикл управления уязвимостями: от сбора информации об IT-активах, выявления и приоритизации уязвимостей по уровню их опасности до контроля их устранения. Система снижает нагрузку на подразделения ИТ и ИБ, автоматизируя большинство рутинных процессов, и оптимизирует эффективность мероприятий по защите.

Мы стремились к тому, чтобы злоумышленникам проникнуть в сеть компаний было сложно и дорого. Решить эту задачу при помощи классических систем анализа защищенности не получалось. Ведь уязвимостей слишком много, специалистов по ИБ слишком мало (они не успевают следить за всеми уязвимостями), желающих исправлять уязвимости еще меньше (поэтому даже важное остается без внимания), а главное — построенная на традиционных принципах сканирования система не видит всю инфраструктуру (это значит, где-то в сети есть легкодоступные важные узлы с большим количеством дыр, о которых никто не знает). рассказал Андрей Войтенко, глава продуктового маркетинга Positive Technologies

По данным опроса, проведенного Positive Technologies, больше всего времени специалистов по ИБ уходит на разбор результатов сканирования (43%), проверку устранения уязвимостей̆ (31%) и попытки убедить IT-специалистов в необходимости установить обновления (48%). Для оптимизации работы с уязвимостями необходимо четко представлять, какие из них наиболее опасны для инфраструктуры, вводить правила обработки уязвимостей и автоматизировать большинство рутинных процессов.

MaxPatrol VM автоматизирует управление уязвимостями с учетом уровня значимости компонентов сети для бизнеса, позволяет получать списки наиболее актуальных и опасных уязвимостей, а также контролировать своевременность их устранения. Выстраивание непрерывно действующего процесса управления уязвимостями позволит обеспечить реальную защищенность инфраструктуры компании.

Чтобы решить задачу полного сбора и идентификации активов мы потратили порядка девяти лет. Мы использовали в продукте опыт наших команд по анализу защищенности — и знаем, какие уязвимости используются offensive-специалистами, а также опыт экспертного центра безопасности (PT Expert Security Center, PT ESC) — и учитываем информацию из расследований и мониторинга о том, какие уязвимости используются группировками для взлома сетей. поведал Максим Филиппов, директор по развитию бизнеса Positive Technologies в России

MaxPatrol VM включает информацию о трендовых и наиболее опасных уязвимостях — о тех, которые нужно закрыть в первую очередь. Продукт информирует о уязвимостях, которые используются в атаках. Специалисту по ИБ не придется тратить время на чтение внешних ресурсов: сведения об обновленных опасных уязвимостях уже содержатся в продукте, в виджете «Трендовые уязвимости». Список уязвимостей регулярно дополняется экспертами Positive Technologies. Это поможет вовремя провести экстренную проверку значимых активов компании.

MaxPatrol VM собирает, обновляет и хранит полную информацию об активах компании. Таким образом пользователи могут без дополнительного сканирования обнаруживать уязвимости и реагировать на них быстрее — сразу же приступать к устранению или применять компенсирующие меры.

Даже если пользователь хорошо устраняет уязвимости на одном узле, но ничего не знает о соседнем, то бесполезно говорить о реальной защищенности компании. Далее активы необходимо ранжировать по тому, насколько уязвимости на них опасны для организации в целом. На активы с повышенной важностью будет обращено наибольшее внимание, и таких активов не должно быть много. Для этого в MaxPatrol VM реализована технология управления активами Security Asset Management (SAM). Она позволяет постоянно получать актуальные данные путем активного и пассивного сканирования, а также из внешних источников. прокомментировал Евгений Полян, менеджер по развитию продуктов платформы MaxPatrol 10 компании Positive Technologies

Система позволяет задать регламенты по сканированию и устранению уязвимостей, основываясь на том, как актив влияет на работоспособность важных сервисов для бизнеса, на конфиденциальность и целостность данных. Дашборды MaxPatrol VM наглядно демонстрируют работу отделов ИТ и ИБ, помогают контролировать защищенность инфраструктуры и сроки устранения уязвимостей.

MaxPatrol VM поддерживает интеграцию с другими продуктами Positive Technologies — системой выявления инцидентов в реальном времени MaxPatrol SIEM, системой глубокого анализа трафика PT Network Attack Discovery.