Имплементация платформы непрерывного риск-ориентированного управления уязвимостями

Заказчик

ТМХ ИНЖИНИРИНГ, ООО

Руководитель проекта со стороны заказчика

Олег Давиденко

руководитель отдела Подразделение по информационной и экономической безопасности

ИТ-поставщик

Tenable

Год завершения проекта

2021

Сроки выполнения проекта

Январь, 2021 - Май, 2021

Масштаб проекта

1100 автоматизированных рабочих мест

Цели

Всесторонний охват и прозрачность для всех активов инфраструктуры Организации, получение целостной картины по ИТ активам в режиме 24/7 как для корпоративных, так и для BYOD устройств;
Сбор информации с конечных устройств за счет средств активного и пассивного непрерывного мониторинга;
Реализовать концепцию максимальной производительности и скорости вычислений без ущерба для качества получаемой информации;
Не привязываться к одному стандарту расчета количественных оценок уязвимости;
Удовлетворить потребности внутренних клиентов за счет гибкости платформы и возможности кастомизации подсистемы аналитики под нужды смежных бизнес-подразделений;
Добиться максимально возможного покрытие всех уязвимостей с ежедневной частой обновления баз;
Одним решением для управления киберриском охватить все используемые технологии: IT/OT/WebApp/Containers;
Внедрить ролевой воркфлоу процесса управления киберриском и реализовать полный цикл устранения уязвимостей в рамках одного решения;
Не заваливать подразделение ИТ толстыми и бесполезными отчетами по найденным уязвимостям, а в качестве выходной информации получать step-by-step бюллетени для исправления релевантных уязвимостей и нивелированию киберриска;
Получать детализированную и обогащенную информацию по уязвимостям "из коробки" по разным векторам анализа

Уникальность проекта

Для решения задачи поиска уязвимостей и патч-менеджмента, в нашей организации использовался сканер уязвимостей. У нас были налажены процессы сканирования, определены регламенты сканирования, но для получения объективной и детализированной картины, нам не хватало функционала простого сканера.

Мы нуждались не просто в сканере уровня enterprise, а в некой аналитической платформе, которая стала бы, в своем роде, интерфейсом взаимодействия между техническими специалистами и лицами, принимающими решения, позволяя интерпретировать технические детали в язык, которой понимает бизнес – язык рисков.

Данный проект стал уникальным для нас, в силу того, что мы смогли объединить в одной платформе, потребности разных организационных единиц. Нам удалось интегрировать в платформу, процессы задействованных подразделений, что в конечном счете, позволило усилить заинтересованность смежных подразделений в направление кибербезопасности.

Мы внедрили продукт, который закрывает ряд, важных для организации задач, такие как: аналитика и приоритизация киберрисков, идентификация ИТ-ландшафта и ИТ-активов организации, мониторинг соблюдения требования внутреннего комплаенса для активов, проактивный мониторинг уязвимостей и получение детализированных отчетов по исправлениям.

Вышеупомянутые задачи требует вовлеченности не только службы ИБ, но и ряда других организационных единиц. Постоянными пользователями платформы непрерывного риск-ориентированного управления уязвимостями стали: верхнеуровневый менеджмент в лице CIO, CSO, который использует платформу как систему аналитики и предиктивного анализа киберрисков. Служба ИБ, использующие платформу для выполнения текущих операционных задач и, наконец, служба ИТ, которая получает транспарентную и актуальную картину по всему ИТ-ландшафту.

Проект решает задачи импортозамещения

Нет

Использованное ПО

В качестве платформы анализа и управление поверхностью киберриска было выбрано решение - Tenable.sc.

Tenable.sc позволяет закрыть все требования, предъявляемые к данному проекту, и имеет целый ряд конкурентных преимуществ:

Количество плагинов (проверок) на тестирование уязвимости;
Ежедневная частота обновления БД уязвимостей;
Количество покрытых CVE;
Медиана выпуска плагинов для критичных CVE – 24 часа;
Собственный рейтинг приоритета уязвимостей;
Мощная подсистема аналитики.

Tenable.sc позволяет совместно работать специалистам по информационной безопасности, аналитикам, аудиторам и ИТ специалистам, основываясь на единой базе активов, уязвимостей и угроз.

Программное обеспечение:

Tenable.sc - Единая платформа риск-ориентированного управления уязвимостями;
Nessus – активный сканер для одной распределённой зоны;
Nessus PVS - пассивный сканер для анализа трафика для одной распределённой зоны;
Nessus Agent - для чувствительных систем, где невозможно применение сетевого воздействия и использование без агентского сканирования.

Вспомогательные системы:

Graylog/Elasticsearch/MongoDB - система управления логами, tenable.sc импортирует критичные события в единый центр мониторинга логов, для оперативного реагирования;
Slack (WebHooks) - основной инструмент нотификации о найденных критичных уязвимостях.

