В новой версии X-Config 1.10 от российского вендора Spacebit улучшены механизмы доступа, добавлены возможности масштабирования, оптимизирована работа с большим объёмом ресурсов, увеличено общее количество стандартов безопасного конфигурирования, расширена поддержка отечественных операционных систем.
1. Введение
2. Новые функциональные возможности X-Config
3. Архитектура и алгоритм работы X-Config
4. Системные требования X-Config
5. Политика лицензирования X-Config
6. Функциональные возможности X-Config
7. Организация управления уязвимостями конфигураций ПО
7.1. Инвентаризация ресурсов сети
7.2. Формирование корпоративных политик безопасного конфигурирования
7.3. Обеспечение соответствия требованиям и лучшим практикам конфигурации ПО
7.4. Приоритизация несоответствий по степени критической значимости
7.5. Оптимизация для применения в крупных разветвлённых инфраструктурах
8. Выводы
Введение
Любая информационная система предприятия может подвергаться угрозам из-за небезопасного конфигурирования и появления новых уязвимостей.
Система X-Config разработана российской компанией Spacebit, основанной в 2021 году. Spacebit специализируется на автоматизации процессов обеспечения ИБ и повышении уровня защищённости ИТ-инфраструктур.
X-Config позволяет пользователю формировать собственные корпоративные политики безопасной настройки программного обеспечения при помощи поставляемых с продуктом стандартов безопасного конфигурирования, созданных на основе общепризнанных лучших практик и с учётом требований регуляторов. X-Config помогает своевременно выявлять и устранять несоответствия конфигураций всех информационных систем и их компонентов корпоративным политикам, обеспечивая так называемый «харденинг» (англ. hardening — усиление защиты путём безопасной настройки) систем.
X-Config — инструмент для совместной работы ИБ- и ИТ-специалистов, который помогает оперативно оценивать ситуацию и анализировать выявленные проблемные области в соответствии с требованиями регуляторов (Банк России, ФСТЭК России), а также фокусировать внимание и усилия по настройке ПО на критически важных параметрах и ресурсах.
По замыслу разработчиков, X-Config позволяет сократить влияние человеческого фактора как источника потенциальных уязвимостей в контролируемых информационных системах на этапе их функционирования, поддерживая безопасность конфигураций ПО на необходимом уровне.
Система X-Config зарегистрирована в Едином реестре российских программ для электронных вычислительных машин и баз данных (запись № 7045 от 7 октября 2020 г.).
Разработчики X-Config постоянно работают над расширением списка стандартов безопасного конфигурирования. В версии X-Config 1.10 к ранее имевшемуся перечню были добавлены стандарты для Linux-систем, включая российские Astra Linux, РЕД ОС, Alt Linux и ОС «Атлант», для виртуальных инфраструктур VMware и Docker, веб-серверов на базе Nginx (и его российского аналога Angie PRO), Microsoft IIS и Apache, почтовых серверов Microsoft Exchange, веб-браузеров Microsoft Edge, Mozilla Firefox, Google Chrome и «Яндекс.Браузер», СУБД Microsoft SQL Server и PostgreSQL, офисного пакета Microsoft Office. При этом уже на стадии пилотного проекта заказчики имеют возможность влиять на список задач (бэклог) разработки стандартов с целью поддержки всего необходимого им пула ПО.
Spacebit утверждает, что на ближайший год запланировано добавление стандартов для контроля конфигураций сетевого оборудования, российских СЗИ и дополнительных СУБД, а также другого популярного прикладного ПО. Кроме того, планируется реализовать автоматизацию применения безопасных настроек и усовершенствовать систему отчётности.
Новые функциональные возможности X-Config
Ранее на сайте https://www.anti-malware.ru бып опубликован обзор одной из предыдущих версий X-Config (1.7). С тех пор прошло больше года, и за это время продукт существенно изменился:
- улучшена работа в крупных инфраструктурах (до 10 тыс. хостов и более);
- существенно дополнена функциональность работы с сетевыми коллекторами, за счёт чего повышены возможности масштабирования;
- доработана система авторизации на обслуживаемых ресурсах, что позволяет теперь использовать наиболее популярные в российских инфраструктурах методы;
- модернизирована подсистема отчётности, благодаря чему можно эффективно работать с объёмными отчётами (до 3 тыс. хостов в рамках одной проверки).
