maxpatrol что это за программа
Max Patrol 8. Обзор инструмента для управления уязвимостями
Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, какие уязвимости появляются в публичном доступе, очень трудозатратная операция. Помимо этого, после обнаружения уязвимости, нужно её каким-то образом устранить. В итоге весь этот процесс выливается в большое количество человеко-часов, и у любого IT-специалиста сразу закономерно появляется еще один вопрос: «А можно ли автоматизировать процесс управления уязвимостями?»
Для решения подобных задач применяются так называемые сканеры уязвимостей. В этой статье мы рассмотрим одного из представителей данного рода решений, а именно Max Patrol 8 от компании Positive Technologies.
В статье мы продемонстрируем каким образом работает Max Patrol 8 на примере сканирования заведомо уязвимой системы и наглядно продемонстрируем функциональные возможности решения. Начнём статью с «наименее интересного», но от того не менее важного вопроса, а именно со схем лицензирования данного продукта.
Cхема лицензирования
Лицензирование в IT, это всегда сложный и динамичный процесс, описание которого зачастую занимает десятки, а в особо сложных случаях, сотни страниц. Документ, описывающий политику лицензирования есть и у сканера Max Patrol 8. Но, этот документ доступен только партнёрам и имеет гриф “для внутреннего использования”, да и в принципе читать подобную техническую документацию дело скучное, и не всегда с первого раза удаётся понять, а как же вообще лицензируется продукт. По хостам? Используемым ресурсам? Или как? Попытаюсь в общих чертах ответить на поставленные вопросы.
Как и многие современные IT продукты, Max Patrol 8 предоставляется по модели подписки.То есть у этого решения есть так называемая “стоимость владения” — та сумма, которую вам придётся платить за каждый год использования сканера, о которой вам обязательно должен рассказать ваш партнёр, c которым идёт проработка решения. Если же интегратор молчит о таком важном моменте, то это повод усомниться в его добросовестности, и задуматься о его смене. Поверьте, объяснять менеджменту компании, что нужно дать ещё денег для того, чтобы ваш сканер не превратился в “тыкву”, удовольствие не из приятных. Поэтому первый важный момент — бюджет на приобретение сканера уязвимости нужно планировать из расчёта стоимости ежегодного владения продуктом. Во всех расчётах вам должен помочь партнёр, с которым вы работаете по этому направлению.
Лицензии на Max Patrol 8 можно разнести по функциональным возможностям. Тут выделяются три сборки:
PenTest — поддержка тестирования на проникновение;
PenTest& Audit — поддержка тестирования на проникновение и системных проверок;
PenTest& Audit & Compliance — поддержка тестирования на проникновение, системных проверок и контроля соответствия стандартам отрасли.
Подробное описание возможностей этих сборок выходит за рамки этой статьи, но уже из названия можно понять в чём ключевая особенность каждой из них.
Дополнительные сканирующие ядра так же требуют дополнительных лицензий. Так же на стоимость лицензии влияет максимальное количество хостов, которые будут сканироваться.
Платформы сканирования
Max Patrol 8 может похвастаться обилием поддерживаемых платформ. Начиная от десктопных операционных систем, заканчивая сетевым оборудованием и АСУ ТП. Перечень всех поддерживаемых платформ просто ошеломляющий, он содержится примерно на 30-ти листах А4…
Хочется отдельно отметить тот факт, что Max Patrol 8 отлично справляется с автоматизацией повторяющихся задач, таких как инвентаризация, технический аудит и контроль соответствия и изменений в информационной системе. Система Max Patrol 8 имеет мощную систему отчётности. Благодаря этому трудозатраты на проведение таких рутинных операций как инвентаризация ПО на рабочих станциях, сокращаются в несколько раз. Достаточно один раз настроить кастомный отчёт, решающий вашу задачу, составить расписание запуска сканирования, и про рутину можно забыть. Вы будете иметь актуальную информацию о ПО, которое установлено на рабочих местах ваших сотрудников.
Max Patrol 8 не использует агентов при сканировании, что позволяет избежать возможных проблем при установки агентов на сервера. А зачастую, установка агентов требует перезагрузки сервера. Согласитесь, всегда немного тревожно ставить сторонний софт на продовые сервера.
Минимальная конфигурация сканера Max Patrol 8 состоит из одного сервера.
MP Server включает в себя:
Сам процесс инсталляции вполне тривиальный. Запускается Мастер установки, несколько раз нажимаем далее, и вуаля, сканер готов к работе при наличии у вас действующей лицензии.
