Найти и обезвредить
Просканируем вашу инфраструктуру, проанализируем риски незакрытых уязвимостей, обеспечим оптимальное использование ресурсов компании при работе с уязвимостями
Управление уязвимостями (Vulnerability Management) – это процесс, направленный на снижение ущерба от реализации угроз, обусловленных уязвимостью инфраструктуры.
Не все уязвимости несут одинаковый риск. Эффективное управление уязвимостями означает переход от метода «исправлять все и всегда» к разумной расстановке приоритетов по устранению угроз.
Не все уязвимости несут одинаковый риск. Эффективное управление уязвимостями означает переход от метода «исправлять все и всегда» к разумной расстановке приоритетов по устранению угроз.
Построение процесса управления уязвимостями
Сервис непрерывен и цикличен.
Каждый этап реализации поддерживается нашими специалистами.
Каждый этап реализации поддерживается нашими специалистами.
1
Инвентаризация
Выявление устройств в сети, их систематизация по группам для дальнейшей работы.
2
Сканирование и анализ
Список уязвимостей, с которыми можно и нужно работать. Предоставляем детальное описание уязвимостей и их возможное негативное влияние на бизнес.
3
Работа с уязвимостями
Рекомендации по устранению уязвимостей или минимизации рисков при невозможности устранения, а также поддержка и консультации администраторов.
4
Контроль
Отслеживаем изменение статусов устраняемых уязвимостей
Контролируем сроки закрытия
Выполняем проверку качества закрытия.
Контролируем сроки закрытия
Выполняем проверку качества закрытия.
В сервис управления уязвимостями входит
Проверка надежности используемых паролей
Мы найдем слабые пароли пользователей в домене и предложим их заменить.
- Выгружаем только хэш-суммы паролей
- Проверка по базе из более чем 100 млн паролей
- Проверка проводится ежедневно
Оповещение о 1-day уязвимостях
Как только в интернете станет известно о новой опасной уязвимости, или публичном эксплойте, мы вас оповестим.
- Среднее время оповещения — менее 6 часов
- Предоставим рекомендации по устранению
- Проконсультируем по устранению и минимизации риска
Управление уязвимостями информационной безопасности для финансовых организаций
(реализация Процесса №3 ГОСТ Р 57580.1-2017)
(реализация Процесса №3 ГОСТ Р 57580.1-2017)
Встраиваясь в процессы банка, сервис позволяет внедрить полный цикл работ с уязвимостями: от выявления до контроля устранения в соответствии с требованиями Центрального банка России с минимальной вовлеченностью заказчика.
Вопросы экспертам
Наличие сканеров не гарантирует защищенность инфраструктуры, так как результаты систем нужно тщательно анализировать и приоритезировать для дальнейшего реагирования. Этот процесс требует штата специалистов высокой квалификации, найм которых не всегда оправдан.
Наш сервис позволяет оптимизировать ресурсы на внедрение этого процесса и управление им. У нас есть все инструменты, выстроенные процессы и штат квалифицированных специалистов по информационной безопасности.
Наш сервис позволяет оптимизировать ресурсы на внедрение этого процесса и управление им. У нас есть все инструменты, выстроенные процессы и штат квалифицированных специалистов по информационной безопасности.
Да, так как это не противоречит требованиям ГОСТ Р 57580 и не предполагает раскрытия банковской тайны.
Наш сервис спроектирован таким образом, что никто кроме заказчика (и нас) не может получить доступ к информации о безопасности объектов защиты. Все процессы в рамках оказания услуги, происходящие в банке, остаются под контролем ответственных сотрудников банка.
Наши преимущества
Обладаем всеми необходимыми лицензиямиАкрибия имеет все необходимые лицензии для выполнения данного вида работ, включая лицензию ФСТЭК на мониторинг информационной безопасности средств и систем информатизации.
