Посмотрел запись онлайн-запуска Max­Pa­trol VM 2.0 и Max­Pa­trol HCC. Выписал некоторые тезисы. 🙂

По уязвимостям

В рамках пилотов Max­Pa­trol VM в организациях находят в среднем ~30к уязвимостей, из них ~50 особо критичных и легко эксплуатируемых.

Главное согласовать SLA на исправление уязвимостей в организации. Идеально укладываться в 24 часа для особо критичных (что и ФСТЭК рекомендует).

Большой акцент на "трендовые уязвимости", которые отбирает и подсвечивает PT на основе пентестов и хитрого анализа данных.

От меня: фокус на собственную приоритизацию сейчас у всех топовых VM-вендоров. Например, Ten­able VPR и Qualys TruRisk. Дело хорошее 👍

Информация о трендовых уязвимостях попадает в Max­Pa­trol VM с минимальной задержкой благодаря архитектурным изменениям в базе знаний. Привели пример кейса по добавлению трендовой уязвимости для софта (22:45), который в Max­Pa­trol VM вообще не поддерживается (Vir­tu­al­Box). Если вдруг будет трендовая супер-критичная уязвимость, несмотря на отсутствие поддержки, исследователь добавит её с SLA в 12 часов.

По контролю конфигураций

Новый модуль HCC, лицензируется отдельно. Проблематика — очень много противоречивых требований, соответствовать всему невозможно.

Предлагается следующий процесс:

Этап 1.
1. Определение регламента принятых стандартов. Возможно надергать требований из CIS Bench­marks, чтобы составить свой.
2. Определение правил и задач по работе со стандартом, которые направляются IT-специалисту.
3. Проверка соответствия активов.
4. Проводим trou­bleshoot­ing, возможно с видоизменением стандарта.
5. Принятие и внедрение стандарта на живую информационную систему.
Этап 2.
Работа с отчётами по нарушению требований (исправление или корректировка стандартов), разработка новых стандартов.

Сейчас в HCC доступный 17 стандартов PT Essen­tial (44:13). Они разработаны совместно с пентестерами:

Win­dows Desk­top
Win­dows Serv­er
Microsoft SQL Serv­er
Gener­ic Lin­ux
Ora­cle Data­base
VMware ESXi
VMware vCen­ter
Microsoft Exchange
RHEL-based Lin­ux
HP UX
IBM AIX
Lin­ux Ker­nel
Dock­er
Cis­co IOS
Cis­co IOS XE
Cis­co ASA года
Cis­co Nexus

Можно отслеживать коммуникацию с IT и выполнение установленных сроков в рамках политик.

Отдельного комплаенс сканирования нет, используется та же инвентаризация аудита. Проверки реализованы в виде запросов на собственном языке. Функционально можно сравнить с .audit от Ten­able. Есть шансы, что в перспективе дадут делать свои проверки на нем. 😉

Из PT Essen­tials можно надёргать требований и составить из них свой стандарт.

Подробнее про PT Essen­tial — Lin­ux Ker­nel

В ядре Lin­ux >30 млн. строк кода, 4000 разработчиков в год участвуют, каждый день 8000 строк меняются. Множество уязвимостей, особенно из-за ошибок доступа к памяти. Уязвимости добавляются быстрее, чем исправляются. Среднее время жизни критической уязвимости в ядре 5,5 лет. Проект Ker­nel Self Pro­tec­tion Project — "подушка безопасности" для устранения некоторых проблем как класса. Есть карта средств защиты ядра. Стандарт для ядра Lin­ux был реализован с использованием этой карты и собственной дефенс экспертизы. Эти же требования были использованы в стандарте по настройке Lin­ux систем от ФСТЭК. 👍

Методика ФСТЭК по оценке критичности уязвимостей

Теперь официально поддерживается в Max­Pa­trol VM. Про вопросы к реализации я уже раньше писал, это не sil­ver bul­let пока. Но и в таком виде работать в Max­Pa­trol VM проще, чем считать руками или скриптовать своё. Эта функциональность реализована в виде PDQL фильтра, такие фильтры будут доступны в общей библиотеке.

Добавили интеграцию с LAPS, чтобы избегать компрометации учёток с правами админа на многих хостах.

—

Крутой запуск! Многая лета новому поколению Com­pli­ance Management‑а в Max­Pa­trol HCC! Буду активно отслеживать эту тему. 🙂 И не только я. Валерий Ледовской из X‑cofig запустил канал по CM и тоже поделился впечатлениями от запуска HCC, зацените и подпишитесь! Взгляд со стороны прямых конкурентов это всегда любопытно. И чем больше будет авторских околоVM-ных каналов, тем лучше. 😉