Владимир МИХАЙЛОВ, руководитель департамента перспективных проектов ООО «Фродекс» рассказал NBJ о текущей ситуации на рынке VM-систем, а также о том, какие решения предлагает компания в сфере информационной безопасности и управления уязвимостями.

NBJ: В чём смысл внедрения систем управления уязвимостями в финансовых организациях, зачем они нужны и какие задачи позволяют решать?

В. МИХАЙЛОВ: Финансовые организации находятся под пристальным вниманием регуляторов и должны соответствовать определённым требованиям в части контроля целостности и защищённости информационной инфраструктуры (ГОСТ Р 57580, PCI DSS).

Одна из целей внедрения систем управления уязвимостями – упростить и ускорить контроль инфраструктуры на соответствие таким требованиям, например:

·       наличие или отсутствие уязвимостей на объектах информатизации,

·       организация и контроль обновлений программного обеспечения,

·       контроль состава и целостности программного обеспечения,

·       регистрация фактов выявления и устранения уязвимостей.

Задача более высокого уровня – комплексное видение состояния инфраструктуры с целью нахождения уязвимых мест (уязвимостей ПО и недостатков конфигураций) и их устранения для повышения общей защищённости.

NBJ: Как вы оцениваете российский рынок систем управления уязвимостями (насколько он зрелый, есть ли у заказчиков возможность выбора, что динамично развивается, где есть проблемы)?

В. МИХАЙЛОВ: В прошлом году рынок VM-систем в России оказался в интересном положении. С одной стороны, ушли основные зарубежные игроки, расчистив рынок российским продуктам. С другой – наши вендоры не в полной мере оказались готовы к грядущему импортозамещению операционных систем в российских компаниях и вынуждены были спешно мигрировать свои решения на российские ОС. Сейчас это несколько ограничивает скорость их развития, и в будущем им придётся навёрстывать упущенное.

Если говорить о решениях для сканирования инфраструктуры, то российские буквально можно пересчитать по пальцам одной руки. Выбор довольно скуден, при этом перед заказчиком стоит выбор между значительно отличающимися решениями: от очень дорогих, до медленных или с сомнительным качеством определения уязвимостей. Выбор усложняется разным объёмом поддерживаемого оборудования и ПО (как сканируемого, так и для развёртывания самого решения).

Некоторые заказчики сразу хотят получить весь тот функционал, который имелся у знакомого им зарубежного решения. К сожалению, чудес не бывает, и придётся немного подождать, пока вендоры реализуют все «хотелки». Хорошая новость заключается в том, что открывшаяся ситуация позволит российским решениям не только догнать, но и перегнать зарубежные аналоги.

При этом о зрелости рынка говорить, ннаверное, пока рано. Спрос сейчас в основном определяется требованиями регуляторов или же тяжёлым опытом пережитого инцидента информационной безопасности. Нам ещё предстоит увидеть рост интереса к теме, рост рынка в целом, а также доверия к управлению уязвимостями как услуге – VMaaS (сейчас этот сегмент в стране вообще не развит).

NBJ: В данном контексте, расскажите, пожалуйста, о системе управления уязвимостями от компании «Фродекс»: в чём её особенности и ключевые преимущества?

В. МИХАЙЛОВ: Закладывая архитектуру нашего решения несколько лет назад, мы очень точно попали в требования нынешнего рынка: продукт может работать на любой российской операционной системе, любом linux-дистрибутиве в целом или в инфраструктуре Kubernetes.

Возможность горизонтального масштабирования компонентов вкупе с технологией очень быстрого сканирования позволяет легко управлять инфраструктурами любого масштаба. Наши заказчики уже забыли о многочасовых или многодневных сканированиях – всё это в прошлом. Настоящее – это мониторинг и реагирование в реальном времени. Мы даём возможность обнаружить и устранить уязвимости до того, как это сделает злоумышленник.

