Журнал "Information Security/ Информационная безопасность" #1, 2025

l Настройка регулярного и оперативного сканирования ИТ-инфраструктуры на уязвимости с использованием встроен- ного сканера R-Vision VM. l Приоритизация уязвимостей на основе их критичности и значимости активов. l Двусторонняя интеграция с системой Service Desk (Jira) для отправки в нее автоматически созданных задач на устранение уязвимостей. l Контроль выполнения задач и авто- матическая проверка устранения уязви- мостей. В ходе проекта особое внимание уде- лили интеграции R-Vision VM с суще- ствующими ИТ- и ИБ-системами хол- динга, включая CMDB (собственная раз- работка заказчика), Kaspersky Security Center, Microsoft Active Directory и Micro- soft SCCM (System Center Configuration Manager). Это позволило получить пол- ную картину по всем активам и уязви- мостям – как в центральном офисе, так и в филиалах. Собранные данные использовались для автоматического формирования ресурсно-сервисной модели активов, где учитывались различные факторы: тип оборудования, ОС, прикладное ПО, физическое расположение, состояние поддержки и уровень критичности для бизнес-процессов. Это позволило оце- нить влияние каждого актива на ключе- вые бизнес-процессы, что стало основой для последующей точной приоритизации уязвимостей. Далее специалисты настроили регу- лярное сканирование всех хостов на предмет наличия известных уязвимо- стей, включая трендовые, которые могут быть в ближайшее время использованы злоумышленниками для получения несанкционированного доступа или нару- шения работы систем. В R-Vision VM используются продвинутые алгоритмы сканирования, позволяющие оперативно выявлять уязвимости в зарубежных и отечественных ОС, ПО, сетевом обо- рудовании и базах данных. После выявления всех уязвимостей в R-Vision VM была настроена автомати- ческая приоритизация на основе собст- венной формулы. В расчет входят базо- вые характеристики уязвимости (оценка CVSS, наличие эксплойта и др.), а также критичность актива или группы активов. Это позволило быстро определить, на каких уязвимостях и активах необходимо сосредоточиться в первую очередь. Устранение и контроль Одним из ключевых запросов ИБ- команды холдинга было создание пол- ностью автоматизированного процесса контроля устранения уязвимостей с минимальным участием человека, при этом должна быть обеспечена высокая точность и оперативность обработки данных (см. рис. 1). После выявления и приоритизации уязвимостей в R-Vision VM автоматиче- ски создается задача на их устранение. Задача формируется на основании зара- нее заданных критериев. Например, если уязвимость с рейтингом выше 9 (крити- ческий) обнаружена на устройстве из группы критичных ИТ-активов, задача автоматически создается и передается в Jira вместе со списком всех затронутых хостов. Для задачи устанавливаются сроки выполнения и SLA для ИТ-под- разделения (см. рис. 2). После завершения работ ИТ-специа- листы переводят задачу в Jira в статус "требуется проверка" и отправляют в систему отчет об устранении. На этом этапе в R-Vision VM автоматически соз- дается задача на пересканирование с указанием IP-адресов соответствующих хостов. Результаты пересканирования поступают обратно в систему. Если уязвимости успешно устранены, соответствующие задачи автоматически закрываются. Далее система сверяет список устраненных уязвимостей с пер- воначальным перечнем. Если все уязви- мости закрыты, задача в Jira и R-Vision VM автоматически переводится в статус "закрыта". Если же какие-либо уязвимости оста- лись неустраненными, в задачу в Jira добавляется уведомление с их списком. Задача переоткрывается и процесс повторяется: данные обновляются, запус- кается очередное пересканирование, и уязвимости закрываются, после успеш- ного устранения. Если при запуске пересканирования один или несколько хостов недоступны, система автоматически фиксирует это и продолжает попытки до тех пор, пока все хосты не станут доступны, либо не закончится число попыток пересканирова- ния. После успешного ска- нирования выполняется сверка резуль- татов. Если хосты остаются недоступ- ными, то задача переоткрывается. В R-Vision VM предусмотрены и другие сценарии: l Если устранить уязвимость невозмож- но (например, отсутствует патч или при- сутствуют технологические ограничения), то в системе есть возможность зафик- сировать ее как "принятый риск" и уста- новить срок для повторной проверки. l Если уязвимость оказалась ложным срабатыванием, то ей можно присвоить соответствующий статус, чтобы в даль- нейшем она не учитывалась при оценке. Результаты внедрения R-Vision VM получение актуальных данных об активах. Система собирает и обновляет информацию о состоянии всех хостов во всех филиалах в течение 7–8 часов (в каждом филиале установ- лен свой коллектор). Ранее этот процесс занимал несколько дней. регулярное сканирование на уязвимости. Система автоматически сканирует около 5 тыс. хостов за 8 часов одним коллектором. При необходимости запускается внеочередное сканирование для проверки критических угроз. точная приоритизация уязвимо- стей . Приоритизация строится на основе критичности актива, рейтинга CVSS и дру- гих атрибутов, что позволяет сосредото- читься на устранении наиболее опасных уязвимостей и сократить время реакции на критические инциденты. Контроль устранения уязвимо- стей. Система автоматически создает задачи на устранение уязвимостей, отслеживает их статус и запускает пере- сканирование после выполнения работ. сокращение рутинных операций. Автоматизация обработки данных, созда- ния задач и контроля их устранения поз- волила сократить время выполнения еже- дневных рутинных операций на 90% по сравнению с предыдущим процессом. прозрачность взаимодействия между ит и иБ. Интеграция с Service Desk и автоматическое обновление ста- тусов задач упростили контроль за устра- нением уязвимостей и повысили согла- сованность между ИТ и ИБ. снижение рисков. Быстрое выявле- ние и устранение критических уязвимо- стей позволило уменьшить вероятность успешных атак на инфраструктуру. Внедрение R-Vision VM помогло хол- дингу построить централизованный и автоматизированный процесс управ- ления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением. l • 19 Управление Уязвимостями www.itsec.ru Рис. 2. Пример отображения задачи в интерфейсе АДРЕСА И ТЕЛЕФОНЫ R-VISION см. стр. 68 NM Реклама