Описание тестирования
В процессе выбора дистрибутива для демонстрации работы сканера Max Patrol 8, наш взгляд упал на популярный дистрибутив Metasploitable 2. Эта сборка представляет собой некое подобие тренажера для пентестеров, исследователей и начинающих специалистов в области информационной безопасности. Наш выбор обусловлен тем, что сборка абсолютно бесплатна, не требует много ресурсов(запускается и нормально работает с 512 MB оперативной памяти) и практически уже стала стандартом де-факто в области обучения специалистов в ИБ.
Дистрибутив построен на Ubuntu server с большим набором установленного уязвимого софта. В системе вы сможете найти очень многие виды уязвимостей. Тут найдутся и бэкдоры, и SQL инъекции, и просто пароли не устойчивые к брутфорсу. Практически через каждый запущенный сервис в системе можно проникнуть в систему и повысить свои привилегии.
Этот инструмент отлично подходит для демонстрации работы сканеров уязвимостей, в нашем случае Max Patrol 8.
Устанавливается дистрибутив весьма просто. Либо из OVF шаблона, либо простым копированием файлов виртуальной машины на локальный диск, и запуск vmx файла. Имеется возможность запускать в Virtual Box. Как только вы запустите виртуальную машину, и увидите приглашение, нужно ввести в качестве логина и пароля комбинацию msfadmin/msfadmin, о чем и говорится в баннере приглашения.
Теперь остаётся залогиниться в систему, и выяснить какой ip адрес получила наша виртуальная машина. По умолчанию в настройках сетевого интерфейса указано что ip адрес должен присваиваться по DHCP. Для нашего тестирования это подходит, поэтому просто вводим команду ifconfig, и получаем адрес, который мы занесём в Max Patrol 8 в качестве цели.
Сканирование цели
Итак, с целью мы определились, теперь нужно создать задачу на сканирование. На этом этапе остановимся по-подробнее, и опишем процесс создания задачи, и сканирования выбранной цели.
Для того, чтобы запустить сканирование, нужно создать задачу.
В параметрах задачи мы укажем профиль сканирования. Для нашей демонстрации мы выберем профиль Fast Scan. По сути, это простое сканирование портов, с определением версией сервиса, который слушает порт.
Как видно на скриншоте, в сканере предусмотрено несколько предустановленных профилей. Описание всех профилей заслуживает отдельной статьи, и выходит за рамки сегодняшнего обзора.
Далее нам необходимо задать узел сканирования, то есть необходимо ввести ip адрес нашего Metasploitable.
В дальнейшем эту задачу можно будет запускать по расписанию, применять на отдельные группы серверов или рабочих станций. Это позволяет создавать гранулированные политики, в задачах которых будут только те сервисы, которые актуальны для того или иного сервера, или ПК. Это позволяет грамотно выделять ресурсы под сканирование. Согласитесь, тратить ресурсы на сканирование контроллера домена на наличие вэб уязвимостей, не самая правильная затея
Итак, запускаем нашу задачу, и на главном дашборде видим статистику выполнения.
Простое сканирование портов, с определением приложения или службы и его версии, у нас заняло около 15 минут.
Результаты сканирования можно посмотреть в разделе история.
В разделе “Сканы” мы видим список выполненных задач по сканированию. Как видно на скриншоте, есть возможность сортировать задачи по имени и дате. Так же в системе присутствует возможность строить различные фильтры, что безусловно облегчает поиск результатов, особенно если сканирование проводится в большой инфраструктуре, и настроено сканирование по расписанию.
Результаты сканирования и функционал отчётности
Вот мы и добрались до самой интересной части этого обзора, а именно до просмотра результатов сканирования, и до функционала отчётности. Выбираем нужное нам сканирование в правом окне, и открываем его двойным кликом. В новом окне откроется детализация результатов сканирования.
На главной странице выводится общая информация об узле, который мы сканировали.
В результате сканер MaxPatrol нашёл 288 уязвимостей в сканируемой системе. Такое же число указано в описании к дистрибутиву Metasploitable. То есть сканер обнаружил все уязвимости, присутствующие в проверяемой системе. Чтобы посмотреть детальную информацию, нужно перейти в раздел “навигатор”, и развернуть дерево нажав на плюсик.