Ещё одной особенностью нашей системы является точность детектирования уязвимостей. Одним из основных требований при разработке была минимизация ошибок первого и второго порядка (false positive и false negative) при сканировании. И нам удалось это сделать, сохранив высочайшую скорость аудита. Пожалуй, это то, чем мы гордимся и чем превосходим сейчас конкурирующие решения, в том числе зарубежные.

Стоит также упомянуть и о “security first” подходе, который применяется при разработке нашего продукта. В этом подходе заложены такие требования как: не навредить инфраструктуре заказчика в процессе эксплуатации, обеспечить безопасность и сохранность передаваемых и собираемых данных, защитить активы даже в случае гипотетической компрометации системы. Всё это позволяет использовать продукт в самых требовательных к надёжности и безопасности инфраструктурах.

NBJ: Каковы её функциональные возможности? Насколько сложным является техническое сопровождение?

В. МИХАЙЛОВ: Прежде всего, наша система Vulns.io Enterprise VM – это полноценная система для управления уязвимостями. Она позволяет в непрерывном режиме сканировать инфраструктуру, получать общие данные по всей инфраструктуре, приоритезировать уязвимости и устранять их с помощью встроенного функционала патч-менеджмента.

Сканирование реализовано в агентном или безагентном режиме. При этом не нужно открывать сетевые доступы от системы к активам с установленными агентами, они сами подключатся и будут ожидать команды для выполнения задачи – это один из подходов “security first” в продукте.

Кроме того, с помощью нашего продукта можно сканировать docker-образы, где бы они ни находились: на хостах, в реестрах или созданы в пайплайнах CI/CD. Для этого не нужно докупать дополнительные лицензии, всё уже есть в стандартной поставке. Образы, кстати, сканируются без запуска контейнеров. А повторное сканирование вообще занимает категорически малое время.

Ролевая модель доступа позволяет гибко разграничить доступы, а мультитенантность – вести несколько организаций на одной установке.

И, конечно, постарались упростить жизнь пользователю системы, поэтому реализовали в нашем продукте:

·       установку «за один шаг» с помощью инсталлера (нет возни с установкой и настройкой отдельных компонентов системы),

·       автоматическое обновление базы данных уязвимостей (постоянно, непрерывно, без участия человека),

·       автоматическое обновление агентов на активах (без использования стороннего инструментария),

·       обновление системы одной командой.

NBJ: Если говорить о практике управления уязвимостями, то какие параметры являются, на ваш взгляд, определяющими при выборе системы заказчиками?

В. МИХАЙЛОВ: Главным критерием выбора системы управления уязвимостями является точность детектирования уязвимостей и полнота используемой базы данных уязвимостей. Заказчик ожидает, что система найдёт все имеющиеся уязвимости и при этом не сделает ложных обнаружений. Часто заказчик ожидает увидеть результаты не только на основе бюллетеней вендоров или общепризнанной базы NVD, но и данные из БДУ ФСТЭК.

Второй по важности критерий – наличие сертификата регулятора и российское происхождение продукта. Здесь заказчик предпочтёт продукт, разработанный в России с нуля, а не зарубежное opensource-решение, перелицованное для продажи в стране. Собственная разработка не зависит от внешних факторов, повышает надёжность продукта, устойчивость к санкциям и уверенность заказчика в будущем вендора.

Скорость работы продукта (сканирование, получение обновлений базы данных уязвимостей, скорость устранения) – одна из важнейших метрик, на которую нужно ориентироваться при выборе продукта. Вы или злоумышленник – выигрывает тот, кто первым обнаружит уязвимость в инфраструктуре.

Безусловно, цена – тоже важный критерий выбора. За последний год наблюдается повышение стоимости российских ИБ-решений на фоне кратного повышения спроса. Это приводит к отложенному спросу или переориентации на более простые и дешёвые продукты. В условия небольшого предложения VM-систем на рынке это ещё более усложняет выбор.

Также стоит обратить внимание на возможности интеграции со сторонними решениями. Наличие богатого API является на сегодняшний день не просто правилом хорошего тона, а практической необходимостью.

Беседовала: Оксана Дяченко

Материал также опубликован в печатной версии Национального банковского журнала (май 2023)