Host Vulnerability Manager #

Компонент Host Vulnerability Manager (HVM) - инвентаризация данных и уязвимостей по хостам агентским методом.

Предназначен для инвентаризации устройств и поиска уязвимостей, агенты устанавливаются на узлы заказчика, собирает информацию об аппаратных и программных ресурсах, находит уязвимости в ИТ-инфраструктуре.

Состав агента #

Агент на устройстве - это специальное клиентское приложение, которое устанавливается на машину пользователя и позволяет собирать данные для последующего использования при анализе уязвимости.
Инвентаризация — компонент предназначен для верификации и управлением ИТ-активами заказчика.
Коллектор — средство сбора потока сообщений от агентов Заказчика. Коллекторы, которые есть на данный момент:
- установленные программы;
- информация о CPU;
- информация о дисках (хранилища долговременной памяти);
- информация о хосте и сети;
- информация об оперативной памяти;
- сетевые интерфейсы;
- открытые порты;
- установленные программные пакеты.

Преимущества #

Наиболее «точный» метод инвентаризации и выявления недостатков.
Дистанционное развертывание сенсоров в виде легких программных агентов.
Поддержка отечественных ОС.
Низкая нагрузка на хосты и сеть.
Технические требования (минимальные) Windows 7 и выше, MacOS 10.14 и выше, Linux Kernel version 2.6.23 и выше (Debian, CentOS и другие). Оперативная память ~ 10 МБ. Сетевой трафик – полный набор пакетов ~ 250 КБ, набор изменений – 10 КБ. Пространство на HDD ~ 15 МБ.
Наличие патч-менеджмента.

Сценарии использования: #

Сценарий	Минимизируемые риски
🔧 Обнаружение неустановленных патчей и своевременное принятие мер по устранению критичных уязвимостей в ПО на конечных точках	Несвоевременное обновление ПО и отсутствие установленных патчей оставляют систему уязвимой к атакам, включая эксплуатацию известных CVE.
🚫 Контроль запрещённого ПО на хостах пользователей	Использование несанкционированного ПО может привести к утечке данных, компрометации системы, снижению производительности или нарушению требований безопасности.
💻 Контроль изменения аппаратных характеристик ПК (кража оперативной памяти, жёстких дисков)	Несанкционированные аппаратные модификации могут свидетельствовать о попытках саботажа, физического взлома или кражи данных.
🌐 Выявление нестандартных сетевых соединений на ПК	Аномальные сетевые соединения могут быть признаком вредоносной активности, скрытого трафика или утечек данных.
📊 Инвентаризация OS, ПО, IP и пользователей на хостах	Недостаток информации о конечных устройствах приводит к проблемам в управлении безопасностью и увеличивает вероятность эксплуатации неизвестных уязвимостей.

Этапы работы #

Первый этап - установка ...

На данном этапе проивзодится установка агентов в инфраструктуру Заказчика и сбор информации коллекторами. Агент собирает минимальную информацию о хосте (установленная операционная система, платформа, Host ID, IP-адрес). Остальные параметры можно изменить при настройке конфигурации агента. Агент с полученной информацией проходит авторизацию по https. Такой запрос может выполняться раз в сутки или при запуске агента на рабочей станции.
Сбор данных с сенсоров на сервер происходит по заданному при конфигурации интервалу и по запросу на принудительную отправку данных пользователем. При конфигурации сенсоров также можно указать, какие данные будут разрешены для сбора.
Для сбора определённой информации с компьютера пользователя используется выбранный им набор источников информации (коллекторов). Пользователь имеет возможность конфигурировать агента и определять какие коллекторы будут включены для сбора информации.

Второй этап - мониторинг ...

На данном этапе производится мониторинг собранной информации при помощи панели мониторинга, которая является главной страницей продукта, где собрана суммарная информация об уязвимостях на всех устройствах, привязанных к аккаунту пользователя. Тут отображаются уязвимости, найденные на всех устройствах пользователя, разделенные в соответствии с риском, которые они представляют для рабочей машины.\ Какие данные собирает:

информация о хосте;
данные об установленных программах;
информация о CPU;
информация о дисках;
информация об оперативной памяти;
информация о сетевых интерфейсах пользователя;
данные об открытых портах;
информация о установленных службах;
данные об установленных обновлениях системы.

Третий этап - отчетность ...

На данном этапе производится анализ отчетов при помощи панели отчетов, которая представляет собой инструмент для отслеживания уязвимостей безопасности на устройствах пользователей. Здесь предоставляется информация о конкретных уязвимостях, найденных на устройствах. Отчеты могут быть представлены в табличном или плиточном виде, что обеспечивает пользователю максимальную гибкость при работе с данными.
Для облегчения поиска определенной информации на странице доступен инструмент поиска, включающий использование тегов. Кроме того, предоставляется широкий выбор фильтров и сортировок, которые значительно упрощают работу с отчетами.
Уязвимости, обнаруженные на устройствах пользователей, могут быть разделены на несколько категорий: активные, устраненные и все обнаруженные уязвимости. Такой подход позволяет пользователям сфокусироваться на наиболее важных задачах и упростить координацию усилий по их устранению. При нажатии на большинство уязвимостей можно ознакомиться с информацией о патче, которым закрывается данная уязвимость, а также о накопительном патче для данного продукта.