Развернув дерево, мы видим список открытых портов, на которых были обнаружены уязвимые службы или приложения. По цвету сразу видно, на каких портах есть критические уязвимости. Безусловно самое интересное заключается в описании уязвимостей.
Возьмём к примеру 22 порт, и раскроем дерево дальше.
В открывшемся списке мы видим перечень уязвимых приложений, которые слушают указанный порт. В нашем случае видно, что на 22-м порту висит уязвимое приложение OpenSSH server. Раскрыв список дальше, мы добираемся до всех уязвимостей, которые были обнаружены в указанном приложении. Справа, в разделе информация, можно посмотреть что за уязвимость была обнаружена и как её исправить. Так же в этом отчёте публикуются ссылки на дополнительные источники информации о найденной уязвимости. Вся информация в отчётах публикуется на русском языке.
Ну и в заключении обзора, я хочу показать, каким образом построена отчётность в сканере MaxPatrol 8. Даже на нашем примере, с одним единственным сервером, видно что сканер генерирует много информации. А если в задачах указано сканирование 100 узлов? В таком случае искать нужную для себя информацию будет очень трудозатратно. Для решения таких задач существует функционал отчётности. В системе есть преднастроенные шаблоны, и так же можно создавать кастомные отчёты в зависимости от ваших задач.
Вот список шаблонов отчётов, которые уже есть в системе.
Допустим, нам надо получить информацию о наиболее уязвимых узлах в нашей инфраструктуре. Если узлов много, то в ручном режиме собирать и консолидировать информацию из каждой задачи очень трудозатратно. Поэтому мы можем использовать шаблон, который уже есть в системе. Он так и называется “Наиболее уязвимые узлы в скане”. Дважды кликаем на нужный шаблон, и мы попадаем в окно настроек отчёта.
В настройках необходимо указать задачу, и скан из которых будет формироваться отчёт.
Так как у нас в сканировании был один узел, поэтому сравнения мы в этом отчёте не увидим.
В этом отчёте указана формула, по которой строится рейтинг уязвимых узлов. Чем интегральная уязвимость выше, тем уязвимее узел. Функционал отчётности в сканере MaxPatrol просто огромен, и его описание заслуживает отдельной статьи. Формирование отчётов можно запускать по расписанию, и отправлять на электронную почту сотрудникам ИТ и ИБ.
MaxPatrol 8 — Работа с системой
Коллеги, добрый день!
Мы с вами продолжаем знакомиться с системой контроля защищенности и соответствия стандартам MaxPatrol 8 от Positive Technologies.
С первой статьей вы можете ознакомится по ссылке.
Итак, вы разделили полномочия пользователей, завели активы в систему и создали необходимые учетные записи для сканирования этих самых активов.
В первую очередь стоит поговорить о реализации сканирования в MaxPatrol 8.
На вкладке Сканирование существуют задачи, профили и учетные записи.
Вкладка Учетные записи служит для задания учетных данных, используемых при проведении проверок в режимах сканирования Audit и Compliance.
При заведении учетной записи в систему следует сразу настраивать ее на использование только с необходимыми транспортами.
Профиль — определенный набор параметров сканирования, используемых в рамках задачи, которой этот профиль назначен. В профиле выбираются и тонко настраиваются режимы сканирования и подвязываются созданные учетные записи.
Вкладка Задачи состоит из двух областей: активные сканы и настройки.
Своеобразная “единица работы” для сканера — это задача. В ней сопоставляются профили сканирования с возможностью переопределения и активы (узлы).
Сканирования запускаются со вкладки Задачи, но желательно создавать расписания сканирования на вкладке Планировщик.
Теперь поговорим о настройке профилей и выборе режима сканирования
Режимов сканирования 3: Pentest, Audit и Compliance. Включаются они независимо друг от друга в настройке профиля.
Pentest
Сканирование в режиме PenTest направлено на получение оценки защищенности со стороны внешнего злоумышленника. Основные характеристики данного режима:
(Pentest) Bruteforce — основное предназначение это подбор учетных записей, сканирует только стандартные порты сервисов.
(Pentest) DoS scan — профиль включает максимально полный набор проверок, включая и DoS-атаки. Использовать его необходимо с осторожностью.
(Pentest) Fast Scan — профиль предназначен для быстрой проверки на наличие уязвимостей и выполняет только безопасные проверки.
(Pentest) Inventory — описан в предыдущей статье.
