MaxPatrol 8 — Работа с системой

Введение

Друзья, добрый день.

Данную статью я хочу посвятить такому продукту, как MaxPatrol SIEM компании Positive Technologies уже более 17 лет разрабатывающей инновационные решения в области кибербезопасности.

В ней я постараюсь кратко описать основные задачи и мероприятия, с которыми сталкивается любой офицер ИБ во время своей деятельности и на примере продукта MaxPatrol SIEM рассказать, как их можно решить.

Также постараюсь описать его платформу и схему лицензирования.

Описание платформы

Перейдем теперь к самому продукту MaxPatrol SIEM от Positive Technologies. Сразу скажу, что разработчики компании поставили своей целью построить систему, обеспечивающую возможность проведения всех 3-х видов мероприятий в одном продукте:

50 слов о продукте

Система MaxPatrol 8 предназначена для объективной оценки уровня защищенности IТ-инфраструктуры компании. Система позволяет своевременно обнаружить уязвимости информационной системы, провести комплексный анализ сетевого оборудования, операционных систем, СУБД, прикладных и ERP-систем, веб-приложений, а также контролировать соответствие основным стандартам информационной безопасности (ISO 27001, PCI DSS, CIS).

Audit

Сканирование в режиме Audit используется для контроля обновлений, анализа конфигурации, локальной оценки стойкости паролей и т.д. Сканирование производится посредством удаленного доступа к объектам сканирования с использованием сетевых транспортов и учетных данных, при этом MaxPatrol 8 не требует наличия агента на сканируемом узле.

Сканирование в режиме Audit позволяет собрать наиболее полные данные об активах и установленных на них ПО и благодаря проверке с использованием учетной записи с необходимыми привилегиями выдает намного больше уязвимостей актива чем в сканирование в режиме Pentest.

Также в режиме Audit можно собирать данные о контроле целостности конкретных файлов и производить подбор учетных записей с помощью справочников аналогично сканированию в режиме Pentest.

Стоит отметить, что список поддерживаемых систем, которые можно просканировать режимом Audit большой, но есть и неподдерживаемые системы.

Compliance

Сканирование в режиме Compliance позволяет проводить проверки на соответствие требованиям различных стандартов. При этом могут быть учтены как простые технические проверки (длина или возраст паролей), так и более сложные, например, отсутствие устаревшего программного обеспечения.

Режим Compliance предусматривает обработку результатов сканирования, выполненных в режимах PenTest и Audit, а также добавляет проверки, специфичные для данного режима.

В MaxPatrol 8 существует достаточно большой перечень встроенных стандартов, которые содержат в себе рекомендации компетентных организаций (Best Practice) и международные или государственные стандарты (требования регуляторов).

Также режим Compliance может быть дополнительно настроен с учетом требований корпоративных стандартов.В системе MaxPatrol предусмотрено три механизма адаптации стандартов под корпоративные нужды:

1. Добавление/удаление «требований»
2. Переопределение параметров «требований»
3. Создание пользовательских проверок

Добавление/удаление «требований» позволяет сформировать необходимый набор требований «с нуля» или путем создания копии стандартного списка с последующим внесением изменений в него.

Переопределение параметров «требований» позволяет выполнить более тонкую настройку параметров некоторых требований. Изменение параметров можно осуществлять для отдельных требований.

Создание пользовательских проверок осуществляется с помощью добавления «универсальных проверок»

С помощью универсальных проверок можно проверить:

1. Состояние службы
2. Допуски к файлу
3. Контрольную сумму файла
4. Допуски к ключу реестра
5. Наличие или отсутствие определенной строки в файле конфигурации
6. Значение элемента реестра

Maxpatrol 8 — с чего начать?

Коллеги, добрый день!

Мы продолжаем цикл статей про решения Positive Technologies, разработчика инновационных средств защиты и лидера в области противодействия актуальным киберугрозам. Сегодня поговорим о системе контроля защищенности и соответствия стандартам MaxPatrol 8 и о том, с чего стоит начать работу при внедрении продукта.

Для начала пару слов о конфигурации.

