Обзор Tenable SecurityCenter 5.6 - платформы для анализа защищенности

Обзор Tenable SecurityCenter 5.6 — платформы для анализа защищенности


Обзор Tenable SecurityCenter 5.6 — платформы для анализа защищенности

В обзоре подробно рассмотрено комплексное решение для оценки защищенности Tenable SecurityCenter 5.6 от компании Tenable, которое позволяет анализировать состояние инфраструктуры крупных компаний, выявлять уязвимости, ошибки в конфигурации и вредоносные программы и представляет всю информацию в виде графиков и матриц.

Сертификат AM Test Lab

Номер сертификата: 217

Дата выдачи: 30.01.2018

Срок действия: 30.01.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Системные требования Tenable SecurityCenter 5.6
    1. 2.1. Аппаратные требования Tenable SecurityCenter
    2. 2.2. Программные требования Tenable SecurityCenter
  3. Функциональные возможности Tenable SecurityCenter 5.6
  4. Установка и настройка Tenable SecurityCenter 5.6
    1. 4.1. Подготовка к установке Tenable SecurityCenter
    2. 4.2. Установка Tenable SecurityCenter
    3. 4.3. Первоначальная настройка Tenable SecurityCenter
  5. Работа с Tenable SecurityCenter 5.6
    1. 5.1. Дашборды Tenable SecurityCenter
    2. 5.2. Активы в Tenable SecurityCenter
    3. 5.3. Сканирование активов в Tenable SecurityCenter
    4. 5.4. Анализ уязвимостей в Tenable SecurityCenter
    5. 5.5. Анализ событий в Tenable SecurityCenter
    6. 5.6. Отчеты Tenable SecurityCenter
    7. 5.7. Рабочий процесс в Tenable SecurityCenter
    8. 5.8. Assurance Report Cards в Tenable SecurityCenter
  6. Выводы

 

Введение

Инфраструктура организаций находится в постоянном изменении — ни дня не проходит без обновления конфигурации сетевого оборудования, установки обновлений для операционных систем и систем управления базами данных. Все это накладывает на администраторов безопасности обязанности по отслеживанию актуальных версий программного обеспечения и отсутствия в нем уязвимостей. Ошибка в таком вопросе может обернуться для компании репутационными и финансовыми потерями. В конце октября 2017 г. вирус-вымогатель Bad Rabbit (модификация вируса-шифровальщика Petya) пытался атаковать российские банки из топ-20. Вирус использовал эксплойт EternalRomance, который был устранен Microsoft в марте 2017 г. Несмотря на это, многие компании пострадали от его воздействия. Всем известно, что даже в небольших организациях сотрудники способны допускать ошибки, позволяющие злоумышленникам добраться до «сердца» компании. Как же в таком случае поступать крупным компаниям, в которых парк только персональных компьютеров превышает 500 машин?

Именно для таких компаний разработчики Tenable выпустили свой продукт — Tenable SecurityCenter, позволяющий производить сбор данных об уязвимостях, анализировать полученную информацию с тысяч IP-адресов одновременно и гибко настраивать отчеты и уведомления. Параллельно с Tenable SecurityCenter развивается и Tenable SecurityCenter Continuous View, который отличается расширенными возможностями обнаружения новых, временных или неуправляемых активов и сканирования их на наличие уязвимостей, а также наличием мощного инструмента корреляции, обнаружения и анализа аномального поведения. Ранее в обзоре мы уже рассматривали сканеры уязвимостей от компании Tenable, однако чтобы разобрать тонкости реального использования программы, рассмотрим решение Tenable SecurityCenter более подробно.

 

Системные требования Tenable SecurityCenter 5.6

Аппаратные требования Tenable SecurityCenter

Аппаратные требования для развертывания решения Tenable SecurityCenter представлены в Таблице 1. Помимо этого стоит учитывать следующие особенности:

  • Если активный сетевой сканер Nessus, входящий в состав решения, будет развернут на том же сервере, что и система управления SecurityCenter, во время сканирования будет снижаться производительность. Чтобы этого избежать, разработчики рекомендуют использовать отдельные машины для сканеров.
  • В случае развертывания SecurityCenter, рассчитанного на одновременную работу более чем 25 пользователей, потребуется добавить дополнительную память или процессоры.
  • Стоит ознакомиться с требованиями к ресурсам отдельных компонентов, входящих в состав решения SecurityCenter. Так, например, не рекомендуется на одном сервере размещать несколько компонентов Tenable SecurityCenter.

