Обзор новых возможностей R-Vision VM 5.4, российской системы управления уязвимостями

1. Введение
2. Системные требования R-Vision VM 5.4
3. Функциональные возможности R-Vision VM 5.4
4. Применение R-Vision VM 5.4
   1. 4.1. Инвентаризация активов и выявление уязвимостей
      1. 4.1.1. Взаимодействие со внешними системами
      2. 4.1.2. Аудит устройств с ОС Windows
      3. 4.1.3. Аудит стороннего программного обеспечения
      4. 4.1.4. Аудит сетевого оборудования
      5. 4.1.5. Профили сканирования
      6. 4.1.6. Режим «Тестирование на проникновение»
      7. 4.1.7. Взаимодействие с БДУ ФСТЭК России
   2. 4.2. Приоритизация уязвимостей
      1. 4.2.1. Рейтинг уязвимостей
      2. 4.2.2. Мониторинг активно эксплуатируемых уязвимостей
   3. 4.3. Устранение уязвимостей и контроль
      1. 4.3.1. Задачи на устранение уязвимостей
      2. 4.3.2. Дашборды
5. Выводы

Введение

По данным экспертов в области тестирования на проникновение, 96 % российских компаний имеют уязвимости, которые могут быть использованы для атак на их локальные сети. При этом третья часть выявленных брешей связана с применением устаревшего программного обеспечения. Ситуация усугубляется тем, что многие зарубежные решения больше не поддерживаются: это создаёт дополнительные сложности, затрудняя установку критически важных обновлений.

В ответ на нарастающие угрозы российские компании начинают активнее внедрять решения в области управления уязвимостями (Vulnerability Management, VM). Этот класс решений позволяет оперативно выявлять бреши и применять эффективные меры по их нейтрализации. 

В прошлом году мы опубликовали обзор российской системы управления уязвимостями R-Vision VM, с помощью которой можно выстроить и автоматизировать полноценный корпоративный процесс Vulnerability Management, включающий в себя разнообразные инструменты и технологии для обнаружения, анализа и контроля устранения уязвимостей. 

В 2024 году разработчик значительно доработал и усовершенствовал систему, представив её новую версию — R-Vision VM 5.4, которую мы и рассмотрим в сегодняшнем обзоре.

Системные требования R-Vision VM 5.4

Системные требования к аппаратному обеспечению зависят от варианта исполнения и количества сканируемых активов. Требования предъявляются с учётом скорости сетевого соединения не менее 100 Мбит/с.

Таблица 1. Системные требования R-Vision VM

Функциональные возможности R-Vision VM 5.4

R-Vision позволяет выстроить полноценный процесс управления уязвимостями, состоящий из следующих ключевых этапов: первоначальная инвентаризация активов, выявление брешей, расстановка приоритетов по уровням критической значимости, устранение выявленных уязвимостей и последующий контроль. Каждый из этапов нацелен на решение конкретных задач, что способствует более эффективному и комплексному подходу к безопасности.

Обновлённая версия R-Vision VM имеет ряд полезных функций:

• расширена линейка поддерживаемых ОС на базе Linux (добавлены Alt Linux, SberLinux, CentOS, FreeBSD и многие другие);
• появились сканирование инфраструктуры в режиме «чёрного ящика» и возможность подбора паролей (brute-force) для наиболее распространённых сервисов и систем;
• стал возможен аудит стороннего зарубежного и российского ПО (более 100 наименований), включая наиболее известные СУБД;
• обеспечено взаимодействие с БДУ ФСТЭК России;
• добавлен аудит сетевого оборудования (Cisco, Check Point, Huawei и др.);
• реализован мониторинг наиболее активно эксплуатируемых уязвимостей.

Рассмотрим сценарии использования R-Vision VM на основных этапах процесса управления уязвимостями, обращая внимание на новые возможности, которые она предлагает. Более детально ознакомиться с работой в R-Vision VM можно в предыдущем обзоре.

