MaxPatrol 8

Ключевые возможности

Система MaxPatrol 8 основана на базе профессионального сканера уязвимостей XSpider. Существующие в XSpider механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок. Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети.

Основой MaxPatrol 8 является высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.

Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближенны к тем, которые используются реальными нарушителями, что позволяет не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений.

При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.

База знаний включает в себя системные проверки для большинства распространенных операционных систем линеек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.

В отличие от классических системных сканеров, MaxPatrol 8 не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) MaxPatrol 8 выбирает наиболее безопасный из них, что обеспечивает защиту чувствительных данных при передаче по сети.

Оценка защищенности

• Проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности.
• Автоматизация процессов контроля соответствия отраслевым и международным стандартам.
• Оценка эффективности подразделений ИТ и ИБ с помощью расширяемого набора метрик безопасности и KPI.
• Снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов.
• Автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений.
• Комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки.
• Встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NIST, CIS.
• Максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем.
• Поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли.

Сценарии внедрения

Система MaxPatrol спроектирована таким образом, чтобы приносить максимальную отдачу в различных ситуациях. Ниже приведено несколько возможных сценариев внедрения системы комплексного мониторинга информационной безопасности.

Повышение уровня зрелости

На определенном этапе существующий уровень системы менеджмента информационной безопасности перестает удовлетворять требованиям бизнеса. Информационная система может развиваться эволюционно, или по заранее обозначенному плану. Вне зависимости от этого, для качественного перехода на новый уровень зрелости требуется серьезная подготовка. Примером подобного перехода может стать внедрение международных и отраслевых стандартов.

Большинство ИТ и ИБ стандартов содержит в своей основе набор проблемных областей или защитных механизмов, влияющих как на бизнес-процессы, так и на технические аспекты инфраструктуры, на основе которых планируются вносимые изменения.

Перефразируя классический цикл Деминга-Шухарта можно выделить следующие этапы реализации задачи:

• Определение требований к новой информационной инфраструктуре.
• Оценка соответствия существующего положения дел выработанным требованиям.
• Выработка мер по улучшению уровню соответствия.
• Устранение несоответствий.

Система MaxPatrol 8 может эффективно применяться на каждом из этих этапов. Обширная база знаний стандартов и уязвимостей может использоваться для формирования требований к различным информационным системам и приложениям. В ходе внедрения Заказчик может определить собственные требования к информационным системам и процессам мониторинга информационной безопасности, или использовать наработки из базы знаний системы.

Механизм создания собственных списков соответствия позволяет разбить процесс повышения уровня зрелости на этапы, что дает возможность сконцентрироваться на ключевых задачах. Подробные описания проблем и рекомендации по устранению позволяют эффективно бороться с обнаруженными несоответствиями. Исторические аналитические отчеты и функции расчета численных метрик (KPI) играют незаменимую роль в ходе оценки динамики эффективности текущего состояния системы менеджмента информационной безопасности.

Таким образом, применение MaxPatrol 8 в этом случае позволяет:

• сформулировать требования к информационной инфраструктуре;
• регламентировать и автоматизировать процессы аудита систем;
• в кратчайшее время внедрить принятые технические стандарты;
• использовать объективные численные метрики (KPI) для оценки прогресса проекта.

Слияния и поглощения

Слияния и поглощения часто приводят к серьезному падению уровня информационной безопасности. Объединение информационных систем различного уровня, использующих разные подходы и инфраструктурные решения, никогда не проходит безболезненно. Зачастую перед ИТ- и ИБ- подразделениями ставится задача максимально быстро и эффективно «подтянуть» присоединяемую систему до принятого в Компании уровня. Существует множество подходов к решению этой задачи – от полной перестройки инфраструктуры до интеграции существующих решений без существенных изменений. Но в любом случае, задачи определения наиболее проблемных мест, оценка текущей готовности и отслеживание развития проекта являются важнейшими моментами процесса слияния ИТ- инфраструктур различных компаний.

