Хияс Айдемиров: X-Config — новый взгляд на управление уязвимостями конфигураций

Российский рынок ИБ лихорадит. Многие западные вендоры прекратили поддержку своих продуктов, обновлённые версии не проходят сертификацию. Кто защитит российских заказчиков в условиях турбулентности? Хияс Айдемиров, исполнительный директор компании Spacebit, ответил на этот вопрос и ряд других в своём интервью, приуроченном к релизу нового продукта для управления безопасностью конфигураций X-Config.

Расскажите об истории компании Spacebit.
Х. А.: Spacebit образовался в начале 2021 года как стартап внутри группы компаний «Информзащита», работающей на рынке более 27 лет. Занимаясь классической системной интеграцией, «Информзащита» собрала вокруг себя внушительный пул заказчиков. Параллельно велась разработка заказных информационных систем. Так со временем появился набор продуктов, которые после освобождения от специфических требований конкретных заказчиков можно было продуктизировать, то есть сделать универсальными и тиражировать для всего рынка.

Однако российский рынок ИБ является достаточно закрытым. Здесь уже сформировалась группа основных вендоров, их партнёров и заказчиков. Для самостоятельного вывода продукта недостаточно возможностей одной компании, даже такой известной, как «Информзащита». Нужна самостоятельная, независимая компания, гарантирующая равные условия для всех участников рынка сделок. Заказчики и партнёры должны быть уверены, что получают равные условия и равноценную поддержку со стороны вендора.

Выход на большой рынок ИБ по партнёрскому каналу возможен только через независимого и самостоятельного вендора.

Так в начале 2021 года и появилась компания Spacebit. «Информзащита» стала для неё одним из равных между собой партнёров. Сейчас пул партнёров активно растёт, на текущий момент он насчитывает уже более 20 компаний.

Для каких прикладных задач предназначена программа X-Config?
Х. А.: Релиз нашего первого коммерческого выпуска X-Config состоялся в октябре 2022 года. Этот программный продукт служит для управления безопасностью конфигураций, контроля изменений и соответствия стандартам безопасности.

X-Config позволяет выстроить и автоматизировать процессы контроля и управления конфигурациями, а в перспективе — автоматизировать применение стандартов безопасной конфигурации. Это помогает службам ИБ и ИТ контролировать появление уязвимостей, связанных с ошибками настроек или конфигурирования в корпоративных системах, и фокусировать своё внимание на критически важных требованиях. Это — рабочий инструмент для офицера ИБ, который помогает ему оперативно оценивать ситуацию и проводить эффективный анализ выявленных проблемных областей.

Как появилась идея создания X-Config?
Х. А.: Ещё в процессе разработки нового продукта внутри компании «Информзащита» была накоплена сильная экспертиза в области аудита и управления уязвимостями. Работая над проектами, эксперты неоднократно замечали, что после проведения ИБ-аудита резко возрастал объём работ по применению рекомендаций связанных с устранением уязвимостей. Работы в основном проводились вручную, отнимали значительные ресурсы служб ИТ и ИБ, были достаточно длительными по времени.

Проблема в том, что корпоративная информационная система заказчика постоянно меняется, не остаётся статичной по своей природе: в ней регулярно происходят какие-то изменения, выходят новые версии, появляются новые продукты. Новые угрозы и риски возникают в системе ежедневно, по классике они выявляются через аудит и требуют оперативного решения. Контроль, мониторинг и приведение конфигурации в соответствие требованиям по ИБ должны были проводиться на регулярной основе.

Информационная безопасность — это всегда процесс постоянного повышения уровня защищённости. Как показывает практика, многие заказчики испытывают трудности в этом процессе. Уязвимости имеют разный уровень критической значимости для различных информационных систем и различных заказчиков. Соответственно, это формирует определённые требования к приоритетам их закрытия.

Даже если закрывать только самые критически важные уязвимости, трудоёмкость этого процесса остаётся достаточно высокой.

Так появилась идея автоматизировать эти процессы. Мы увидели, что на рынке есть потребность в более эффективном решении этой задачи.

Какую ключевую проблему заказчика решает ваш продукт и каким образом вы этого достигаете?
Х. А.: Мы исходили из понимания того, что в процессе эксплуатации любой системы, даже разработанной идеально, всегда появляются уязвимости, возникающие из-за неправильной настройки или конфигурирования.

Возьмите, например, стандарт безопасного конфигурирования (СБК) для операционной системы Windows 10. Он представляет собой документ содержащий более 200 страниц печатного текста. Там приведены параметры для безопасного конфигурирования, указаны последствия неправильной настройки. Мы перевели эту информацию в цифровой вид и создали эталонные цифровые модели «Стандарт безопасного конфигурирования». Аналогичные стандарты созданы и для других операционных систем, веб-серверов, СУБД и так далее.

Таким образом, мы разработали для X-Config определённый набор эталонных стандартов безопасной настройки для существующих ОС. Сам по себе программный продукт охватывает сразу несколько технологических процессов работы с уязвимостями: инвентаризацию ИТ-оборудования, сканирование конфигурации, управление настройками.

X-Config сканирует корпоративную сеть и находит в ней реальные конфигурации. Далее происходит сопоставление эталонных и фактических настроек целевых систем, и продукт выдаёт несоответствия, классифицировав их по уровню критической значимости. Система отчётности достаточно гибка в настройках и позволяет выводить данные в различных разрезах.

Мы не анализируем уязвимости, если они находятся в исходном коде или на уровне архитектуры.

В текущей версии X-Config пока только выдаются уведомления, рекомендации и отчёты. В следующих версиях мы планируем наращивать возможности продукта. Уже в первом квартале 2023 года собираемся выпустить обновление с рядом новых полезных функций для службы ИТ.

