Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей

Основная цель проекта — централизовать и автоматизировать процесс выявления, приоритизации и устранения уязвимостей в масштабах всей ИТ-инфраструктуры холдинга. Для этого потребовалось выстроить несколько ключевых процессов, охватывающих все этапы управления уязвимостями (Vulnerability Management):

• Интеграция системы R-Vision VM со всеми ИТ- и ИБ-системами холдинга.
• Сбор и анализ данных о каждом активе во всех филиалах при помощи сканера R-Vision.
• Настройка регулярного и оперативного сканирования ИТ-инфраструктуры на уязвимости с использованием встроенного сканера R-Vision VM.
• Приоритизация уязвимостей на основе их критичности и значимости активов.
• Двусторонняя интеграция с системой Service Desk (Jira) для отправки туда автоматически созданных задач на устранение уязвимостей 
• Контроль выполнения задач и автоматическая проверка устранения уязвимостей 

В ходе проекта особое внимание уделили интеграции R-Vision VM с существующими ИТ- и ИБ-системами холдинга, включая CMDB (собственная разработка заказчика), Kaspersky Security Center, Microsoft Active Directory и Microsoft SCCM (System Center Configuration Manager). Это позволило получить полную картину по всем активам и уязвимостям — как в центральном офисе, так и в филиалах.

Собранные данные использовались для автоматического формирования ресурсно-сервисной модели активов, где учитывались различные факторы: тип оборудования, ОС, прикладное ПО, физическое расположение, состояние поддержки и уровень критичности для бизнес-процессов. Это позволило оценить влияние каждого актива на ключевые бизнес-процессы, что стало основой для последующей точной приоритизации уязвимостей.

Далее специалисты настроили регулярное сканирование всех хостов на предмет наличия известных уязвимостей, включая трендовые, которые могут быть в ближайшее время использованы злоумышленниками для получения несанкционированного доступа или нарушения работы систем. В R-Vision VM используются продвинутые алгоритмы сканирования, позволяющие оперативно выявлять уязвимости в зарубежных и отечественных ОС, ПО, сетевом оборудовании и базах данных.

После выявления всех уязвимостей в R-Vision VM была настроена автоматическая приоритизация на основе собственной формулы. В расчёт входят базовые характеристики уязвимости (оценка CVSS, наличие эксплойта и др.), а также критичность актива или группы активов. Это позволило быстро определить, на каких уязвимостях и активах необходимо сосредоточиться в первую очередь.

Одним из ключевых запросов ИБ-команды холдинга было создание полностью автоматизированного процесса контроля устранения уязвимостей с минимальным участием человека, при этом обеспечивая высокую точность и оперативность обработки данных.

После выявления и приоритизации уязвимостей в R-Vision VM автоматически создаётся задача на их устранение. Задача формируется на основании заранее заданных критериев. Например, если уязвимость с рейтингом выше 9 (критический) обнаружена на устройстве из группы критичных ИТ-активов, задача автоматически создаётся и передаётся в Jira вместе со списком всех затронутых хостов. Для задачи устанавливаются сроки выполнения и SLA для ИТ-подразделения.

После завершения работ ИТ-специалисты переводят задачу в Jira в статус «Требуется проверка» и отправляют в систему отчёт об устранении. На этом этапе в R-Vision VM автоматически создаётся задача на пересканирование с указанием IP-адресов соответствующих хостов. Результаты пересканирования поступают обратно в систему.

Если уязвимости успешно устранены, они автоматически закрываются. Далее система сверяет список устранённых уязвимостей с первоначальным перечнем. Если все уязвимости закрыты, задача в Jira и R-Vision VM автоматически переводится в статус «Закрыта».

Если же какие-либо уязвимости остались неустранёнными, в задачу в Jira добавляется уведомление с их списком. Задача переоткрывается и процесс повторяется: данные обновляются, запускается очередное пересканирование, и уязвимости закрываются после успешного устранения.

Если при запуске пересканирования один или несколько хостов недоступны, система автоматически фиксирует это и продолжает попытки до тех пор, пока все хосты не станут доступны, либо не закончится число попыток пересканирования. После успешного сканирования выполняется сверка результатов. Если хосты остаются недоступными, то задача переоткрывается.

В R-Vision VM предусмотрены и другие сценарии:

• Если устранить уязвимость невозможно (например, отсутствует патч или есть технологические ограничения), в системе есть возможность зафиксировать её как «принятый риск» и установить срок для повторной проверки.
• Если уязвимость оказалась ложным срабатыванием, ей можно присвоить  соответствующий статус, чтобы в дальнейшем она не учитывалась при оценке. 

Получение актуальных данных об активах. Система собирает и обновляет информацию о состоянии всех хостов во всех филиалах в течение 7-8 часов (в каждом филиале установлен свой коллектор). Ранее этот процесс занимал несколько дней. 

Регулярное сканирование на уязвимости. Система автоматически сканирует около 5000 хостов за 8 часов одним коллектором. При необходимости запускается внеочередное сканирование для проверки критических угроз.

Точная приоритизация уязвимостей. Приоритизация строится на основе критичности актива,  рейтинга CVSS и других атрибутов. Это позволило сосредоточиться на устранении наиболее опасных уязвимостей и сократить время реакции на критические инциденты.

Контроль устранения уязвимостей. Система автоматически создаёт задачи на устранение уязвимостей, отслеживает их статус и запускает пересканирование после выполнения работ. 

Сокращение рутинных операций. Автоматизация обработки данных,создания задач и контроля их устранения позволила сократить время на выполнение ежедневных рутинных операций на 90% быстрее по сравнению с предыдущим процессом.

Прозрачность взаимодействия между ИТ и ИБ. Интеграция с Service-Desk и автоматическое обновление статусов задач упростили контроль за устранением уязвимостей и повысили согласованность между ИТ и ИБ.

Снижение рисков. Быстрое выявление и устранение критических уязвимостей позволило уменьшить вероятность успешных атак на инфраструктуру.

Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.