В минимальном варианте MaxPatrol 8 представляет из себя лицензию сервера с модулем сканирования в режиме Pentest. Модули Audit и Compliance лицензируются отдельно. При заполнении вами опросника сотрудники Positive Technologies рассчитывают необходимый вам вариант конфигурации, в который могут быть включены дополнительные сканеры для ускорения процесса сканирования больших сетей, мобильные сканеры, размещенные на ноутбуках для возможности сканирования филиалов при маленькой пропускной способности канала или полного его отсутствия, а также сервера консолидации и обновления.

Итак, вы приобрели решение, произвели установку и активацию лицензии, что дальше?
В первую очередь вам необходимо определить для себя существует ли необходимость разделения полномочий для пользователей MaxPatrol 8. В случае необходимости рекомендуется создать различные группы пользователей, например “Администраторы ИТ” и “Администраторы ИБ”. Также можно создать отдельные роли для администраторов филиалов.

Про сертификаты:  Установка бесплатного TLS/SSL сертификата Let's Encrypt в IIS/RDS в Windows Server 2016/2012 R2 | Windows для системных администраторов

Для грамотной настройки системы в MaxPatrol 8 предусмотрена ролевая модель. Role-BAC позволяет гибко настроить доступ к нужным разделам соответствующим пользователям.

Так, например, ИТ-персонал может получить доступ в систему и настроить пул активов, которые необходимо сканировать, при этом осуществлять сканирования такая роль не сможет.

MaxPatrol 8 имеет крайне гибкую настройку привилегий как отдельных учетных записей, так и групп пользователей, например:

1. Настройки сервера (изменение, обновление, консолидация)
2. Создание учетных записей, используемых для сканирования активов
3. Создание и редактирование профилей сканирования
4. Создание и редактирование задач сканирования с разделением доступа к активам и сканерам
5. Создание и редактирование стандартов
6. Доступ к результатам сканирования
7. Создание и редактирование шаблонов отчетов, а также выпуск самих отчетов

Итак, вы разделили полномочия управления системой. Что дальше?
Следующим этапом является заведение активов в систему. Это можно выполнить несколькими способами, путем:

1. Ручного заведения активов
2. Импорта узлов из Active Directory
3. В режиме Host Discovery
4. Используя профиль сканирования Pentest Inventory

Ручное заведение

— позволяет подключить специфические активы не под управлением Windows. Заводить вручную весь перечень активов имеет смысл при небольшом количестве активов.

Импорт узлов из Active Directory — наиболее подходящий вариант для заведения Windows-активов. Импорт происходит посредством LDAP-запроса к серверу Active Directory. Соответственно необходимо иметь учетную запись для доступа к Active Directory.

Режим Host Discovery — производит поиск активов методом ICMP и TCP ping по заданному пулу адресов. При включении “Определение операционной системы” и “Определение имен” появляется возможность разделить в адресном пространстве активы по операционным системам.

Профиль сканирования Pentest Inventory — предназначен для обнаружения работающих узлов и открытых на них портов, а также определения служб (сервисов) и проведения инвентаризационных проверок.

Итак, активы заведены в систему, что дальше?

Дальше необходимо создать и завести в MaxPatrol 8 учетные записи для сканирования в режимах Audit и Compliance (подробнее о режимах сканирования можно будет прочитать в следующих статьях данного цикла материалов).

Для доменных активов необходима одна учетная запись с правами локального администратора.
Для всех не доменных активов при отсутствии централизованных систем аутентификации придется создавать локальные учетные записи с необходимыми привилегиями.

При большом количестве активов процесс становится долгим и непростым, но руководство администратора поможет вам настроить все необходимые учетные записи и завести их в MaxPatrol 8, кроме того есть примеры скриптов настройки учетных записей для различных систем. Но следует помнить, что учетные записи создают администраторы, для специалистов по ИБ важно согласовать создание таких учетных записей. В данном случае рекомендуется выстраивать правильные регламентированные отношения с администраторами IT, так как от таких отношений зависит правильное функционирование процесса в целом.

IT-отдел — важный игрок в данном случае, они настраивают системы, открывают доступы, согласуют время сканирования, устраняют уязвимости. Более того, речь не только о создании учетных записей, но и о подготовке систем для сканирования, так как для этого необходимо предоставить доступы по портам и т.д. Все это делают администраторы. Задача специалиста по ИБ подготовить необходимую информацию, и добиться того, чтобы узлы сканировались в полном объеме.

