Непрерывный мониторинг уязвимостей Awillix — платформа, заменяющая сканеры и пентесты

Эксперт в области тестирования на проникновение и сооснователь Awillix Александр Герасимов рассказал Cyber Media, как новая платформа помогает бизнесу защитить свои ресурсы от хакерских атак.

Чтобы взломать компанию, хакеры начинают с разведки: находят веб-сайты и сервисы компании, сотрудников, почтовые адреса, проводят сканирование и ручной поиск уязвимостей. Затем они эксплуатируют найденные уязвимости и попадают во внутреннюю сеть. Так злоумышленники могут украсть чувствительные данные или получить контроль над цифровыми активами.

Чтобы повысить уровень внешней защиты, отдел безопасности время от времени проводит анализ защищенности ИТ-инфраструктуры. В результате — недостатки обнаруживаются и устраняются, до того как этим воспользуется хакер. Уровень защищенности внешнего контура от проведения проверок растет и компания становится труднодоступной для хакеров.

Главный недостаток таких мер — непродолжительный эффект. ИТ-инфраструктура продолжает развиваться с учетом потребностей компании и уровень защищенности снова скатывается к низкому.

Мы разработали решение для этой проблемы — Continuous Vulnerability Monitoring (CVM) — непрерывный мониторинг уязвимостей. Продукт позволяет поддерживать высокий уровень защищенности на постоянной основе.

CVM — это SaaS-решение, позволяющее в режиме 24/7 тестировать инфраструктуру и приложения, проводить инвентаризацию сервисов, приоритизировать риски и строить аналитику.

Модульный продукт

Клиент может гибко подключать или отключать необходимый функционал CVM и регулировать частоту его использования, поскольку продукт является модульным.

Модуль 1. Непрерывная инвентаризация внешнего ИТ-периметра

Непрерывный 24/7 мониторинг публикации, сервисов и служб на внешнем периметре.

Сканирование внешнего периметра осуществляется с целью определения:

• Активных хостов;
• Открытых сервисов;
• Версий сервисов;
• Новых доменных имен.

Встроенный модуль аналитики позволяет проанализировать:

• Динамику изменения: какие хосты и сервисы пропали или появились;
• Изменения в сервисах: смена ПО или версий.

Модуль 2. Инвентаризация SSL-сертификатов

Определение SSL-сертификатов из сервисов на внешнем периметре. Непрерывный контроль срока действия и оповещение об окончании срока действия. Имеется возможность ручной загрузки SSL-сертификата.

Модуль 3. Анализ угроз

Мониторинг безопасности внешнего периметра в ручном и автоматизированном режимах.

В CVM встроены собственные наработки Awillix и правила сканирования, а также интегрированы известные сканеры безопасности. Периодическое сканирование уязвимостей и ручное тестирование внешнего периметра позволяет получить информацию о существующих уязвимостях и недостатках конфигурации, логических уязвимостях и возможных мошеннических операциях.

Команда специалистов в ручном режиме верифицирует уязвимости, делает приоритезацию рисков и дает четкие, понятные рекомендации по их устранению. А команда аналитиков своевременно сообщит о критических уязвимостях в компонентах и ПО. В рамках модуля производится анализ скомпрометированных учетных данных и оповещение о новых случаях.

Варианты использования

1. Необходимо сканирование с верификацией уязвимостей
2. Сканирование и ручное тестирование
3. Инвентаризация внешнего периметра

Ключевые задачи, которые решает CVM

• Сокращение поверхности атаки и уровня критичности

Существенно сокращает поверхность атаки и время жизни уязвимостей. Снижает возможности злоумышленников развивать атаки и эксплуатировать критичные уязвимости.

• Существенное повышение сложности возможного взлома

Регулярное исправление выявленных уязвимостей повышает уровень потенциального злоумышленника, делая взлом в большинстве случаев невозможным.

• Обратная связь и рекомендации пентестеров

В рамках подписки у заказчика есть возможность прямого общения с выделенной командой специалистов по тестированию на проникновение. ИБ-специалисты компании может задавать любые вопросы о безопасности их инфраструктуры и получать индивидуальные рекомендации.

Системные требования

Поскольку решение полностью облачное, то для использования не требуется установки никакого дополнительного ПО, агентов и тому подобного.

Стоимость продукта

Использование сервиса осуществляется по подписке. Стоимость определяется по количеству цифровых активов (доменные имена, IP-адреса), а также по количеству сканирований и ручного тестирования в месяц.

Например, стоимость непрерывного мониторинга для 100 цифровых активов составит 100 тыс рублей в месяц и будет включать в себя:

• ежедневную инвентаризацию внешнего периметра;
• контроль срока службы SSL сертификатов 24/7;
• сканирование инфраструктуры на наличие уязвимостей;
• ручную верификацию;
• 24/7 поддержку и доступность выделенной команды консалтинга для решения оперативных вопросов по безопасности внешнего периметра.

Платформа CVM — выгодное решение, так как для непрерывного мониторинга 100 цифровых активов компании требуется минимум один ИБ-специалист со средней зарплатой от 150 тыс рублей и набор проприетарного софта стоимостью около 900 тыс в год. Что, в любом случае, не гарантирует непрерывность процесса и постоянно высокое качество, которые обеспечивает CVM.

Преимущества перед услугой анализа защищенности и обычными сканерами уязвимостей

1. Гарантировано высокий уровень защищенности внешней инфраструктуры на протяжении всего срока подписки, а не разово после окончания проекта по анализу защищенности.
2. Ручная верификация уязвимостей и отсутствие false-positive уязвимостей.
3. Регулярные адресные рекомендации по устранению каждой уязвимости (не реже 1 раза в месяц).
4. Моментальные уведомления о появлении критических уязвимостях  или незащищенных сервисах на периметре.
5. Моментальное уведомление об 1-day уязвимостях (пример: Log4j).
6. Соответствие требованиям регуляторов ЦБ РФ и других о необходимости проведения регулярного анализа защищенности инфраструктуры.
7. Выделенная постоянная команда пентестеров, которые успевают глубоко погрузиться в логику работы систем и архитектуру внешнего контура.

О компании Awillix

Продукт создан одной из лучших и востребованных offensive-компаний в области кибербезопасности. За годы существования компании было выполнено более 300 проектов по анализу защищенности для заказчиков практических из всех отраслей. Среди наших клиентов крупнейшие федеральные банки, страховые компании, ИТ-интеграторы и продуктовые компании, производственные и промышленные холдинги.