Журнал "Information Security/ Информационная безопасность" #1, 2024

Патч-менеджмент Эффективное VM-решение не ограничивается одним лишь процессом выявления уязвимостей, а предлагает инструменты для их устранения. Ключе- вым механизмом для этого является установка обновлений операционной системы и прикладного программного обеспечения. Важным компонентом этого процесса является наличие в VM- продукте функционала патч-менедж- мента, который напрямую связан с выявленными уязвимостями. Такой функционал ускоряет достижение инфраструктурой необходимого уровня защищенности. Способность автоматически устанав- ливать обновления не только обеспечи- вает оперативное реагирование на новые угрозы, но и позволяет сократить окно уязвимости – период времени между обнаружением уязвимости и ее устранением. Дополнительным плюсом в контексте безопасности обновлений является про- ведение проверок по базам данных Федеральной службы по техническому и экспортному контролю (БДУ ФСТЭК). Это дополнительный уровень проверки, который обеспечивает соответствие установленных обновлений не только требованиям производителей, но и регу- ляторным стандартам безопасности, что поднимает уровень доверия к обнов- лениям и укрепляет общую защиту системы. Запуск в Kubernetes: горизонтальное масштабирование для сканирования огромных инфраструктур Для компаний с обширными инфра- структурами, насчитывающими десятки и сотни тысяч активов, критически важно иметь средства, способные обеспечивать оперативное сканирование и эффектив- ную обработку огромных объемов накоп- ленных данных. Эти данные включают в себя результаты сканирования, сгене- рированные отчеты, а также карточки активов и другие сведения. Важным аспектом является возможность пере- дачи таких данных в сторонние системы или предоставление аналитики в собст- венном интерфейсе. Современный подход предполагает для развертывания приложений исполь- зование оркестраторов, таких как Kuber- netes или Docker Swarm. Этим достига- ется эффективное горизонтальное мас- штабирование компонентов продукта и динамическое выделение дополнитель- ных ресурсов в моменты повышенной нагрузки на систему. Например, это может быть необходимо при сканирова- нии больших сегментов инфраструктуры, запросах больших объемов данных через API, расчетах метрик приоритизации или генерации значительного количества отчетов. Этот подход не только обеспечивает адаптивность и эффективность в обра- ботке масштабных задач, но также сни- жает вероятность простоев, улучшает производительность системы и зачастую является единственным способом опе- ративно обработать огромные объемы данных. Концепция "не навреди инфраструктуре заказчика" Поскольку различные компоненты решений класса Vulnerability Management непосредственно взаимодействуют с активами в виде агентов или обладают привилегированным доступом к ним (безагентное сканирование с использо- ванием учетных записей), становится важным, насколько бережно развернутая система взаимодействует с инфраструк- турой клиента. Современный подход к безопасности включает в себя внедрение в продукт специальных ограничений, реализующих принцип "не навреди" (not to damage first). Это означает, что система даже в случае компрометации должна пред- отвращать выполнение злоумышленни- ком разрушительных действий. Применение специальных протоколов, предусматривающих встроенные меха- низмы контроля и предотвращения неже- лательных операций, обеспечивают защиту взаимодействия с активами и между компонентами самой системы. Обязательным является введение мер безопасности, таких как ролевые модели доступа, защищенное хранение учетных записей, двухфакторная аутентифика- ция, ограничения для API-токенов, конт- роль целостности обновлений и испол- нимых файлов. Концепция "не навреди" создает дополнительный уровень безопасности, обеспечивая сохранность инфраструк- туры клиента даже при наличии потен- циальных внутренних угроз. Агентное сканирование внутри защищенного сегмента Ранее для проведения сканирования активов внутри защищенных сегментов требовалось предоставление сетевого доступа от VM-решения внутрь этого сегмента. Этот метод хоть и обеспечивал проведение сканирования, но также соз- давал определенные риски, связанные с потенциальным нарушением безопас- ности защищенного сегмента при откры- тии сетевого доступа. Современный подход к решению этой проблемы заключается в инициировании соединения от агента, работающего внут- ри защищенного сегмента, к VM-реше- нию. Это позволяет поддерживать защи- щенность сегмента, не открывая внешний сете- вой доступ. Такой метод не только соблюдает принцип "не раскрывай, если не тре- буется", но и обеспечивает сохранение уровня безопасности внутри защищен- ных сетей. Таким образом, соблюдается безопас- ность даже в процессе проведения ска- нирования, реализуя эффективный меха- низм взаимодействия между агентами и продуктом без нарушения защитных барьеров защищенных сегментов. Работа с любыми данными через REST API В современном бизнес-ландшафте многие крупные компании обладают значительными ресурсами и возможно- стями для создания собственных инфор- мационно-технологических процессов. Эти процессы, включая обнаружение и устранение уязвимостей в системах информационной безопасности, могут быть разработаны с учетом специфиче- ских требований и представлений ком- пании. В некоторых случаях организации строят собственные схемы детектиро- вания и устранения уязвимостей в соот- ветствии со своими внутренними про- цедурами и стандартами безопасности. Для таких компаний становится крити- чески важным наличие инструментария, который обеспечивает гибкость взаи- модействия со своими данными и интег- рацию с уже существующими процес- сами. VM-продукт, обладающий возмож- ностью работы с данными через встроен- ный API, предоставляет необходимые возможности для таких клиентов, поз- воляя интегрировать VM-решение в свои собственные процессы и системы. А наличие в API дополнительных серви- сов, реализующих логику обнаружения уязвимостей или работу с базой данных уязвимостей, дает возможность выстраи- вать свои процессы обнаружения уязви- мостей и обогащения данных. Такой подход к разработке и внед- рению VM-продукта позволяет клиен- там максимально эффективно исполь- зовать собственные ресурсы, обес- печивая гибкость и индивидуальный подход к обеспечению информацион- ной безопасности. Заключение Управление уязвимостями является одним из важнейших ИБ-процессов, поэтому в решениях класса Vulnerability Management необходима реализация подходов и технологий, которые будут способствовать эффективному обнару- жению и устранению уязвимостей, а также максимально адаптироваться к особенностям и потребностям кон- кретной инфраструктуры. l • 29 Управление Уязвимостями www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "ФРОДЕКС" см. стр. 70 NM Реклама