В результате кропотливой работы мы наконец можем начать сканирование, но об этом более подробно расскажем в следующих статьях данного цикла.

Maxpatrol siem aio (all-in-one)

Отдельно стоит упомянуть вариант лицензирования платформы All-in-one:

В зависимости от модели, комплекс MaxPatrol SIEM AIO имеет ограничение на максимальное количество сетевых узлов:

Если количество сетевых узлов увеличилось и превысило лицензионное ограничение – нужно будет приобретать специальную лицензию на расширение комплекса. Доступны три вида таких лицензий:

Также должен заметить на следующее ограничение для MaxPatrol SIEM AIO — оно не предусматривает возможности перехода с зачетом лицензий на программное обеспечение MaxPatrol SIEM.

Maxpatrol vm

MaxPatrol VM — система нового поколения для управления уязвимостями. Решение позволяет выстроить полноценный процесс vulnerability management и контролировать его как в штатном режиме, так и при экстренных проверках.

С его помощью вы можете:

• получать полные и постоянно актуализируемые данные о составе IT-инфраструктуры;
• учитывать значимость защищаемых активов;
• выявлять, приоритизировать и задавать правила обработки уязвимостей для IT-отдела,
• контролировать устранение уязвимостей,
• отслеживать общее состояние защищенности компании.

В основе MaxPatrol VM лежит уникальная технология управления активами Security Asset Management (SAM). Она позволяет MaxPatrol VM с помощью активного и пассивного сбора данных строить в каждый момент времени актуальную и полную модель наблюдаемой IT-инфраструктуры. За счет понимания IT-среды решение помогает выстроить и автоматизировать управление уязвимостями с учетом значимости компонентов сети для бизнес-процессов, охватить все системы компании, а также учитывать изменения инфраструктуры.

Про сертификаты:  Лицензия КриптоАРМ ViPNe на одном рабочем месте

MaxPatrol VM построена на базе единой платформы MaxPatrol 10, объединяющей продукты Positive Technologies для полной прозрачности сети и мониторинга безопасности. Продукты в составе MaxPatrol 10 (MaxPatrol SIEM, PT NAD) обогащают друг друга данными об активах, что позволяет MaxPatrol VM наиболее полно оценить защищенность IT-инфраструктуры.

С помощью интерактивных дашбордов пользователи системы смогут отслеживать состояние и актуальность сканирования наиболее значимых активов, появление новых неоцененных активов сети, контролировать количество особо опасных уязвимостей и метрики процесса устранения уязвимостей.

Pentest

Сканирование в режиме PenTest направлено на получение оценки защищенности со стороны внешнего злоумышленника. Основные характеристики данного режима:

1. Использование минимальных привилегий по отношению к тестируемой системе (анонимный доступ или доступ уровня пользователя)
2. Идентификация и анализ уязвимостей серверного программного обеспечения
3. Расширенная проверка нестандартных портов
4. Эвристические алгоритмы идентификации типов и версий сетевых служб по особенностям протоколов
5. Поиск уязвимостей и отсутствующих обновлений Microsoft Windows без использования учетной записи
6. Эвристический анализ веб-приложений
7. Эвристический механизм определения операционной системы
8. Проверка стойкости паролей

Существуют преднастроенные профили сканирования Pentest

Высоко-нагруженная система

Модульность продукта предоставляет очень широкие возможности при внедрении системы в инфраструктуру предприятия любой сложности и позволяет довольно легко реализовывать различные сценарии внедрения, например, такие как географически распределенные площадки с различным уровнем иерархии.

Гарантийная и техническая поддержка

Positive Technologies предоставляет систему MaxPatrol SIEM как в программном, так и в программно-аппаратном виде (физические сервера с установленным ПО).

Гарантийный срок действия технической поддержки на аппаратную платформу, поставляемую в рамках MaxPatrol SIEM составляет 5 лет.

Срок действия технической поддержки на программную составляющую MaxPatrol SIEM ограничивается сроком действия лицензии на продукт.