 

Таблица 1. Аппаратные требования для Tenable SecurityCenter 5.6

№ п/пСценарий использованияЦПУОперативная памятьЖесткий диск
  1.  
Управление от 500 до 2500 IP-адресов2 dual-core 2 GHz4 GB RAM120 GB на 7200 rpm (рекомендовано: 320 GB на 10000 об/мин)
  1.  
Управление от 2500 до 10000 IP-адресов4 dual-core 3 GHz CPU16 GB RAM160 GB на 7200 об/мин (рекомендовано: 500 GB на 10000 об/мин)
  1.  
Управление от 10000 от 25000 IP-адресов8 dual-core 3 GHz CPU32 GB RAM500 GB на 10000 об/мин (рекомендовано: 1 TB на 15000 об/мин, RAID 0)
  1.  
Управление более чем 25000 IP-адресов8+ quad-core 3 GHz CPU32+ GB RAM1 TB на 15000 об/мин (рекомендовано: 3 TB на 15000 об/мин, RAID 0)

Программные требования Tenable SecurityCenter

Для работы с пятой версией SecuritCenter потребуется:

  • Активная лицензия на SecurityCenter;
  • OpenJDK или Oracle Java JRE;
  • RHEL/CentOS 5.x, 6.x, or 7.x, 64-bit.

При этом на операционной системе должны быть заранее установлены следующие программы: java-1.7.0-openjdk.x86_64 (or the latest Oracle Java JRE), openssh, expat, gdbm, libtool, libtool-ltdl, libxml2, ncurses, readline, compat-libstdc++, libxslt.

 

Функциональные возможности Tenable SecurityCenter 5.6

  • Обнаружение активов информационных технологий:
    • Активное обнаружение несколькими методами (режим пен-теста, режим с аутентификацией, сканирование агентами, пассивный сканер).
    • Интеграция с EMM/MDM-системами, позволяющая выполнять запросы к системе управления мобильными устройствами и выводить список уязвимостей, обнаруженных при сканировании серверов ActiveSync, Apple Profile Manager, VMware AirWatch или MobileIron MDM.
  • Анализ уязвимостей:
    • Широкий охват активов, включающий в себя сервера, рабочие станции, сетевые устройства, операционные системы, базы данных, а также приложения в физических, виртуальных и облачных инфраструктурах, элементы АСУ ТП.
    • Большой выбор вариантов сканирования, поддерживающий удаленное сканирование, локальные проверки для глубокого и подробного анализа активов, как автономных станций, так и находящихся в сети.
  • Сканирование как с агентами, так и без них, возможность аккумулировать информацию с нескольких сканеров Nessus, что позволяет производить анализ большего количества активов и уменьшать вероятность возможной атаки.
  • Аудит соответствия и конфигурации:
    • Встроенные шаблоны отраслевых стандартов, таких как PCI DSS, HIPAA/HITECH и NERC.
    • Встроенные шаблоны государственных стандартов, таких как FISMA, GLBA и SOX.
    • Встроенные шаблоны стандартов безопасности, таких как CERT, СНГ, COBIT/ITIL, DISA STIGS и NIST.
  • Обнаружение вредоносных программ:
    • Поиск подозрительных процессов путем сравнения всех процессов с базой киберразведки (Threat Intelligence).
    • Аудит параметров автозапуска с целью предупреждения запуска вредоносных программ.
  • Интеграция с другими системами:
    • Взаимодействие со сторонними продуктами управления уязвимостями, мобильными устройствами, облачными приложениями и приложениями для проверки угроз.
    • Использование API для обеспечения централизованного управления, подготовки отчетности, исправления и работы.
  • Уведомления и предупреждения:
    • Отправка уведомлений на электронную почту в случае появления рекомендаций, предупреждений или нахождения определенной в настройках уязвимости;
    • Создание инцидентов и возможность их назначения на ответственных сотрудников с целью проведения расследования.
    • Возможность отправки syslog в SIEM-систему.
  • Анализ уязвимостей:
    • Возможность использования встроенных и настраиваемых отчетов.
    • Настраиваемые дашборды.
    • Подготовка графиков, диаграмм для проведения анализа состояния уязвимостей в зависимости от времени.