(Pentest) PCI DSS ASV — предназначен для проверки на соответствия требованиям PCI DSS. Сканирование занимает длительное время, увеличено время ожидания ответов от сканируемого актива, сканирование происходит в безопасном режиме и само по себе достаточно длительное по времени.
(Pentest) Safe scan — профиль очень похож на Fast Scan за исключением того, что тут задан более широкий диапазон портов.
(Pentest) Service Discovery — предназначен для быстрого обнаружения работающих узлов, открытых на них портов и определения служб. Не настроен на поиск уязвимостей.
(Pentest) Web Scan — предназначен для сканирования веб-ресурсов. Сканирование занимает значительное время, задействует небезопасные проверки, проверке подлежат только стандартные HTTP-порты.
Вы можете детально ознакомиться с параметрами каждого их преднастроенных профилей. Если вам необходимо изменить конкретные параметры в данных профилях, то необходимо клонировать необходимый профиль и уже в него вносить изменения.
Также естественно существует возможность создать новый профиль самому и тонко его настроить. Описывать все галочки не вижу смысла, о них вы можете прочитать в замечательной справке по продукту (это как раз тот редкий случай, когда справка по продукту очень полезная и содержит в себе всю необходимую информацию).
Стоит отдельно поговорить про справочники и словари.
В системе есть предустановленные редактируемые справочники для брутфорса. Стандартные справочники содержат в себе основные логины и пароли для различных сервисов.
Вы можете добавлять необходимые записи в уже существующие справочники или создавать свои:
Audit
Сканирование в режиме Audit используется для контроля обновлений, анализа конфигурации, локальной оценки стойкости паролей и т.д. Сканирование производится посредством удаленного доступа к объектам сканирования с использованием сетевых транспортов и учетных данных, при этом MaxPatrol 8 не требует наличия агента на сканируемом узле.
Сканирование в режиме Audit позволяет собрать наиболее полные данные об активах и установленных на них ПО и благодаря проверке с использованием учетной записи с необходимыми привилегиями выдает намного больше уязвимостей актива чем в сканирование в режиме Pentest.
Также в режиме Audit можно собирать данные о контроле целостности конкретных файлов и производить подбор учетных записей с помощью справочников аналогично сканированию в режиме Pentest.
Стоит отметить, что список поддерживаемых систем, которые можно просканировать режимом Audit большой, но есть и неподдерживаемые системы.
Compliance
Сканирование в режиме Compliance позволяет проводить проверки на соответствие требованиям различных стандартов. При этом могут быть учтены как простые технические проверки (длина или возраст паролей), так и более сложные, например, отсутствие устаревшего программного обеспечения.
Режим Compliance предусматривает обработку результатов сканирования, выполненных в режимах PenTest и Audit, а также добавляет проверки, специфичные для данного режима.
В MaxPatrol 8 существует достаточно большой перечень встроенных стандартов, которые содержат в себе рекомендации компетентных организаций (Best Practice) и международные или государственные стандарты (требования регуляторов).
Также режим Compliance может быть дополнительно настроен с учетом требований корпоративных стандартов.
В системе MaxPatrol предусмотрено три механизма адаптации стандартов под корпоративные нужды:
Переопределение параметров «требований» позволяет выполнить более тонкую настройку параметров некоторых требований. Изменение параметров можно осуществлять для отдельных требований.
Создание пользовательских проверок осуществляется с помощью добавления «универсальных проверок».
С помощью универсальных проверок можно проверить:
Отчеты
На вкладке Отчеты мы можем либо воспользоваться стандартными отчетами, присутствующие в системе, либо настроить свои собственные шаблоны.
В системе существуют несколько типов отчетов:
Отчет типа Информация
Самый простой и наиболее используемый тип отчета – «Информация». К этому типу относится большинство стандартных шаблонов. Отчеты, сформированные на основе шаблона указанного типа, обычно содержат результаты одного или нескольких сканирований.
Например, отчет, сформированный на основе стандартного шаблона «Отчет по скану в режиме PenTest» содержит результаты одного сканирования.
Дифференциальный отчет предназначен для сравнения результатов двух сканирований и определения различий. Соответственно, при формировании такого отчета указываются эталонные и изучаемые данные. Это, например, могут быть два отдельных скана, выбираемые при генерации отчета. Способ выбора исходных данных (по скану или по задачам) указывается при настройке шаблона.
Отчет «Сравнительный аналитический» позволяет получить картину состояния защищенности, выраженную в количественных показателях – метриках. При настройке шаблона или при формировании отчета указываются требуемые метрики.
