MaxPatrol: SIEM и управление уязвимостями от Positive Technologies

MaxPatrol — это линейка продуктов российского вендора Positive Technologies для мониторинга информационной безопасности и управления уязвимостями. Под общим брендом объединены два ключевых решения: MaxPatrol SIEM — система сбора и анализа событий ИБ, и MaxPatrol VM — система управления уязвимостями (Vulnerability Management).

Что это и кто разработчик

Positive Technologies — российский разработчик решений в области информационной безопасности. Для среднего и крупного бизнеса в России это один из важных вендоров на фоне курса на импортозамещение средств защиты: продукты MaxPatrol — отечественные, что снимает риски ухода зарубежного поставщика и упрощает соответствие требованиям регуляторов к российскому ПО.

MaxPatrol — не одна программа, а несколько продуктов, которые часто работают в связке. Конкретные версии, редакции и технические характеристики продуктов меняются — точную актуальную спецификацию нужно уточнять по документации вендора на дату проекта.

MaxPatrol SIEM — мониторинг событий ИБ

MaxPatrol SIEM относится к классу SIEM (Security Information and Event Management) — систем управления событиями информационной безопасности. Задача SIEM — собрать события (логи) со всей инфраструктуры в одно место, нормализовать их и по правилам корреляции выявлять подозрительные цепочки, указывающие на атаку или нарушение политик.

Типовые функции SIEM-класса, к которому относится продукт:

• сбор событий с серверов, сетевого оборудования, межсетевых экранов, конечных точек и приложений;
• нормализация разнородных логов к единому формату;
• корреляция — выявление связанных событий (например, серия неудачных входов и последующий успешный вход в нерабочее время);
• выявление инцидентов и оповещение аналитиков;
• хранение событий для последующего расследования.

MaxPatrol SIEM становится «ядром» процесса мониторинга — именно его данные разбирает дежурная смена центра мониторинга. Общее устройство таких систем разобрано в статье про SIEM.

MaxPatrol VM — управление уязвимостями

MaxPatrol VM решает другую задачу — управление уязвимостями (Vulnerability Management). Если SIEM ловит атаки в момент их совершения, то VM работает на упреждение: находит слабые места в инфраструктуре до того, как ими воспользовались.

Управление уязвимостями — это не разовое сканирование, а непрерывный процесс:

• инвентаризация активов — что вообще есть в инфраструктуре;
• сканирование на наличие известных уязвимостей в ПО и конфигурациях;
• приоритизация — какие уязвимости опаснее и какие закрывать в первую очередь;
• контроль устранения — отслеживание, что найденные дыры действительно закрыты.

Подробнее о самом классе инструментов — в статье про сканеры уязвимостей. Связка «нашли уязвимость через VM — закрыли — проверили» обычно становится частью регулярного аудита безопасности.

Зачем это бизнесу

Две задачи MaxPatrol покрывают два разных слоя защиты:

Продукт	Вопрос, на который отвечает
MaxPatrol SIEM	«Не атакуют ли нас прямо сейчас?»
MaxPatrol VM	«Где наши слабые места, через которые могут атаковать?»

Вместе они закрывают и реактивную часть (заметить и отреагировать на инцидент), и проактивную (устранить уязвимости заранее). Для среднего бизнеса разворачивать и обслуживать эти системы самостоятельно — задача, требующая компетенций и людей, поэтому такие продукты чаще берут в составе услуги мониторинга у ИТ-аутсорсера.

Как мы это применяем

Кибер Авангард внедряет и обслуживает средства информационной безопасности как часть ИТ-аутсорсинга — мы не вендор, а интегратор и оператор. MaxPatrol SIEM и MaxPatrol VM мы подбираем под задачу, когда компании нужны российские решения для мониторинга событий и управления уязвимостями. Конкретный состав, редакция и режим работы определяются после обследования инфраструктуры.

Связанные термины

• SIEM — класс систем управления событиями ИБ, к которому относится MaxPatrol SIEM
• Сканер уязвимостей — поиск и управление уязвимостями (задача MaxPatrol VM)
• Аудит безопасности — в рамках которого применяются эти инструменты