 

Установка и настройка Tenable SecurityCenter 5.6

Подготовка к установке Tenable SecurityCenter

Прежде чем приступить к установке продукта, необходимо в первую очередь убедиться в том, что операционная система поддерживается SecurityCenter и настроено корректное взаимодействие с NTP-сервером.

Далее потребуется получить лицензию для SecurityCenter. Стоит учитывать, что для получения тестового ключа потребуется обратиться в компанию Tenable или к ее дистрибьютору в России — компании Тайгер Оптикс.

Во время инсталляции SecurityCenter устанавливает веб-сервер Apache, поэтому на выбранном сервере потребуется отключить веб-сервер (если он ранее устанавливался) и освободить порт 443. Чтобы убедиться в том, что порт свободен, можно воспользоваться командой:

netstat -pan | grep ':443 '

Следующим шагом потребуется изменить настройки фаервола: отключить SELinux и проверить разрешения для протоколов SSH (порт 22), HTTPS (порт 443).

Далее потребуется настроить ротацию логов, например, с помощью утилиты logrotate. По умолчанию после установки этой утилиты каждый месяц будут архивироваться следующие файлы:

  • Все файлы из /opt/sc/support/logs matching *log;
  • /opt/sc/admin/logs/sc-error.log

Заключительным этапом предварительной настройки является подготовка инсталляционного пакета SecurityCenter. Название пакета выглядит следующим образом: SecurityCenter-x.x.x-os.arch.rpm.

Установка Tenable SecurityCenter

Для установки SecurityCenter потребуется выполнить следующую команду от имени администратора root:

rpm -ivh SecurityCenter-5.x.x-es6.x86_64.rpm

Эта команда установит пакет в каталог /opt/sc и запустит все необходимые для работы домены и веб-службы. В некоторых случаях может потребоваться перезагрузка системы, чтобы произошел корректный запуск всех процессов.

Первоначальная настройка Tenable SecurityCenter

После установки SecurityCenter можно приступить к первоначальной настройке. Работа с приложением производится через веб-интерфейс, который доступен по HTTPS-протоколу. В браузере необходимо указать:

https://<имя или адрес сервера SecurityCenter>

После этого администратору откроется возможность выполнить быструю настройку:

  • Добавить файл с лицензией (название имеет вид: НазваниеКомпании_SC-КоличествоIP>-<#>-<#>.key).
  • Настроить соединения со сканером Nessus Professional (указывается имя хоста, порт, название и тип аутентификации).
  • Настроить соединение с пассивным сканером Tenable Network Monitor (в случае, если на него имеется лицензия).
  • Настроить соединение с LCE (Системой корреляции событий) в случае, если на него имеется лицензия).
  • Создать репозиторий (база данных уязвимостей, которая определяется одним или несколькими диапазонами сканируемых IP-адресов).
  • Настроить параметры организации (ввести наименование компании, адрес, контактные данные и др.).
  • Настроить LDAP-конфигурацию (потребуется учетная запись с доступом на чтение из AD).
  • Настроить учетные записи пользователей, которые будут иметь доступ к SecurityCenter.

Все шаги проходятся последовательно, перед сохранением всех введенных параметров система отобразит их и предложит принять.

 

Рисунок 1. После выполненных настроек Tenable SecurityCenter отобразит их и предложит продолжить работу

После выполненных настроек Tenable SecurityCenter отобразит их и предложит продолжить работу

 

Работа с Tenable SecurityCenter 5.6  

Рабочая панель Tenable SecurityCenter включает в себя 7 основных элементов: Дашборд, Анализ, Сканирование, Отчеты, Активы, Рабочие процессы и Пользователи. При клике мышкой на каждый элемент открывается дополнительное меню. Рассмотрим элементы, с которыми работает администратор.

Дашборды Tenable SecurityCenter

Дашборд — это первое, что видит пользователь после авторизации в SecurityCenter. На этой странице отображается сводная информация о наличии уязвимостей в инфраструктуре компании, о существующих событиях и другие данные, которые могут быть настроены самостоятельно. На дашборды можно выводить таблицы, линейные и круговые графики, матрицы и др. на основе данных по уязвимостям, событиям, инцидентам, пользователям и предупреждениям. Удобна возможность экспорта и импорта ранее созданных дашбордов.

