MaxPatrol VM Getting Started: Введение

Содержание статьи

1. О Positive Technologies
   
2. Почему VM?
   
3. Архитектура VM
   
4. Лицензирование
   
5. Сертификация
   

О Positive Technologies

Компания Positive Technologies работает на рынке более 20-ти лет и является одним из ведущих разработчиков решений для информационной безопасности.

В среднем за год эксперты компании выявляют сотни уязвимостей нулевого дня в IT-системах различных классов и типов, в том числе в продуктах Cisco, Citrix, IBM, Intel, Microsoft, VMware и т.д. Сведения обо всех без исключения найденных уязвимостях компания предоставляет производителям ПО в рамках политики ответственного разглашения (responsible disclosure) и не публикует до тех пор, пока вендоры не выпустят соответствующее обновление.

На данный момент у компании присутствует несколько сканеров безопасности, но флагманом является MaxPatrol VM.

Почему VM?



MaxPatrol VM позволяет:

• идентифицировать активы по большому количеству параметров;
  
• строить актуальную модель IT-инфраструктуры в реальном времени;
  
• классифицировать активы по степени значимости;
  
• обнаруживать новые уязвимости без повторного пересканирования;
  
• организовать единую площадку с IT для проактивного подхода к устранению уязвимостей;
  
• перенести договоренности с IT по патч-менеджменту;
  
• обнаруживать новые уязвимости на активах без сканирования.
  

Данный набор преимуществ позволяет выстроить полноценный процесс по контролю и устранению уязвимостей во всей IT-инфраструктуре.

Архитектура VM



MaxPatrol VM выстроен на единой платформе с MaxPatrol SIEM — MaxPatrol 10 , и имеет возможность установки на ОС Windows и Debian.
Система состоит из следующих компонентов:

MaxPatrol 10 Core

Core является основным компонентом системы, ее управляющим сервером. Чаще всего устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях, выполняет следующие функции:

• централизованное хранение конфигурации активов;
  
• выстраивание топологии сети;
  
• централизованное управление всеми компонентами системы;
  
• обеспечение взаимодействия подразделений организации при расследовании инцидентов;
  
• автоматизация процесса управления уязвимостями;
  
• поддержка веб-интерфейса системы.
  

MaxPatrol 10 Agent

Agent сканирует активы системы в режимах “черного” и “белого” ящика. Агенты позволяют обнаруживать узлы и их открытые сетевые сервисы, а также проводить специализированные проверки в режиме теста на проникновение.

В режиме активного сканирования собирает следующую информацию об активах: название, версию и производителя операционной системы, установленные обновления ОС, список установленного ПО, параметры ОС и ПО, учетные записи пользователей и их привилегии, данные об аппаратном обеспечении, запущенных сетевых сервисах и службах ОС, параметрах сети и средств защиты.

Agent обеспечивает передачу в компонент MP 10 Core. Собранные данные используются компонентом MP 10 Core для расчета уязвимости активов.

Knowledge Base

KB — это единая база знаний для продуктов Positive Technologies. Она содержит сведения об уязвимостях и способах устранения, бюллетенях безопасности.

PT Management and Configuration

MC обеспечивает:

• сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
  
• управление пользователями системы (создание учетных записей, назначение прав, блокирование и активацию учетных записей);
  
• журналирование действий пользователей.
  

PT Update and Configuration Service

Компонент UCS — это сервис онлайн-обновления компонентов MaxPatrol VM. PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.

Для доставки компонентам новых версий используется ПО SaltStack: модуль Salt
Master находится на сервере PT UCS, модуль Salt Minion — на серверах компонентов
MaxPatrol VM. PT UCS получает новые версии компонентов с глобального сервера
обновлений Positive Technologies и с помощью модуля Salt Master отправляет их модулям Salt Minion для установки.

Лицензирование

В MaxPatrol VM присутствуют два типа лицензий:

1. Базовая.
   
2. Инфраструктурная.
   

Базовая лицензия определяет максимальное количество узлов, покрываемое VM. Узлами считаются любые устройства, имеющие IP адрес (серверы, компьютеры, сетевые принтеры, коммутационное оборудование, виртуальные машины любого уровня вложенности).

Инфраструктурные лицензии включают в себя лицензию на сам компонент MaxPatrol Server и лицензии на компоненты Agent.



На данном примере мы видим комбинацию на 3000 узлов и 3 агента сканирования.

Сертификация

На момент написания цикла статей (q1 2023) MaxPatrol VM как отдельный обособленный продукт не имеет сертификата ФСТЭК. На данный момент VM проходит процесс сертификации и скорее всего сертификат будет в конце 2023 года.

У VM есть сертификат ФСТЭК, если VM идет в составе PT SIEM. Это актуально для связки SIEM 24.1 + VM 1.0, но в ближайшее время сертификат получит связка SIEM 25 + VM 1.5

Автор: Роман Журавлёв, инженер TS Solution

Регистрируйтесь и читайте следующие статьи курса на TS University .