Высокая квалификация командыЧтобы качественно работать с уязвимостями необходимо иметь высокую квалификацию в самых разных областях. Таких специалистов оптимальнее привлекать по модели аутсорсинга.
Используем актуальные данные об уязвимостяхВ своей деятельности мы ориентируемся не только на результаты работы сканеров, но и на информацию об угрозах и атаках, ежедневно публикуемую в глобальных источниках Threat intelligence, включая ФинЦЕРТ.
Консультируем и помогаемВ ситуациях, когда не получается устранить уязвимость, мы консультируем и помогаем разобраться в случившемся.
Наш опыт
Классический случай
Объект: модуль удаленного управления, установленный на критичных серверах — более 500 шт.
Уязвимость: уровень критичности — 7.8
CVE-2013−4786 — уязвимость в протоколе IPMI, позволяющая злоумышленнику получить доступ к хэшам паролей пользователей, что приведет к несанкционированному доступу и потенциальному захвату аккаунта атакующим.
Описание кейса: Сложность в том, что патчи есть далеко не для всех материнских плат, использующих данный модуль. Для рассматриваемой инфраструктуры их не было. Требовалась перепрошивка каждого сервера, что привело бы к остановке работы.
Предложенные решения:
Где это возможно, отключить поддержку IPMI
Где невозможно — использовать сложные пароли, взлом хэша которых невозможен за разумное время, ограничить доступ к IPMI с помощью access list на межсетевых экранах.
Было принято решение отключить протокол.
Конкретно в данном случае реализовывать ограничения с помощью access list было сложно, так как серверы расположены в географически распределенных по стране объектах, межсетевые экраны в каждом объекте свои, требуется локальная настройка. Поэтому заказчик параллельно запланировал поэтапную сегментацию сети на этот-следующий годы, что должно минимизировать риск. Также были даны указания не приобретать в дальнейшем некоторые модели серверов, содержащих уязвимые модули.
Уязвимость: уровень критичности — 7.8
CVE-2013−4786 — уязвимость в протоколе IPMI, позволяющая злоумышленнику получить доступ к хэшам паролей пользователей, что приведет к несанкционированному доступу и потенциальному захвату аккаунта атакующим.
Описание кейса: Сложность в том, что патчи есть далеко не для всех материнских плат, использующих данный модуль. Для рассматриваемой инфраструктуры их не было. Требовалась перепрошивка каждого сервера, что привело бы к остановке работы.
Предложенные решения:
Где это возможно, отключить поддержку IPMI
Где невозможно — использовать сложные пароли, взлом хэша которых невозможен за разумное время, ограничить доступ к IPMI с помощью access list на межсетевых экранах.
Было принято решение отключить протокол.
Конкретно в данном случае реализовывать ограничения с помощью access list было сложно, так как серверы расположены в географически распределенных по стране объектах, межсетевые экраны в каждом объекте свои, требуется локальная настройка. Поэтому заказчик параллельно запланировал поэтапную сегментацию сети на этот-следующий годы, что должно минимизировать риск. Также были даны указания не приобретать в дальнейшем некоторые модели серверов, содержащих уязвимые модули.
Сканеры не нашли, а мы нашли
Объект: Устройства Cisco – более 1000 шт
Уязвимость: уровень критичности — 10.0
CVE-2018-0171 – уязвимость в функционале Cisco Smart Install, эксплуатация которой приводит к изменению конфигурации оборудования, в том числе изменению пароля, что может привести к получению злоумышленником полного доступа к устройству.
Описание кейса: сканерам не удалось обнаружить уязвимость, но ввиду ее распространенности, было принято решение проверить вручную, отдельным скриптом. После ручной проверки уязвимость была найдена и заказчику направили IP-адреса уязвимых хостов.
Предложенные решения:
отключить функционал Cisco Smart Install командой "no vstack" или
обновить прошивку на уязвимых устройствах в зависимости от используемой модели оборудования
Заказчик предпочел постепенно отключить неиспользуемый функционал, так как обновление прошивки затратнее. На момент последнего контроля оставалось 3 уязвимых устройства.