 

Рисунок 2. Пример дашборда в Tenable SecurityCenter

Пример дашборда в Tenable SecurityCenter

Активы в Tenable SecurityCenter

Во вкладке «Активы» перечислены все списки активов, их параметры и атрибуты. Списки могут динамически изменяться и дополняться или (при соответствующей настройке) оставаться неизменными. В зависимости от структуры компании и полномочий сотрудников списки активов можно разделить среди нескольких ответственных.

Группировка активов осуществляется по типу устройств — ноутбуки, серверы, планшеты, телефоны, по их свойствам, установленному ПО и др. Список динамических активов можно составить, например, на основе любых плагинов Nessus, после чего все устройства с положительным результатом проверки будут автоматически добавляться в список.

Сканирование активов в Tenable SecurityCenter

На вкладке «Сканирование» можно создавать, просматривать, настраивать и управлять расписанием сканирования активов на наличие уязвимостей. На этой же вкладке можно открыть список всех запущенных процессов сканирования, где также будет видно название политики, время начала, статус, группа и владелец, расписание. Здесь же можно добавить новые устройства для активного сканирования или для работы агентов.

 

Рисунок 3. В списке активного сканирования Tenable SecurityCenter можно сортировать значения по столбцам

В списке активного сканирования Tenable SecurityCenter можно сортировать значения по столбцам

Анализ уязвимостей в Tenable SecurityCenter

На вкладке «Уязвимости» пользователю доступна информация для анализа уязвимостей в двух видах: совокупные данные и облегченные. Все показатели ранжируются в зависимости от уровня и представления — выше показаны наиболее сжатые показатели, а ниже максимально детализированные. При нажатии на кнопку «Анализ» и «Уязвимости» на экране появится информация из совокупной базы уязвимостей (для поиска в ней можно воспользоваться фильтром).

Tenable SecurityCenter предлагает широкий выбор инструментов для анализа:

  • Сводка по IP-адресам.
  • Сводка по активам.
  • Сводка по CCE (уязвимости в общей конфигурации устройств).
  • Сводка по CVE (фильтр настроен на идентификаторы общих уязвимостей и подверженностей воздействиям).
  • Сводка по DNS-именам.
  • Список операционных систем.
  • Список запущенных процессов и сервисов.
  • Список SSH-серверов.
  • Список программного обеспечения.
  • Список веб-клиентов.
  • Список веб-серверов.
  • Сводка действий, необходимых для исправления уязвимостей и улучшений защищенности инфраструктуры.
  • Список уязвимостей (обычный и расширенный).

 

Рисунок 4. Уязвимости на вкладке «Анализ уязвимостей» ранжируются по степени критичности в баллах

Уязвимости на вкладке «Анализ уязвимостей» ранжируются по степени критичности в баллах

Анализ событий в Tenable SecurityCenter

На вкладке «События» находятся агрегированные события безопасности из журнала корреляции Tenable. Как и на вкладке «Уязвимости», здесь можно просматривать события в зависимости от настроенных параметров, например, активные или архивные, а также применять инструменты для анализа: сводки по активам и соединениям, датам, IP-адресам источника и назначения, протоколам, портам, сенсорам и др. 

 

Рисунок 5. События в Tenable SecurityCenter можно просматривать в нескольких форматах

События в Tenable SecurityCenter можно просматривать в нескольких форматах

 

Рисунок 6. В Tenable SecurityCenter можно просматривать события syslog

В Tenable SecurityCenter можно просматривать события syslog

Отчеты Tenable SecurityCenter

В Tenable SecurityCenter существует множество шаблонов для составления отчетов, которые, к тому же, можно гибко настраивать. Выгружать отчеты можно в различных форматах — PDF, RTF, CSV, что обеспечивает высокий уровень совместимости и простоту использования.

 

Рисунок 7. Tenable SecurityCenter позволяет гибко настраивать отчеты

Tenable SecurityCenter позволяет гибко настраивать отчеты

 

Существуют и дополнительные параметры отчетности, такие как DISA ASR, DISA ARF и CyberScope, которые настраиваются администратором SecurityCenter. Любой отчет может выполняться автоматически в заданное время и отправляться на электронный адрес либо запускаться вручную, их можно копировать, а параметры использовать для повторной генерации.

 

Рисунок 8. Графический отчет Tenable SecurityCenter по найденным уязвимостям за 25 дней

Графический отчет Tenable SecurityCenter по найденным уязвимостям за 25 дней

Рабочие процессы в Tenable SecurityCenter

В разделе «Рабочие процессы» (Workflow) содержатся параметры для оповещения и создания инцидентов (тикетов). Такая возможность позволяет ответственным администраторам своевременно получить уведомление и начать работу над уязвимостями и событиями.