Применение R-Vision VM 5.4

Система R-Vision VM обладает интуитивно понятным интерфейсом, что позволяет настроить процесс управления уязвимостями и адаптировать его под потребности конкретной организации в соответствии с корпоративными стандартами и требованиями.

Инвентаризация активов и выявление уязвимостей

Инвентаризация — предварительный этап в процессе управления уязвимостями. Она позволяет выявить все устройства в инфраструктуре, включая теневые активы, которые часто остаются незамеченными. Технологии R-Vision обеспечивают разные методы сканирования: как без агентов (по протоколам WinRM и SSH), так и с ними. Для инвентаризации и сбора данных используется встроенный в систему механизм сканирования устройств и поиска уязвимостей.

Рисунок 1. Параметры задачи по сканированию в R-Vision VM 5.4

Взаимодействие со внешними системами

R-Vision поддерживает взаимодействие со сканерами уязвимостей, антивирусами, CMDB-системами и другими источниками, содержащими сведения об активах организации. Также имеется конструктор интеграций, который позволяет написать собственный механизм взаимодействия на языке программирования Python.

Рисунок 2. Настройка интеграции в R-Vision VM 5.4

После завершения инвентаризации формируется полное представление обо всех устройствах в сети и создаётся ресурсно-сервисная модель активов, отражающая их взаимосвязи и степень критической значимости для бизнес-процессов. 

Аудит устройств с ОС Windows

Добавленная в феврале 2024 года поддержка поиска уязвимостей на серверном оборудовании и рабочих станциях с ОС Windows позволяет осуществлять аудит на компьютерах под управлением Windows 7–11 / Windows Server 2008R2–2022.

Процесс подключения к устройствам с указанными ОС выполняется с использованием протокола WinRM для безопасного доступа. Сканирование одного устройства занимает в среднем от 30 до 50 секунд.

Для инвентаризации нового объекта инфраструктуры необходимо указать аутентификационные данные в разделе «Учётные записи». Можно при необходимости проверить их на корректность — в разделе «Проверка учётной записи».

Рисунок 3. Добавление учётной записи Windows в R-Vision VM 5.4

Аудит стороннего программного обеспечения

В рамках выявления уязвимостей в стороннем ПО выполняется сканирование как отечественного ПО, так и иностранного. В этот перечень, который на момент выхода обзора насчитывает около 100 строк, входят программные продукты Microsoft и Adobe, распространённые веб-браузеры (Chrome, Firefox) и другие приложения. Это позволяет более полно оценить уровень безопасности и выявить уязвимости, которые могут быть использованы злоумышленниками.

Кроме того, R-Vision VM 5.4 позволяет обнаруживать уязвимости в разнообразных системах управления базами данных, среди которых — Microsoft SQL Server (версии 2008–2022), Oracle Database (версии 11–23), PostgreSQL (версии 9–16) и MySQL (версии 5.5–5.7).

Аудит сетевого оборудования

Аудит уязвимостей сетевого оборудования охватывает все распространённые версии устройств Cisco (IOS XR / XE, Nexus, ASA), Check Point (GAiA), Huawei (VPR), FortiGate (FortiOS 5.0 и выше) и других производителей. Эта функция позволяет не только идентифицировать потенциальные риски компрометации ИТ-инфраструктуры, но и оптимизировать управление сетью, обеспечивая более высокий уровень защиты от угроз.

Профили сканирования

При формировании задачи необходимо указать профиль сканирования и выявления уязвимостей. Система поддерживает четыре варианта исследования сети:

• «Обнаружение» позволяет выявить активные устройства и открытые порты;
• «Базовое сканирование» включает в себя идентификацию активных устройств и сбор базовой инвентаризационной информации;
• «Поиск уязвимостей» сочетает в себе выявление активных устройств, сбор инвентаризационных данных и поиск уязвимостей;
• «Тестирование на проникновение» направлено на обнаружение активных сервисов и поиск уязвимостей с использованием как безопасных, так и небезопасных методов проверки.

