Найти и обезвредить
Просканируем вашу инфраструктуру, проанализируем риски незакрытых уязвимостей, обеспечим оптимальное использование ресурсов компании при работе с уязвимостями
Управление уязвимостями (Vulnerability Management) — это процесс, направленный на снижение ущерба от реализации угроз, обусловленных уязвимостью инфраструктуры.
Не все уязвимости несут одинаковый риск. Эффективное управление уязвимостями означает переход от метода «исправлять все и всегда» к разумной расстановке приоритетов по устранению угроз.
Не все уязвимости несут одинаковый риск. Эффективное управление уязвимостями означает переход от метода «исправлять все и всегда» к разумной расстановке приоритетов по устранению угроз.
Построение процесса управления уязвимостями
Сервис непрерывен и цикличен.
Каждый этап реализации поддерживается нашими специалистами.
Каждый этап реализации поддерживается нашими специалистами.
1
Инвентаризация
Выявление устройств в сети, их систематизация по группам для дальнейшей работы.
2
Сканирование и анализ
Приоритизированный список уязвимостей, с которыми можно и нужно работать. Предоставляем детальное описание уязвимостей и их возможное негативное влияние на бизнес.
3
Работа с уязвимостями
Рекомендации по устранению уязвимостей или минимизации рисков при невозможности устранения, а также поддержка и консультации администраторов.
4
Контроль
Отслеживаем изменение статусов устраняемых уязвимостей
Контролируем сроки закрытия
Выполняем проверку качества закрытия.
Контролируем сроки закрытия
Выполняем проверку качества закрытия.
Возможности по обнаружению уязвимостей
Специализированные сканеры
Мы используем несколько сканеров, которые лучше всего себя показывают при работе с определенными типами активов
- Все сканеры входят в сервис, вам не нужно их отдельно покупать
- Если у вас уже куплен сканер, то мы сможем встроить его в сервис
- График сканирования гибко настраивается
Проверка надежности используемых паролей
Мы найдем слабые пароли пользователей в домене и предложим их заменить.
- Выгружаем только хэш-суммы паролей
- Проверка по базе из более чем 100 млн паролей
- Проверка проводится ежедневно
Оповещение о 1-day уязвимостях
Как только в интернете станет известно о новой опасной уязвимости, или публичном эксплойте, которые могут затронуть вашу инфраструктуру, мы вас оповестим.
- Среднее время оповещения — менее 6 часов
- Предоставим рекомендации по устранению
- Проконсультируем по устранению и минимизации риска
Проверка конфигураций
Часть уязвимостей вызваны ошибками при настройке оборудования/ПО, поэтому мы регулярно проверяем конфигурации на соответствие лучшим практикам (бенчмаркам)
- Проверим тысячи настроек в ОС, сетевом оборудовании и других устройствах/ПО
- Предоставим рекомендации по устранению
- Проконсультируем по устранению и минимизации риска
Отличия использования сервиса от сканера защищенности
Сервис представляет собой следующий уровень развития управления уязвимостями
- Готовый в работе полноценный процесс управления уязвимостямиМы предоставляем готовый процесс с анализом, приоритизацией, разработкой рекомендаций, в т. ч. компенсирующих мер, управлением устранением по SLA и отчетностью, помогающей отслеживать состояние ИБ и принимать взвешенные решения
- Команда аналитиковНа вас работает команда аналитиков, которая разрабатывает рекомендации, адаптированные под вашу инфраструктуру, а также готовая проконсультировать по всем вопросам. Вам не нужно расширять штат для закрытия вопроса управления уязвимостями
- Использование специализированных сканеровДля различных типов активов используются разные специализированные инструменты вместо одного сканера для всего
- Система Acribia.SOCAcribia.SOC объединяет в одном месте всех участников процесса управления уязвимостями, помогает выстроить правильные коммуникации, содержит информативные отчеты и всю необходимую текущую и ретроспективную информацию
- Функции, недоступные сканеруМы предоставляем дополнительные возможности, такие как проверка паролей и оповещение о 1-day уязвимостях (Threat Intelligence). Это позволяет оперативно выявлять проблемы, о которых сканеры еще или в принципе не в курсе
- КастомизацияПроцесс управления уязвимостями гибко настраивается под каждого заказчика. Кроме того, при развитии Acribia. SOC мы всегда прислушиваемся к пожеланиям наших заказчиков
Управление уязвимостями информационной безопасности для финансовых организаций
(реализация Процесса № 3 ГОСТ Р 57 580.1−2017)
(реализация Процесса № 3 ГОСТ Р 57 580.1−2017)
Встраиваясь в процессы банка, сервис позволяет внедрить полный цикл работ с уязвимостями: от выявления до контроля устранения в соответствии с требованиями Центрального банка России с минимальной вовлеченностью заказчика
Вопросы экспертам
Наличие сканеров не гарантирует защищенность инфраструктуры, так как результаты нужно тщательно анализировать и приоритизировать для дальнейшего реагирования. Этот процесс требует штата специалистов высокой квалификации, найм которых не всегда оправдан.