P/S Даже комбинация нескольких сканеров находит далеко не все. Наши специалисты ведут базу уязвимостей, поэтому при запуске очередного профильного сканирования (по определенному типу устройств) полученные результаты анализируются на предмет того – все ли из базы было найдено. Если нет, то запускаются скрипты (готовые или собственной разработки) с целью детекта конкретных уязвимостей.
Уязвимость: уровень критичности — 10.0
CVE-2018-0171 – уязвимость в функционале Cisco Smart Install, эксплуатация которой приводит к изменению конфигурации оборудования, в том числе изменению пароля, что может привести к получению злоумышленником полного доступа к устройству.
Описание кейса: сканерам не удалось обнаружить уязвимость, но ввиду ее распространенности, было принято решение проверить вручную, отдельным скриптом. После ручной проверки уязвимость была найдена и заказчику направили IP-адреса уязвимых хостов.
Предложенные решения:
отключить функционал Cisco Smart Install командой "no vstack" или
обновить прошивку на уязвимых устройствах в зависимости от используемой модели оборудования
Заказчик предпочел постепенно отключить неиспользуемый функционал, так как обновление прошивки затратнее. На момент последнего контроля оставалось 3 уязвимых устройства.
P/S Даже комбинация нескольких сканеров находит далеко не все. Наши специалисты ведут базу уязвимостей, поэтому при запуске очередного профильного сканирования (по определенному типу устройств) полученные результаты анализируются на предмет того – все ли из базы было найдено. Если нет, то запускаются скрипты (готовые или собственной разработки) с целью детекта конкретных уязвимостей.
Человеческий фактор
Объект: контроллер домена и ряда других устройств
Уязвимость: уровень критичности — 9.3
CVE-2017-0144 – уязвимость в протоколе SMB, позволяющая осуществить выполнение произвольного кода на сервере, а также раскрытие имеющейся информации (через данную группу уязвимостей распространялся шифровальщик WannaCry).
Описание кейса: на старте оказания услуг при плановом сканирования была обнаружена критичная уязвимость, единственно возможная рекомендация – ставить патч. Заказчик согласовал это решение, но по итогам контрольного сканирования уязвимость оставалась. После эскалации ситуации и личной встрече с Заказчиком выяснилось, что причиной послужил человеческий фактор - задача не была выполнена специалистом.
Последствия: в течение нескольких дней после игнорирования задачи, на рабочую станцию пользователя попало вредоносное ПО, успешно распространяющееся по сети, была проэксплуатирована данная уязвимость, что привело к выходу из строя контроллера домена.
Работы по восстановлению инфраструктуры заняли несколько месяцев.
Уязвимость: уровень критичности — 9.3
CVE-2017-0144 – уязвимость в протоколе SMB, позволяющая осуществить выполнение произвольного кода на сервере, а также раскрытие имеющейся информации (через данную группу уязвимостей распространялся шифровальщик WannaCry).
Описание кейса: на старте оказания услуг при плановом сканирования была обнаружена критичная уязвимость, единственно возможная рекомендация – ставить патч. Заказчик согласовал это решение, но по итогам контрольного сканирования уязвимость оставалась. После эскалации ситуации и личной встрече с Заказчиком выяснилось, что причиной послужил человеческий фактор - задача не была выполнена специалистом.
Последствия: в течение нескольких дней после игнорирования задачи, на рабочую станцию пользователя попало вредоносное ПО, успешно распространяющееся по сети, была проэксплуатирована данная уязвимость, что привело к выходу из строя контроллера домена.
Работы по восстановлению инфраструктуры заняли несколько месяцев.
Оставьте заявку
Мы свяжемся с вами для уточнения деталей запроса и предоставим подробную информацию по интересующей вас теме.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Все еще не уверены?
Узнайте, что говорят о нас наши клиенты.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.