Рисунок 4. Выбор профиля сканирования в R-Vision VM 5.4

Режим «Тестирование на проникновение»

При выборе профиля сканирования «Тестирование на проникновение» в разделе «Профили» пользователь получает возможность проводить поиск уязвимостей в режиме «чёрного ящика» и выполнять автоматизированный подбор паролей (брутфорс) для наиболее распространённых сервисов.

При создании нового профиля требуется указать его наименование, а также, при необходимости, добавить описание, которое поможет лучше понять его назначение.

Режим «чёрного ящика» даёт возможность выявлять уязвимости на объектах и ресурсах инфраструктуры без авторизации. Эта функция применяется для оценки надёжности внешних сервисов на периметре сети и других подобных сущностей. В системе предусмотрена гибкая настройка поиска уязвимостей без аутентификации, что позволяет задавать различные наборы портов или вводить собственные порты для более точного сканирования.

Рисунок 5. Настройки профиля в режиме «чёрного ящика» в R-Vision VM 5.4

Дополнительно в системе можно осуществить «безопасные» и «небезопасные» проверки. Это позволяет собрать дополнительные данные, а также по возможности подтвердить эксплуатацию уязвимостей, которым подвержен тот или иной сервис.

Рисунок 6. Настройки проверок в режиме «чёрного ящика» в R-Vision VM 5.4

Применение перебора паролей позволяет оценить надёжность парольной защиты элементов информационной инфраструктуры. В процессе этой проверки применяются как индивидуально подготовленные, так и общепринятые словари для различных сетевых сервисов, включая SSH, RDP, Telnet, SMB, FTP и другие.

Настройка брутфорса выполняется в отдельном окне «Подбор паролей», где можно выбрать целевые сервисы, добавить словари учётных записей и паролей, а также указать порт назначения. Кроме того, доступен выбор дополнительных параметров: проверка пустых паролей, использование логина в качестве пароля, автоматическое завершение проверки узла при нахождении совпадения. Также можно задать количество потоков для параллельного перебора, чтобы ускорить процесс.

Рисунок 7. Настройки подбора паролей в R-Vision VM 5.4

Взаимодействие с БДУ ФСТЭК России

Подключение базы данных ФСТЭК России в качестве источника сведений позволяет получить детализированную информацию о каждой выявленной уязвимости. Это даёт пользователям возможность не только ознакомиться с рекомендациями по устранению проблем, но и получить ссылки на актуальные обновления. При обнаружении уязвимости в карточке отображаются дополнительные параметры с пометкой «БДУ ФСТЭК».

Рисунок 8. Параметры взаимодействия с БДУ ФСТЭК России в R-Vision VM 5.4

Приоритизация уязвимостей

В среднем в крупных ИТ-инфраструктурах насчитывается от нескольких десятков тысяч до нескольких миллионов уязвимостей с различными уровнями опасности. Эти данные требуют внимательной обработки со стороны специалистов. Для решения такой задачи необходимо провести приоритизацию уязвимостей, чтобы понять, какие из них требуют срочного устранения.

Рейтинг уязвимостей

В R-Vision VM есть специальный механизм оценки брешей. Значения вычисляются по настраиваемой формуле, учитывающей в том числе и методологию ФСТЭК России от 28 октября 2022 года. Важно отметить, что формула может быть адаптирована с учётом специфики конкретной инфраструктуры, что делает её более полезной для различных организаций. В качестве переменных для расчёта могут использоваться разнообразные атрибуты, касающиеся как самой уязвимости, так и хоста, на котором она была обнаружена.

Рисунок 9. Настройка расчёта рейтинга уязвимости в R-Vision VM 5.4

На основании полученных оценок можно выполнять первичное автоматическое реагирование на выявленные проблемы — через функциональность политик управления уязвимостями. Это сокращает объём ручных операций и исключает ошибки связанные с человеческим фактором.

Рисунок 10. Расчёт рейтинга для каждой уязвимости в R-Vision VM 5.4

Мониторинг активно эксплуатируемых уязвимостей

Добавление показателя «Используется в атаках» в карточку уязвимости даёт понимание того, какие из брешей могут быть эксплуатированы злоумышленниками в ближайшее время. Это, в свою очередь, позволяет более эффективно предотвращать угрозы, обеспечивая приоритетное внимание к наиболее опасным и распространённым уязвимостям. 