Наш сервис позволяет оптимизировать ресурсы на внедрение этого процесса и управление им. У нас есть все инструменты, выстроенные процессы и штат квалифицированных специалистов по информационной безопасности.
Наш сервис позволяет оптимизировать ресурсы на внедрение этого процесса и управление им. У нас есть все инструменты, выстроенные процессы и штат квалифицированных специалистов по информационной безопасности.
Да, так как это не противоречит требованиям ГОСТ Р 57 580 и не предполагает раскрытия банковской тайны.
Наш сервис спроектирован таким образом, что никто кроме заказчика (и нас) не может получить доступ к информации о безопасности объектов защиты. Все процессы в рамках оказания услуги, происходящие в компании, остаются под контролем ответственных сотрудников.
Наши преимущества
-
Обладаем всеми необходимыми лицензиямиАкрибия имеет все необходимые лицензии для выполнения данного вида работ, включая лицензию ФСТЭК на мониторинг информационной безопасности средств и систем информатизации. -
Высокая квалификация командыЧтобы качественно работать с уязвимостями необходимо иметь высокую квалификацию в самых разных областях. Таких специалистов оптимальнее привлекать по модели аутсорсинга. -
Используем актуальные данные об уязвимостяхВ своей деятельности мы ориентируемся не только на результаты работы сканеров, но и на информацию об угрозах и атаках, ежедневно публикуемую в глобальных источниках Threat intelligence, включая ФинЦЕРТ. -
Консультируем и помогаемВ ситуациях, когда не получается устранить уязвимость, мы консультируем и помогаем разобраться в случившемся.
Наш опыт
Классический случай
Объект: модуль удаленного управления, установленный на критичных серверах — более 500 шт.
Уязвимость: уровень критичности — 7.8
CVE-2013−4786 — уязвимость в протоколе IPMI, позволяющая злоумышленнику получить доступ к хэшам паролей пользователей, что приведет к несанкционированному доступу и потенциальному захвату аккаунта атакующим.
Описание кейса: Сложность в том, что патчи есть далеко не для всех материнских плат, использующих данный модуль. Для рассматриваемой инфраструктуры их не было. Требовалась перепрошивка каждого сервера, что привело бы к остановке работы.
Предложенные решения:
Где это возможно, отключить поддержку IPMI
Где невозможно — использовать сложные пароли, взлом хэша которых невозможен за разумное время, ограничить доступ к IPMI с помощью access list на межсетевых экранах.
Было принято решение отключить протокол.
Конкретно в данном случае реализовывать ограничения с помощью access list было сложно, так как серверы расположены в географически распределенных по стране объектах, межсетевые экраны в каждом объекте свои, требуется локальная настройка. Поэтому заказчик параллельно запланировал поэтапную сегментацию сети на этот-следующий годы, что должно минимизировать риск. Также были даны указания не приобретать в дальнейшем некоторые модели серверов, содержащих уязвимые модули.
Уязвимость: уровень критичности — 7.8
CVE-2013−4786 — уязвимость в протоколе IPMI, позволяющая злоумышленнику получить доступ к хэшам паролей пользователей, что приведет к несанкционированному доступу и потенциальному захвату аккаунта атакующим.
Описание кейса: Сложность в том, что патчи есть далеко не для всех материнских плат, использующих данный модуль. Для рассматриваемой инфраструктуры их не было. Требовалась перепрошивка каждого сервера, что привело бы к остановке работы.
Предложенные решения:
Где это возможно, отключить поддержку IPMI
Где невозможно — использовать сложные пароли, взлом хэша которых невозможен за разумное время, ограничить доступ к IPMI с помощью access list на межсетевых экранах.
Было принято решение отключить протокол.
Конкретно в данном случае реализовывать ограничения с помощью access list было сложно, так как серверы расположены в географически распределенных по стране объектах, межсетевые экраны в каждом объекте свои, требуется локальная настройка. Поэтому заказчик параллельно запланировал поэтапную сегментацию сети на этот-следующий годы, что должно минимизировать риск. Также были даны указания не приобретать в дальнейшем некоторые модели серверов, содержащих уязвимые модули.
Сканеры не нашли, а мы нашли
Объект: Устройства Cisco — более 1000 шт.
