Мы занимаемся информационной безопасностью

MaxPatrol

Система контроля защищенности и соответствия стандартам

  1. Продукты
  2. Контроль защищенности

MaxPatrol

Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная компанией Positive Technologies, позволяет получать объективную оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной системы.

MaxPatrol настраивается под любые технические стандарты и работает для всех уровней — от администратора до руководителя предприятия. Использование MaxPatrol позволяет проводить аудит соответствия рекомендациям государственных стандартов.

Основные возможности MaxPatrol:

  • Проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности.
  • Автоматизация процессов контроля соответствия отраслевым и международным стандартам.
  • Оценка эффективности подразделений ИТ и ИБ с помощью расширяемого набора метрик безопасности и KPI.
  • Снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов.
  • Автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений.
  • Комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки.
  • Встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NSA, NIST, CIS.
  • Максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем.
  • Поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли.
    •

Система MaxPatrol основана на базе профессионального сканера уязвимостей XSpider. Существующие в XSpider механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок.

mp_p7.png

Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети.

Сетевой сканер

Основой MaxPatrol являет высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.

Тестирование на проникновение

Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближены к тем, которые используются реальными нарушителями, что позволяет не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений.

Анализ безопасности баз данных

Специализированные модули позволяют получить экспертную оценку защищенности популярных СУБД, таких как Microsoft SQL Server 2000/2005, Oracle 9i,10g. Проверки затрагивают все аспекты безопасности СУБД, такие как:

  • настройки сетевого взаимодействия
  • система аутентификации
  • механизмы разграничения доступа
  • права и привилегии пользователей
  • управление обновлениями.
    •

Анализ безопасности СУБД «изнутри» позволяет выявить уязвимости, которые либо невозможно, либо крайне сложно идентифицировать методами тестирования на проникновение.

Анализ безопасности Web-приложений

Модуль анализа безопасности Web-приложений позволяет идентифицировать уязвимости в наследуемых приложениях и приложениях собственной разработки. Эвристические механизмы позволяют обнаруживать большинство типичных ошибок, допускаемых при разработке Web-приложений: внедрение операторов SQL (SQL Injection), межсайтовое выполнение сценариев (Cross-Site Scripting, XSS) и др.

В создании модуля анализа безопасности Web-приложений принимали участие сотрудники Positive Technologies и внешние специалисты – признанные эксперты отрасли, участники международной организации Web Application Security Consortium (www.webappsec.ru), что позволило обеспечить высочайшее качество сканирования.

Системные проверки

При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.

База знаний включает в себя системные проверки для большинства распространенных операционных систем линек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.

В отличие от классических системных сканеров, MaxPatrol не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) MaxPatrol выбирает наиболее безопасный из них, что обеспечивает защиту чувствительных данных при передаче по сети.

В большинстве компаний многие из распространенных средств защиты уже используются или находятся на этапе внедрения. Так, трудно представить сейчас корпоративную сеть, в которой механизмы межсетевого экранирования, антивирусной защиты или установки обновлений не были реализованы в том или ином виде. В связи с этим, одним из наиболее важных моментов становится оценка эффективности существующих процессов ИБ с помощью метрик безопасности.

mp_concept1.png

Расширяемый набор метрик, входящих в MaxPatrol, позволяет контролировать текущее состояние и динамику изменений распространенных процессов информационной безопасности. В ходе внедрения, набор метрик может быть адаптирован под нужды Заказчика. Так, например, при внедрении решений класса DLP или контроля за действиями пользователей, можно контролировать количество и процент рабочих станций, на которых установлен агент системы. Данная простая метрика позволяет эффективно отслеживать прогресс проекта, а возможность рассчитывать её значение для различных групп компьютеров и подразделений – проводить анализ работы ИТ и ИБ специалистов. Важной характеристикой метрик безопасности является то, что они измеряются в абсолютных значениях (количество узлов, изменений и несоответствий), что позволяет легко спроецировать их на трудозатраты или перевести в денежное выражение.

Ниже приведены популярные метрики, контролируемые с помощью MaxPatrol:

  • Количество и процент рабочих станций с установленным антивирусным пакетом.
  • Количество и процент рабочих станций с обновленными антивирусными базами.
  • Количество нестандартных серверных портов и приложений на рабочих станциях/серверах.
  • Среднее время (задержка) развертывания критических обновлений.
  • Количество и процент систем, содержащих критические уязвимости.
  • Процент охвата систем корпоративными и международными стандартами.
  • Уровень соответствия (несоответствия) различных систем корпоративным и международным стандартам.
  • Количество и процент систем, работающих с системами сбора и корреляции событий безопасности.
  • Количество уязвимостей, возникающих в течение определенного промежутка времени (месяц, квартал, год).
  • Количество уязвимостей, устраняемых в течение определенного промежутка времени (месяц, квартал, год).
  • Количество уязвимостей, требующих устранения.
  • Среднее время устранения уязвимостей для различных подразделений.
  • Количество изменений конфигураций различных систем.
    •