Механизмы тестирования на проникновения и аудита системы MaxPatrol 8 позволяют оперативно оценить текущее состояние ИТ и ИБ присоединяемой компании, идентифицировать наиболее уязвимые узлы и системы. Автоматизация изменений может применяться для сбора и поддержания в актуальном состоянии информации о ресурсах системы, что является необходимым условием любого проекта. Функции контроля соответствия дают наглядное представление о различиях между требованиями, предъявляемыми к конфигурации и защите систем и сложившейся текущей ситуацией. Механизмы контроля и анализа изменений используются для оценки прогресса проекта.

Таким образом, применение MaxPatrol 8 в случае слияний и поглощений позволяет:

• поддерживать в актуальном состоянии информацию по активам системы;
• оперативно проводить технические аудиты ИТ и ИБ;
• получать оперативную техническую и управленческую информацию;
• в кратчайшее время внедрить принятые технические стандарты;
• использовать объективные численные метрики (KPI) для оценки прогресса проекта.

Эволюционное развитие и повышение эффективности

В настоящие время многие компании достигли высокого уровня развития систем менеджмента ИТ и ИБ. Доказательством этого факта является увеличение количества компаний, получивших признание в рамках тех или иных отраслевых стандартов.

Одной из важнейших задач, стоящих перед любой системой менеджмента, в том числе и системой менеджмента ИТ и ИБ, является постоянное самосовершенствование и повышение эффективности процессов. Однако, контроль и развитие невозможно без наличия актуальных и оперативных данных о текущем положении дел.

Система MaxPatrol 8 позволяет автоматизировать многие периодические задачи по инвентаризации, техническому аудиту, контролю соответствия и изменений в информационных системах. Автоматизация процессов позволяет снизить затраты на выполнение данных задач. Более того, использование технических средств дает возможность проводить проверки гораздо чаще, что положительно сказывается на актуальности используемой менеджментом информации. Фактически, время и трудозатраты, затрачиваемые на проверки ручным и автоматизированным методом, могут отличаться в десятки и сотни раз.

Получение точных и беспристрастных данных об уязвимостях и расхождениях с требованиями стандартов дает возможность использовать результаты MaxPatrol 8 в формировании метрик эффективности процессов ИБ.

Таким образом, применение MaxPatrol 8 в этом случае позволяет:

• регламентировать и автоматизировать процессы аудита систем;
• снизить трудозатраты и повысить эффективность процессов мониторинга и контроля изменений;
• отказаться от субъективных экспертных оценок в пользу однозначных воспроизводимых результатов;
• использовать объективные численные метрики (KPI) для оценки и повышения эффективности системы менеджмента ИБ.

Архитектура MaxPatrol: Безопасность

Защита данных

При передаче и хранении используются криптографические методы защиты, обеспечивающие конфиденциальность и целостность важной информации, такой как пароли пользователей, привилегии на доступ и т. д. Предусмотрена возможность использования сертифицированных реализаций отечественных криптографических алгоритмов.

Защита трафика обеспечивается с помощью цифровых сертификатов и протокола SSL/TLS, являющегося индустриальным стандартом, что обеспечивает высокую совместимость и защиту данных. Поддерживается интеграция с существующей инфраструктурой открытых ключей (PKI).

Разграничение доступа

Гибкая система разграничения прав доступа дает возможность производить мониторинг информационной безопасности на различных уровнях иерархии (например, на уровне администраторов, менеджеров по ИТ и ИБ подразделения, Директора по ИБ Компании). Для каждого из пользователей системы можно задать список задач, которые он может выполнять в системе, а также разрешения на операции над конкретными объектами системы. Так, администратору Web-серверов могут быть делегированы права на изменение профиля сканирования, запуск и просмотр результатов задачи по оценке защищенности управляемых им серверов, но запрещено изменять список сканируемых узлов. В тоже время разработчик Web-приложений будет иметь возможность только просматривать отчеты по результатам сканирования.

Разрешения могут назначаться на уровне MaxPatrol 8 Server или MaxPatrol 8 Consolidator. Такой подход позволяет адаптировать систему разграничения доступа практически под любую иерархию управления системой ИБ.