Описание проекта

О РЕШЕНИИ

Интегрируемая платформа tenable.sc реализована в виде комплексного решения предназначенного для инвентаризации активов в реальном времени, непрерывного управления уязвимостями и детекции киберугроз, приоритезации киберрисков, проактивного поиска ошибок конфигураций. Продукт основан на современной клиент-серверной многозвенной архитектуре, включающей раздельные уровни централизованного управления, отчетности и различные варианты сбора данных: активные сетевые сканеры, пассивные сенсоры, агентские сканеры Платформа анализа и управление поверхностью киберриска, объединяет в себе живое обнаружение активов, оценку уязвимостей, данные TI, анализ журнальных данных и непрерывный сетевой мониторинг, что позволяет получать полноценную информацию о состоянии корпоративного киберриска.

ПРИНЦИПЫ РАБОТЫ

В рамках данного проекта произведена интеграция платформы непрерывного риск-ориентированного управления уязвимостями в ИТ-инфраструктуру компании, стоит так же отметить, что "ТМХ Инжиниринг" имеет распределенную структуру, в составе которой, филиалы располагаются на всей территории РФ. В каждом подразделение имеется свои собственные ИТ активы, которые включают в себя физические и виртуальные сервера, активное оборудование, рабочие станции, различные сервисы и приложения, BYOD девайсы и другие информационные активы и технологии. Для того что бы охватить весь спектр гетерогенной ИТ инфраструктуры были применены распределенные скан-ноды nessus. В совокупности активное и пассивное сканирование позволило собирать и перенаправлять в платформу tenable.sc информацию со всех площадок компании. Архитектурной особенностью tenable.sc является то, что вся информация о хостах и их уязвимостях, полученная в результате задач сканирования, хранится в едином репозитории. Это радикально упрощает управление уязвимостями, анализ и построение отчетов. Платформа tenable.sc позволяет собирать и анализировать внутри себя все данные, поступающие со сканеров nessus Результаты выполнения всех задач доступны в единой базе, по которой можно строить дашборды и отчеты, состоящие из множества разделов, каждый из которых, может использовать произвольные фильтры и отображать информацию за произвольные промежутки времени. Подсистема визуализации позволяет строить произвольные динамические дашборды, состоящие из множества различных виджетов. Информация, которую отображают виджеты, определяется запросами к базе уязвимостей. Подсистема отчетности аналогична по гибкости дашбордам и позволяет создавать отчеты, содержащие множество разделов с различными срезами и фильтрами данных. Система поставляется с более чем 100 готовыми отчетами в категориях: поиск хостов, управление уязвимостями и угрозами, соответствие стандартам, тренды индустрии, отчеты для руководства, мониторинг.

РЕЗУЛЬТАТЫ

Получили 100% охват и добились полной прозрачности инфраструктуры. За счет технологий активного и пассивного сканирования удалось в любой момент времени, получить полную информацию по типу устройства, операционным системам, открытым портам, сервисам и приложениям, новым устройствам в сети, используемым технологиям. Это позволило решить проблематику shadow IT и BYOD-устройств.
Повысили производительность и эффективность сканирования, за счет clientless-технологии, распределенных сканеров и многопоточных вычислений. За счет распределенной системы развертывания сканеров уменьшилось количество генерируемого трафика и сократилась нагрузка на пропускную способность каналов. Вследствие ежедневного обновления базы плагинов уязвимостей, мы добились максимально-возможного покрытия всех уязвимостей;
Переход от простого сканера уязвимостей к платформе непрерывного риск-ориентированного управления уязвимостями позволил начать оперировать внутри компании таким термином как киберриск. Под понятием киберриск мы понимаем обогащенный контекст найденной уязвимости. При анализе уязвимости, мы стали полагаться не только на скоринг количественной оценки уязвимости, а так же на такие данные как: отраслевой или бизнес контекст, влияние на организацию при эксплуатации, вероятность использования, наличие публичного эксплоита в сети применимого к найденной уязвимости, "возраст" уязвимости, тренды, в отношении найденной уязвимости и ее упоминание в Clear Net, Dark Net, прецеденты использования;
За счет подсистемы аналитики и отчетности пользователями системы стали лица ответственные за принятия решений и смежные подразделения. Стратегическое планирование и целеполагание в области ИТ стало опираться на данные полученные в результате работы платформы непрерывного риск-ориентированного управления уязвимостями;
Удалось перераспределить ресурсы на решение первоочередных проблем, что позволило повысить эффективность работы служб ИБ и ИТ. Ранжирование угроз, в силу обогащения данных дополнительным контекстом, позволило, в первую очередь, закрывать наиболее критичные для компании уязвимости и определять точки фокусов. За счет встроенного функционала workflow, были выстроены ролевые процессы по управлению киберриском в едином интерфейсы платформы. За счет модуля reports, ИТ-подразделение получает детализированные и кастомизируемые бюллетени и отчеты для исправления уязвимостей.

География проекта

Проект охватил все производственные площадки ТМХ Инжиниринг - Москва, Санкт-Петербург, Московская область, Тверь, Брянск, Новочеркасск, Ярославль.