 

Рисунок 9. В Tenable SecurityCenter можно настраивать параметры оповещений и создания инцидентов

В Tenable SecurityCenter можно настраивать параметры оповещений и создания инцидентов

 

SecurityCenter можно настроить таким образом, чтобы при определенных условиях система отправляла оповещения на электронную почту по выбранным уязвимостям, создавала оповещения в пользовательском интерфейсе, создавала или назначала инцидент, производила сканирование исправлений, запускала отчеты и отправляла данные по syslog.

Assurance Report Cards в Tenable SecurityCenter

В SecurityCenter есть возможность просматривать так называемые Отчеты успеваемости (ARCs), предназначенные для того, чтобы руководители отделов информационной безопасности могли определять бизнес-цели в четких и сжатых терминах, выявлять и закрывать потенциальные пробелы в безопасности, а также обосновывать затраты на безопасность перед высшим руководством объективными данными от Tenable SecurityCenter.

Каждый отчет (см. рисунок 10) представляет собой бизнес-задачу (business objective), разделяющуюся на политики (policy statements), определенные администратором безопасности или руководством. Эти политики оцениваются в SecurityCenter с помощью заданных контролей (underlying controls).

 

Рисунок 10. Пример работы с ARCs в Tenable SecurityCenter

Пример работы с ARCs в Tenable SecurityCenter

 

Кроме того, разработчики SecurityCenter подготовили один встроенный Отчет успеваемости по критическим элементам управления (ССС — Critical Cyber Controls) на основе лучших практик управления защищенностью. Эти элементы представляют собой пять основ безопасности бизнеса:

  • Периодическая инвентаризация аппаратного и программного обеспечения.
  • Своевременное обновление программ, оборудования и облачных сервисов с целью устранения уязвимостей и ошибочных настроек.
  • Построение защищенной сети.
  • Ограничение пользователям прав доступа по принципу «что не разрешено, то запрещено».
  • Поиск вредоносных программ и злоумышленников.

 

Выводы

Компания Tenable представила продукт, позволяющий централизованно управлять и аккумулировать информацию об уязвимостях и состоянии разрозненных активов в каждом сегменте организации. Несмотря на англоязычную документацию и интерфейс, работать с Tenable SecurityCenter удобно и интуитивно понятно за счет единой схемы представления данных. Множество отчетов и сводок позволяют получать только актуальную и требуемую в тот или иной момент информацию, что является крайне важным для руководителей. Так, например, в SecurityCenter можно просматривать график трендов событий за последние 24 часа. Вывод графиков на дашборды позволяет в любой момент обращаться к панели SecurityCenter и иметь возможность наблюдать оперативную обстановку. Важным преимуществом продукта являются встроенные политики безопасности на основе отраслевых, государственных стандартов, а также стандартов информационной безопасности. Особенностью решения является наличие отчетов успеваемости (ARCs), позволяющих отслеживать бизнес-цели и их выполнение. Для решения этой задачи в SecurityCenter уже имеется предопределенный набор критически важных элементов управления (ССС), который можно доработать под собственные политики и контроли.

Однако стоит заметить, что продукт только начинает активно выходить на российский рынок. В связи с этим возникают некоторые особенности, такие как отсутствие документации на русском языке, а также сертификатов регулятора. Кроме того, продукта нет в реестре отечественного программного обеспечения.

Достоинства:

  • Гибкая настройка отчетов и дашбордов, возможность просмотра трендов за определенный период времени.
  • Наличие отчетов успеваемости (ARCs) и предопределенного набора CCC.
  • Возможность создания инцидентов и назначения их на сотрудников.
  • Поддержка отраслевых и государственных стандартов, стандартов безопасности: PCI DSS, HIPAA/HITECH и NERC, FISMA, GLBA и SOX; CERT, СНГ, COBIT/ITIL, DISA STIGS и NIST.
  • Наличие системы определения аномального поведения и интеграции с киберразвдекой Threat Intelligence (SecurityCenter Continuous View).
  • Возможность аналитики поведения хостов (SecurityCenter Continuous View).

Недостатки:

  • Отсутствие встроенной поддержки отечественных стандартов.
  • Отсутствует русская локализация.
  • Отсутствие сертификата ФСТЭК России.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.