Техническая поддержка продукта включает в себя следующие услуги:

От себя хочу добавить, существует чат в telegram —

, в котором вы можете свободно общаться и консультироваться с разработчиками и пользователями системы.

Мероприятия иб

А теперь перейдем к более приземленным вещам и рассмотрим типовой ландшафт атаки злоумышленника — их меч, которым они угрожают инфраструктуре предприятий.

Зачастую атака на любую информационную систему состоит из 3-х основных этапов:

В противовес этому инженеры ИБ со своей стороны выстраивают следующие защитные мероприятия — их щит, которыми они защищают инфраструктуру предприятий:

Друзья, сразу хочу обратить ваше внимание, что многие путают 2 таких понятия:

Давайте рассмотрим каждый этап по обеспечению защитных мер отдельно:

• Превентивные мероприятия:
  • управление активами — прежде чем начать что-то защищать, специалист должен понять, что собственно ему нужно защитить. Для этого он проводит инвентаризацию:
    • информационных систем и их критичности для предприятия
    • сотрудников (да-да, сотрудник, по сути, также является активом организации, а иногда и довольно значимым и критичным) и их ролей
    • определяет взаимодействие между активами как на уровне систем, так и на уровне система-сотрудник и сотрудник-сотрудник
    • определяет текущие средства по защите информации (firewall, NGFW, IPS/IDS, антивирусы, системы предотвращения утечки, системы контроля аутентификации, системы защиты почты и многое-многое другое)
    • в идеале, конечно, все это должно быть описано в политике информационной безопасности предприятия, но, к сожалению, она имеется не всегда

  • управление уязвимостями — после того как специалист ИБ понял, что ему нужно защищать, ему нужно оценить текущий уровень уязвимостей его активов и текущий уровень их защиты. Для этого он собирает данные об уязвимостях информационных систем:
    • сканирует их различными сетевыми сканерами
    • проводит аудит — собирает информацию о настройках, аппаратном и программном обеспечении и проверяет его по базе данных уязвимостей, чтобы понять насколько опасные уязвимости в них содержатся
    • проводит ознакомление с компетентностью сотрудников по основам ИБ и непрерывно повышает ее (привет корпоративным почтовым рассылкам с теми или иными инструкциями, например, с просьбами не открывать письма или файлы с незнакомых e-mail адресов )
    • после анализа уязвимостей и критичности активов, на которых они были обнаружены, специалист совместно с руководством и владельцами активов принимает решение о том, что с этим делать, например:
• Детективные мероприятия — все те пункты, которые были описаны в таблице выше, по сути, относится к одному и тому же — мониторингу и работе с логами, и такими вещами, как анализ потоков трафика netflow и поиск в них:
• Коррективные мероприятия — это те мероприятия, которые проводятся при наступлении критичного события ИБ, когда уже произошла атака или была нарушена политика ИБ:

И как я раньше уже об этом говорил — все это должно быть непрерывным, то есть осуществляться постоянно и в режиме 24*7*365.

Отсюда возникают 3 таких важных критерия для любой системы SIEM:

Минимальная конфигурация (all-in-one)

В данной конфигурации все модули системы собраны на одном сервере.

Низко-нагруженная система

В данной конфигурации модуль MP Agent (сбор событий, проведение сканирований и аудита систем) выносится отдельно от остальных модулей.

Окончание срока действия лицензий

По окончании срока действия лицензий, они становятся недействительными. Это означает, что:

Для того чтобы этого не случилось, необходимо своевременно приобретать Лицензии продления.

Отчеты

На вкладке

Отчеты

мы можем либо воспользоваться стандартными отчетами, присутствующие в системе, либо настроить свои собственные шаблоны.

В системе существуют несколько типов отчетов:

1. Информация
2. Дифференциальный
3. Аналитический
4. Сравнительный аналитический
5. Динамический аналитический

Отчет типа ИнформацияСамый простой и наиболее используемый тип отчета – «Информация». К этому типу относится большинство стандартных шаблонов. Отчеты, сформированные на основе шаблона указанного типа, обычно содержат результаты одного или нескольких сканирований.