Отчет Динамический аналитический позволяет увидеть динамику изменений названных показателей с течением времени.
Все отчеты могут быть сформированы в трех форматах:
Пример отчета по шаблону paf_by_host_report:
Следует заметить, что вкладка «Отчеты» содержит не сами отчеты, а шаблоны для их формирования. Поскольку шаблон обычно используется многократно для формирования отчетов на основе различных данных, то при его настройке поля, предназначенные для выбора данных, оставляют пустыми. Эти поля заполняются пользователем непосредственно в момент генерации отчета. С другой стороны, в ряде случаев требуется заполнение всех обязательных полей, например, при выпуске отчетов по расписанию.
Отчеты также можно гибко настраивать фильтрами, добавляя или удаляя необходимые вам данные, Осуществлять фильтрацию только по определенным версиям ПО, ОС, рейтингу CVSS и т.д.
Например для вывода только уязвимостей, в которых присутствует идентификатор BDU необходимо осуществить фильтрацию по полю “fstec” со значением “exists”.
Сформированный пользователем отчет при необходимости может быть сохранен в виде файла на диске. Однако в некоторых случаях эту процедуру желательно автоматизировать, например, при запуске задач по расписанию. Для этой цели в MaxPatrol предусмотрены так называемые доставки, которые можно осуществлять через сетевой каталог или через электронную почту.
Max Patrol SIEM. Обзор системы управления событиями информационной безопасности
Введение
Друзья, добрый день.
Данную статью я хочу посвятить такому продукту, как MaxPatrol SIEM компании Positive Technologies уже более 17 лет разрабатывающей инновационные решения в области кибербезопасности.
В ней я постараюсь кратко описать основные задачи и мероприятия, с которыми сталкивается любой офицер ИБ во время своей деятельности и на примере продукта MaxPatrol SIEM рассказать, как их можно решить.
Также постараюсь описать его платформу и схему лицензирования.
Заинтересовавшихся прошу под кат.
Итак, в начале обзора нам как всегда не обойтись без кусочка теории и начну я со знаменитого афоризма Натана Майера Ротшильда, который он произнес в июне далекого 1815 года при поражении Наполеона в битве при Ватерлоо, но который сегодня как никогда актуален: «Кто владеет информацией — тот владеет миром».
В нашем современном, цифровом мире, информация стала самым ценным активом не только коммерческих предприятий, но и государств. Простейший пример критичности информации на сегодняшний день — те же самые деньги граждан, которые в современном мире хранятся не под матрасами и в сундучках, а в цифровом виде на банковских счетах и являются по сути своей записями в той или иной базе данных.
Постоянный рост уровня телекоммуникаций, когда, теоретически, любой человек с доступом в сеть интернет может получить доступ к любой информации, которая может располагаться как на подключенных, так и не подключенных к глобальной сети интернет системах, способствует не прекращающемуся ни на мгновение росту «гонки вооружений» в сфере ИБ:
В целом же получается классическое противостояние «меча и щита», а в сфере ИБ оно довольно часто называется противостоянием «red team vs blue team».
Мероприятия ИБ
А теперь перейдем к более приземленным вещам и рассмотрим типовой ландшафт атаки злоумышленника — их меч, которым они угрожают инфраструктуре предприятий.
Зачастую атака на любую информационную систему состоит из 3-х основных этапов: 
В противовес этому инженеры ИБ со своей стороны выстраивают следующие защитные мероприятия — их щит, которыми они защищают инфраструктуру предприятий: 
Давайте рассмотрим каждый этап по обеспечению защитных мер отдельно:
Описание платформы
Перейдем теперь к самому продукту MaxPatrol SIEM от Positive Technologies. Сразу скажу, что разработчики компании поставили своей целью построить систему, обеспечивающую возможность проведения всех 3-х видов мероприятий в одном продукте:
Если разместить все модули на одном рисунке, получим следующее:
Система может быть развернута как в программном (виртуализация), так и в аппаратном виде на физических серверах. Также есть несколько вариантов инсталляций системы, которые зависят в основном от количества регистрируемых событий в секунду EPS (нагрузки на систему) и особенностей сети предприятия.
Минимальная конфигурация (All-in-one)
В данной конфигурации все модули системы собраны на одном сервере.
Низко-нагруженная система
В данной конфигурации модуль MP Agent (сбор событий, проведение сканирований и аудита систем) выносится отдельно от остальных модулей.