Анализ брешей по этому показателю выполняет команда центра экспертизы R-Vision, использующая собственные методы оценки и мониторинга для выявления наиболее значимых угроз.

Рисунок 11. Показатель использования уязвимости в атаках

Устранение уязвимостей и контроль

Устранение брешей включает в себя установку обновлений и / или внедрение компенсирующих мер. В большинстве организаций такими задачами занимается ИТ-подразделение. 

Задачи на устранение уязвимостей

Для автоматического создания задач по устранению брешей в системе используются «Политики управления уязвимостями». С их помощью можно настроить автоматическое формирование задач на основе условий, связанных со значениями атрибутов самой уязвимости или сопряжённых с нею активов.

Рисунок 12. Добавление политики управления уязвимостями по критерию в R-Vision VM 5.4

При срабатывании политики на основании заданных критериев автоматически создаётся задача на устранение уязвимостей. Также возможна настройка взаимодействия с системой управления задачами, используемой ИТ-подразделением организации. Статусы задач синхронизируются с R-Vision VM. Если процесс устранения затягивается, система автоматически оповещает о текущем состоянии и ходе работ, что помогает контролировать выполнение задач и своевременно реагировать на возможные задержки.

Рисунок 13. Сформированные задачи на устранение уязвимостей в R-Vision VM 5.4

В системе предусмотрена возможность изменять статусы уязвимостей как вручную, так и автоматически. Кроме того, статусную модель можно адаптировать под специфические потребности, добавляя любые пользовательские статусы.

Рисунок 14. Выбор статуса уязвимости в R-Vision VM 5.4

Разделы «База уязвимостей» и «Уязвимости» содержат инструменты сортировки, фильтрации данных, сквозного поиска по необходимым атрибутам. Доступно сохранение выборки в виде набора фильтров, который можно в дальнейшем использовать в дашбордах. Кроме того, система позволяет отслеживать количество и статусы инцидентов по каждой бреши.

Рисунок 15. Информация об уязвимости в R-Vision VM 5.4

Дашборды

Предустановленные панели мониторинга R-Vision VM отображают срезы информации об активах и уязвимостях. Также в системе предусмотрен конструктор графиков, позволяющий самостоятельно создавать индивидуальные дашборды.

Рисунок 16. Дашборды по выявленным уязвимостям в R-Vision VM 5.4

Выводы

Версия R-Vision VM 5.4 — это первое значительное обновление продукта. Ключевыми нововведениями стали поддержка распространённого стороннего ПО и популярных СУБД, аудит сетевого оборудования, режим «чёрного ящика» и подбор паролей (brute-force), взаимодействие с БДУ ФСТЭК России, мониторинг наиболее эксплуатируемых уязвимостей. Также продукт прошёл сертификационные испытания ФСТЭК России по 4-му уровню доверия.

Эволюция системы демонстрирует, что компания R-Vision отслеживает ключевые тенденции в области информационной безопасности и адаптирует свой продукт к ним, что обеспечивает возможность превентивно выявлять потенциальные угрозы.

Достоинства:

• Высокая скорость сканирования.
• Масштабируемость за счёт увеличения числа коллекторов.
• Возможность сканирования в режиме «чёрного ящика».
• Проверка надёжности парольной защиты методом перебора.
• Детальная информация об уязвимостях из БДУ ФСТЭК России.
• Наличие показателя использования уязвимости в атаках для точной приоритизации.
• Объёмная база детектирования.
• Продукт сертифицирован ФСТЭК России.

Недостатки:

• Отсутствует проверка соответствия политикам (NIST, PCI DSS). Вендор обещает добавить такую функциональность в начале 2025 года.
• Не реализована функция контроля целостности.
• Отсутствует аудит уязвимостей гипервизоров. Эта функциональность ожидается в первой половине 2025 года.