Какие уязвимости умеет выявлять X-Config?
Х. А.: Только уязвимости связанные с неправильной настройкой систем. К настоящему времени мы уже подготовили стандарты для поддержки большого количества популярных операционных систем. Это — разные версии Windows, основные «линуксовые» системы. В активном технологическом партнёрстве с разработчиками отечественных ОС ведём работы по созданию стандартов для Astra Linux, РЕД ОС, Alt Linux.

При разработке этих СБК мы ориентируемся на лучшие практики и бенчмарки CIS, NIST, международных некоммерческих организаций и ассоциаций. Кроме того, мы используем требования регуляторов, рекомендации производителей ОС и СУБД, а также экспертные знания своих аудиторов и аналитиков, которые благодаря многолетнему опыту хорошо знают, как правильно должны быть настроены те или иные программные системы с точки зрения их безопасности.

Методика разработки стандартов безопасного конфигурирования имеет широкое применение. На её базе можно выпускать СБК под любую прикладную систему, пройдя процесс согласования вопросов по её безопасности с соответствующим вендором. Обновлённые СБК могут вводиться в систему постоянно или по расписанию. Благодаря такому механизму обеспечивается мониторинг текущих изменений в конфигурации с их обнаружением после появления соответствующей информации у вендора. Аналогичный механизм защиты можно реализовать и для машин на базе macOS.

В текущий момент для российских заказчиков особенно важно оперативно отслеживать и устранять уязвимости уровня настроек.

Какие имеются особенности в использовании X-Config?
Х. А.: X-Config отслеживает изменения конфигураций в режиме периодических проверок. Они могут проводиться регулярно, по расписанию или по запросу. В продукте имеется инструментарий офлайн-проверок — для сбора информации о настройках в сегментах без сетевой связанности.

X-Config не отслеживает изменения в режиме реального времени, потому что система не использует агенты на целевых системах.

В нынешней версии заказчик получает вместе с отчётом рекомендации по исправлению уязвимостей. Эти сведения отражаются в самой информационной системе и доступны для ИТ- и ИБ-специалистов, работающих в ней.

В отчётах и дашбордах используется цветовое выделение уязвимостей в зависимости от степени критической значимости обнаруженных брешей. Это позволяет наглядно оценивать состояние и степень защищённости от уязвимостей.

Какие особенности есть в архитектуре решения X-Config?
Х. А.: Система X-Config построена на микросервисной архитектуре. Если возникает потребность в её масштабировании, то достаточно «поднять» новый сервис и разделить с ним вычислительную нагрузку.

Структурно система состоит из ядра и набора программных коллекторов. Они представляют собой приложения, запускаемые на рабочих станциях и выполняющие задачи по инвентаризации узлов и сканированию конфигураций. Управляя количеством коллекторов, можно легко масштабировать систему и распределять вычислительную нагрузку по участкам.

Преимущество X-Config — её полная платформенная независимость. Отсутствуют также повышенные требования к оборудованию. Такая система эффективно работает как на платформе Microsoft, так и под управлением Linux.

Какие внутренние механизмы защиты применяются в X-Config?
Х. А.: В X-Config выстроена система распределения внутренних прав доступа к её инструментам. Существует несколько ролей для сотрудников разных уровней: например, системный администратор или офицер ИБ.

Предусмотрена даже роль супервизора (главного офицера ИБ), она пригодится при установке X-Config в территориально распределённых структурах, где в каждом филиале работает свой офицер ИБ. Предусмотрена также защита данных, передаваемых между компонентами внутри системы. Их перенос осуществляется в зашифрованном виде. Скрипты для сбора информации по сети также могут использовать электронную цифровую подпись для защиты от изменений.

Продукт перед каждым крупным релизом проверяется командой пентестеров с использованием различных инструментов анализа кода на наличие уязвимостей.

Какие возможности по автоматизации предоставляет X-Config?
Х. А.: X-Config позволяет автоматизировать процесс аудита конфигураций, регулярно проводя сканирование по расписанию и выявляя несоответствия, нарушения и уязвимости. После настройки системы заказчик получает в своё распоряжение «канал» из регулярных отчётов, в которых предоставляется достаточный объём постоянно обновляемой информации для анализа.

Вместе с отчётами ИБ-специалисты получают сводки по неправильно сконфигурированным устройствам. По ним формируется список задач на исправление уязвимостей, который сам по себе может быть достаточно большим. Для выполнения этих задач службе ИБ нужно разработать скрипты, переработать групповые политики в службе каталога или внести исправления вручную.

В текущем релизе X-Config ограничивается отчётами со сведениями о соответствии ресурсов требованиям стандартов. Но уже в планах на 2023 год — выпуск новой версии, которая позволит приводить целевую систему к требованиям в полуавтоматическом и автоматическом режимах. После оценки обнаруженного несоответствия между эталонной и фактической моделями ИТ-специалист сможет применить параметры из эталонной модели к фактической конфигурации. Это станет большим и важным шагом на пути к автоматизации многочисленных рутинных операций, которые сейчас сотрудники ИТ и ИБ вынуждены выполнять вручную.

Важно отметить, что X-Config позволяет создавать профили эталонных стандартов под конкретного заказчика. Они учитывают особенности внутренней политики ИБ. Это позволит компаниям и их службам ИБ доверять средствам автоматизации, которые появятся в X-Config совсем скоро.

Третье направление по автоматизации — это помощь в оценке обнаруженных уязвимостей и выставлении их приоритета в зависимости от уровня критической значимости. Предусмотрено несколько уровней: высокий, средний и низкий.



Полный вариант интервью читайте в источнике:: https://www.anti-malware.ru/interviews/2022-11-24/39980

Вернуться к списку