Дифференциальный отчетДифференциальный отчет предназначен для сравнения результатов двух сканирований и определения различий. Соответственно, при формировании такого отчета указываются эталонные и изучаемые данные. Это, например, могут быть два отдельных скана, выбираемые при генерации отчета. Способ выбора исходных данных (по скану или по задачам) указывается при настройке шаблона.

Аналитические отчетыОтчет «Сравнительный аналитический» позволяет получить картину состояния защищенности, выраженную в количественных показателях – метриках. При настройке шаблона или при формировании отчета указываются требуемые метрики.

Отчет Динамический аналитический позволяет увидеть динамику изменений названных показателей с течением времени.

Все отчеты могут быть сформированы в трех форматах:

1. web-archive (MHT)
2. PDF
3. XML

Также стоит отметить, что для формата XML существует несколько типовых шаблонов, некоторые из которые открываются с помощью Excel. Также можно бесплатно запросить разработку кастомного шаблона под свои нужды.

Пример отчета по шаблону paf_by_host_report:

Следует заметить, что вкладка «Отчеты» содержит не сами отчеты, а шаблоны для их формирования. Поскольку шаблон обычно используется многократно для формирования отчетов на основе различных данных, то при его настройке поля, предназначенные для выбора данных, оставляют пустыми.

Эти поля заполняются пользователем непосредственно в момент генерации отчета. С другой стороны, в ряде случаев требуется заполнение всех обязательных полей, например, при выпуске отчетов по расписанию.Отчеты также можно гибко настраивать фильтрами, добавляя или удаляя необходимые вам данные, Осуществлять фильтрацию только по определенным версиям ПО, ОС, рейтингу CVSS и т.д.

Например для вывода только уязвимостей, в которых присутствует идентификатор BDU необходимо осуществить фильтрацию по полю “fstec” со значением “exists”.

Сформированный пользователем отчет при необходимости может быть сохранен в виде файла на диске. Однако в некоторых случаях эту процедуру желательно автоматизировать, например, при запуске задач по расписанию. Для этой цели в MaxPatrol предусмотрены так называемые доставки, которые можно осуществлять через сетевой каталог или через электронную почту.

Схема лицензирования

Схема лицензирования MaxPatrol SIEM довольно сложна на первый взгляд, но не пугайтесь — присмотревшись повнимательнее, вы обнаружите, что она довольно-таки понятна и гибка. В любом случае — смело обращайтесь к своим партнерам, которые имеют сертификацию и работают с данным продуктом, и они вам помогут с расчетами.

В MaxPatrol SIEM имеется 2 типа основных лицензий:

Тут следует уточнить, что:

1. Единицей лицензирования базовой лицензии является сетевой узел. Сетевой узел – это не то же самое что источник событий. На одном сетевом узле может быть много источников событий: ОС, антивирус, СУБД и так далее. И наоборот, один источник событий может передавать информацию о множестве сетевых узлов, например, корпоративный брандмауэр. Таким образом, приобретение лицензии на 1000 узлов не означает, что количество подключаемых источников ограничивается 1000.
2. Сетевые узлы – это не только клиентские компьютеры пользователей, но также серверы, коммутаторы, виртуальные машины. Поэтому количество сетевых узлов в организации всегда больше количества пользователей (в среднем на 30-50%).
3. Для покупки MaxPatrol SIEM необходимы оба типа лицензий, Базовая и Инфраструктурные, то есть нельзя приобрести Инфраструктурные лицензии без приобретения Базовой лицензии на все количество сетевых узлов.
4. В минимальный комплект первоначальных лицензий обязательно входят PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV и PT-MPSIEM-AGT.

По окончании срока действия Первоначальной лицензии для дальнейшего использования MaxPatrol SIEM, Клиенту необходимо приобрести Лицензию продления обоих типов:

Количество и тип приобретаемых Лицензий продления полностью совпадает с количеством и типом приобретенных ранее Первоначальных лицензий. Лицензию продления легко отличить — она состоит из Первоначальной лицензии и индекса «-EXT» в конце, например, PT-MPSIEM-AGT-EXT означает Лицензию продления на MAXPATROL SIEM Agent. Таким образом лицензии продления это по сути своей и есть так называемая стоимость владения системой на последующие годы.