Настраиваемые под требования Компании модули анализа для различных операционных систем и приложений позволяют проводить автоматическую проверку на соответствие техническим стандартам безопасности, а также рекомендациям производителей и «Best Practice». Наглядная картина соответствия требованиям политик может быть сформирована как для СУИБ Компании в целом, так и отдельных для подразделений, узлов и приложений.

mp_p9.png

Консолидация результатов анализа системы различными модулями позволяет контролировать политики различной степени сложности. Так, политика безопасности Web-приложения может включать в себя требования по отсутствию уязвимостей типа «SQL Injection», требования по настройке ОС, базы данных, Web-сервера Apache, настройке межсетевого экрана Cisco PIX и других компонентов, развернутых на нескольких узлах. Система MaxPatrol позволяет проверить все эти параметры в рамках одной сессии сканирования, проанализировав результаты работы модулей анализа безопасности Web-приложений, баз данных и системных проверок.

Система MaxPatrol содержит ряд готовых политик, основанных на рекомендациях производителей программ и активного сетевого оборудования, компетентных организаций, таких как NSA, NIST, CIS, DoD и т. д. Архитектура системы позволяет адаптировать проверки под конкретные требования, добавляя проверки для новых приложений и формируя политики на основе технических регламентов Компании. Это позволяет в любой момент времени иметь актуальную информацию об узлах, чьи состояния нарушают политику безопасности, и оперативно устранять несоответствия.

Использование MaxPatrol облегчает процесс внедрения лучших практик в области ИТ и ИБ, таких как COBIT, ITIL. Многие задачи (High Level Objectives) обозначенные в COBIT могут быть автоматизированы с помощью MaxPatrol:

  • AI6 Manage Changes
  • AI7 Install and Accredit Solutions and Changes
  • ME1 Monitor and Evaluate IT Processes
  • ME2 Monitor and Evaluate Internal Control
  • ME3Ensure Regulatory Compliance
  • ME4 Provide IT Governance
  • DS4 Ensure Continuous Service
  • DS5 Ensure Systems Security
  • DS8 Manage Service Desk and Incidents
  • DS9 Manage the Configuration
  • DS10 Manage Problems
    •

Комплексный подход к поиску уязвимостей позволяет MaxPatrol за одно сканирование проводить проверку на соответствие сложным стандартам безопасности. Так, механизмы сканирования MaxPatrol полностью соответствуют требованиям Payment Card Industry Data Security Standard (PCI DSS) Technical and Operational Requirements for Approved Scanning Vendors, таким как:

  • Поиск устаревших систем
  • Проверка стандартных учетных записей
  • Поиск троянских программ
  • Работа с защищенными протоколами (SSL/TLS)
  • Проверка сетевого оборудования, операционных систем,
  • приложений и СУБД
  • Проверка Web-служб собственной разработки
  • Анализ уязвимостей сетевых служб беспроводных устройств
    •

Инвентаризация и контроль изменений в постоянно изменяющихся и растущих информационных системах без использования средств автоматизации становятся практически невыполнимыми задачами. Но с другой стороны – наличие актуальных данных о ИС необходимо для эффективного функционирования системы управления ИБ.

Непрерывная инвентаризация

Автоматизированная инвентаризация информационных активов является важным компонентов системы управления ИТ и ИБ. Высокопроизводительный сетевой сканер, уникальные методы определения версий приложений, реализованные в MaxPatrol, дают возможность оперативно собирать информацию о существующих элементах ИТ инфраструктуры и отслеживать происходящие изменения.

mp_p11_inv.png

Функции инвентаризации, основанные на системных проверках, дают возможность минимизировать сетевой трафик и воздействие на системы, что позволяет чаще проводить сканирования и получать более актуальную информацию. Использование в ходе инвентаризации модулей анализа СУБД и приложений добавляют возможности контроля таких параметров, как учетные записи и группы пользователей, объекты баз данных. Результаты инвентаризации могут быть использованы для контроля изменений или документирования состояния системы или отдельных узлов.

Своевременное отслеживание изменений

Контроль изменений является одним из основополагающих моментов современных подходов к управлению информационной инфраструктурой, таких как ITIL, СOBIT. Для оценки эффективности предпринятых мер, планирования развития ИТ и ИБ требуется не только знать текущее состояние системы, но и иметь возможность сравнить его с состоянием, к примеру на прошлой неделе, в прошлом месяце.

mp_p11_change.png

Механизмы формирования отчетов в MaxPatrol позволяют отслеживать изменения состоянии всей информационной системы, отдельных ее подразделений и узлов. Примерами событий, контролируемых с помощью этого механизма, являются: появление новых сетевых узлов и служб, переустановка ОС, изменение аппаратной конфигурации.

Но возможности MaxPatrol не ограничиваются только отслеживанием изменений в инвентаризационной информации. Существуют возможности отслеживать изменения в параметрах безопасности систем, полученных в результате оценки защищенности и контроля политик безопасности. Это позволяет контролировать и оперативно реагировать на изменения в системе, которые могут приводить к нарушению требований безопасности и являться причиной инцидентов.