При создании модуля эксперты Security Vision постарались продумать все узкие места и слепые зоны, которые возникают у специалистов ИБ, для того чтобы процесс анализа, обогащения и коммуникации с другими отделами был прозрачным, удобным и максимально автоматизированным. Наиболее значимые функции:
Сканирование
В платформе Security Vision в рамках процесса классификации активов бизнес-владелец систем и технический администратор устанавливают для системы допустимые диапазоны сканирования, в рамках которых должен быть осуществлен процесс выявления уязвимостей. Каждая задача на сканирование для каждого сервера доступна для последующего анализа, в случае выявления негативного эффекта на системы. Инженер за считанные минуты сможет сказать, когда точно, с какой политикой и с какими ошибками началась и закончилась задача сканирования на конкретном оборудовании или рабочей станции.
Вне зависимости от ухода с российского рынка тех или иных производителей сканеров, мы продолжаем следить за изменениями форматов и методов ведущий производителей данного ПО, предоставляя нашим клиентам максимально доступную информацию поддерживаемых источников. На текучий момент в продукте поддерживаются такие источники, как: MaxPatrol 8\10, RedCheck, Tenable Nessus\Security Center, Qualys, Rapid7, SkyBox, Penterra.
Контекст
В качестве единицы учета в модуле «Управление уязвимостями» используется универсальный идентификатор уязвимости CVE или БДУ ФСТЕК и только при их отсутствии - собственные идентификаторы сканера. Благодаря встроенной базе знаний и внешним аналитическим сервисам каждая из уязвимостей не только имеет конкретные, принадлежащие именно ей постоянные и временные характеристики CVSS, но и постоянно обновляемую из внешних источников информацию о наличии эксплоитов, упоминаниях в известных компьютерных атаках и фреймворках хакеров, а также способах устранения и компенсирующих мерах.
Устранение уязвимостей и взаимодействие с ИТ подразделениями
Процесс устранения уязвимостей и взаимодействия с ИТ подразделениями в качестве основного объекта оперирует собственно технической задачей на устранение, то есть обновлением или компенсирующей мерой. Формирование подобного рода заявок происходит автоматически на основании Политики Устранения. Заявки, соответствующие указанной политике, могут автоматически транслироваться во внешнюю систему ИТ заявок. Security Vision поддерживает двусторонне взаимодействие со множеством современных тикетинг-систем, так что их интеграция не составит труда, а статусы, обновленные в одной из систем, автоматически будут обновлены в другой. Благодаря данным политикам специалисты кибербезопасности могут создавать критерии, по которым будет формироваться процесс не только регулярного, но и экстренного устранения, в случае, если обновление требуется для критических активов, доступ к которым с точки зрения сетевой топологии имеет большое количество пользователей. Аналогичным образом можно выстроить и заявки на тестирование.
Для упрощения работы с большим количеством заявок, принятые решения и компенсирующие меры могут быть автоматически скопированы на аналогичные заявки на устранение.
Работа с бюллетенями безопасности
В модуле реализована поддержка основных форматов бюллетеней производителей, таких как CVRF и OVAL. Бюллетени содержат не только списки уязвимостей и обновлений, но и конкретные технические рекомендации для дополнительной настройки, а также митигации уязвимостей, как в сфере расширенного логирования, так и непосредственные мероприятия по уменьшению или устранению поверхности атаки без применения обновлений.
Ролевая модель
Ролевая модель в платформе Security Vision позволяет не только ограничить доступ на просмотр и редактирование к определенным объектам. Она формирует для каждого участника процесса, в зависимости от его роли, собственного уникальное представление информации, его собственную витрину, в которой доступна только необходимая информация, а фокус внимания сосредоточен на тех аспектах, которые необходимы в рамках функции и компетенции сотрудника.
Подробнее об этих и других возможностях модуля «Управление уязвимостями»: https://www.securityvision.ru/blog/modul-upravlenie-uyazvimostyami-na-platforme-security-vision/