Уязвимость: уровень критичности — 10.0
CVE-2018−0171 — уязвимость в функционале Cisco Smart Install, эксплуатация которой приводит к изменению конфигурации оборудования, в том числе изменению пароля, что может привести к получению злоумышленником полного доступа к устройству.
Описание кейса: сканерам не удалось обнаружить уязвимость, но ввиду ее распространенности, было принято решение проверить вручную, отдельным скриптом. После ручной проверки уязвимость была найдена и заказчику направили IP-адреса уязвимых хостов.
Предложенные решения:
отключить функционал Cisco Smart Install командой «no vstack» или обновить прошивку на уязвимых устройствах в зависимости от используемой модели оборудования
Заказчик предпочел постепенно отключить неиспользуемый функционал, так как обновление прошивки затратнее. На момент последнего контроля оставалось 3 уязвимых устройства.
P/S Даже комбинация нескольких сканеров находит далеко не все. Наши специалисты ведут базу уязвимостей, поэтому при запуске очередного профильного сканирования (по определенному типу устройств) полученные результаты анализируются на предмет того — все ли из базы было найдено. Если нет, то запускаются скрипты (готовые или собственной разработки) с целью детекта конкретных уязвимостей.
Уязвимость: уровень критичности — 10.0
CVE-2018−0171 — уязвимость в функционале Cisco Smart Install, эксплуатация которой приводит к изменению конфигурации оборудования, в том числе изменению пароля, что может привести к получению злоумышленником полного доступа к устройству.
Описание кейса: сканерам не удалось обнаружить уязвимость, но ввиду ее распространенности, было принято решение проверить вручную, отдельным скриптом. После ручной проверки уязвимость была найдена и заказчику направили IP-адреса уязвимых хостов.
Предложенные решения:
отключить функционал Cisco Smart Install командой «no vstack» или обновить прошивку на уязвимых устройствах в зависимости от используемой модели оборудования
Заказчик предпочел постепенно отключить неиспользуемый функционал, так как обновление прошивки затратнее. На момент последнего контроля оставалось 3 уязвимых устройства.
P/S Даже комбинация нескольких сканеров находит далеко не все. Наши специалисты ведут базу уязвимостей, поэтому при запуске очередного профильного сканирования (по определенному типу устройств) полученные результаты анализируются на предмет того — все ли из базы было найдено. Если нет, то запускаются скрипты (готовые или собственной разработки) с целью детекта конкретных уязвимостей.
Человеческий фактор
Объект: контроллер домена и ряд других устройств
Уязвимость: уровень критичности — 9.3
CVE-2017−0144 — уязвимость в протоколе SMB, позволяющая осуществить выполнение произвольного кода на сервере, а также раскрытие имеющейся информации (через данную группу уязвимостей распространялся шифровальщик WannaCry).
Описание кейса: на старте оказания услуг при плановом сканирования была обнаружена критичная уязвимость, единственно возможная рекомендация — ставить патч. Заказчик согласовал это решение, но по итогам контрольного сканирования уязвимость оставалась. После эскалации ситуации и личной встрече с Заказчиком выяснилось, что причиной послужил человеческий фактор — задача не была выполнена специалистом.
Последствия: в течение нескольких дней после игнорирования задачи, на рабочую станцию пользователя попало вредоносное ПО, успешно распространяющееся по сети, была проэксплуатирована данная уязвимость, что привело к выходу из строя контроллера домена.
Работы по восстановлению инфраструктуры заняли несколько месяцев.
Уязвимость: уровень критичности — 9.3
CVE-2017−0144 — уязвимость в протоколе SMB, позволяющая осуществить выполнение произвольного кода на сервере, а также раскрытие имеющейся информации (через данную группу уязвимостей распространялся шифровальщик WannaCry).
Описание кейса: на старте оказания услуг при плановом сканирования была обнаружена критичная уязвимость, единственно возможная рекомендация — ставить патч. Заказчик согласовал это решение, но по итогам контрольного сканирования уязвимость оставалась. После эскалации ситуации и личной встрече с Заказчиком выяснилось, что причиной послужил человеческий фактор — задача не была выполнена специалистом.
Последствия: в течение нескольких дней после игнорирования задачи, на рабочую станцию пользователя попало вредоносное ПО, успешно распространяющееся по сети, была проэксплуатирована данная уязвимость, что привело к выходу из строя контроллера домена.
Работы по восстановлению инфраструктуры заняли несколько месяцев.
Оставьте заявку
Мы свяжемся с вами для уточнения деталей запроса и предоставим подробную информацию по интересующей вас теме.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Все еще не уверены?
Узнайте, что говорят о нас наши клиенты.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.