Описание функциональных возможностей X-Config разработчик разместил на сайте.
Архитектура и алгоритм работы X-Config
Система X-Config может быть развёрнута как на физических серверах, так и на виртуальных машинах. Архитектурно X-Config состоит из нескольких основных компонентов: ядра системы, клиентской части и сети управляемых коллекторов.
Ядро устанавливается на Unix-подобную систему и анализирует информацию о конфигурациях ПО для выявления несоответствий. Клиентская часть выполнена в виде веб-приложения, в графическом интерфейсе которого реализованы все необходимые сценарии использования.
Сетевые коллекторы собирают с защищаемых машин информацию о конфигурациях ПО и передают её в ядро, где она сравнивается с выстроенной политикой безопасности конфигураций. При контроле устройств под управлением ОС Microsoft Windows требуется дополнительный сервер для размещения Windows-коллектора. Из коллекторов строится сеть, которая позволяет масштабировать систему на 10 тыс. хостов и более. Кроме того, группы коллекторов можно назначать на работу с различными подсетями, поддерживая идеологию сегментирования крупных сетей. В версии X-Config Enterprise сняты ограничения на количество контролируемых устройств за счёт балансировки нагрузки между коллекторами.
X-Config может выступать полноценной частью экосистемы кибербезопасности организаций и помогает экономить ресурсы. В частности, вместо использования встроенного механизма инвентаризации можно получать информацию о контролируемых ресурсах через интеграцию с уже работающей базой конфигураций (CMDB), а результаты проверок безопасности настроек передавать во внешние системы (например, SIEM, IRP, SOAR) через встроенный программный интерфейс (API).
Системные требования X-Config
Рекомендуемые базовые программные и аппаратные параметры для составляющих X-Config приведены ниже. Они подходят для длительного обслуживания 250 хостов, при превышении — плавно возрастают. Компоненты X-Config на серверах разворачиваются через Docker. На проектах по внедрению возможно предоставление нативных пакетов в форматах RPM и DEB.
Таблица 1. Рекомендуемые мощности для работы X-Config
Политика лицензирования X-Config
X-Config поставляется в двух вариантах: «Business» и «Enterprise». Первая версия предназначена для небольших инфраструктур (до 250 хостов), вторая — для крупных распределённых сетей. Доступны как бессрочная лицензия, так и подписка.
В итоговую сумму входят лицензия на необходимое количество защищаемых хостов и базовая техническая поддержка, которая осуществляется силами вендора. Кроме того, за отдельную плату возможны поддержка необходимых дополнительных функций и разработка новых стандартов безопасного конфигурирования для специального отраслевого ПО, включая самописное.
Почему отрасли ИБ нужны DevSecOps-инженеры
Функциональные возможности X-Config
X-Config охватывает такие технологические процессы работы с уязвимостями, как создание корпоративных политик безопасного конфигурирования, инвентаризация ИТ-инфраструктуры, проверка настроек ПО на соответствие выстроенной политике безопасного конфигурирования, формирование отчётности с рекомендациями по приведению настроек в безопасное состояние.
Важной отличительной особенностью X-Config является возможность гибко выстраивать политику безопасности настроек ПО посредством профилирования стандартов безопасного конфигурирования. Механизм динамических групп позволяет назначать различные профили стандартов на проверку определённых групп контролируемых ресурсов согласно бизнес-процессам, в которых они участвуют.
Основной сценарий работы с X-Config включает в себя следующие этапы:
- наполнение реестра ресурсов (поддерживаются интеграция с CMDB-системами и импорт информации о ресурсах из файла, а также автоматическое наполнение реестра ресурсов через задачу обнаружения подсетей);
- формирование динамических групп ресурсов; инвентаризация ресурсов;
- формирование политики безопасности конфигураций посредством профилирования стандартов;
- формирование и исполнение задач на проверку контролируемых ресурсов;
- исправление найденных несоответствий согласно сформированной отчётности;
- анализ отчётности после повторной проверки для контроля применённых безопасных настроек.
X-Config предоставляет экспертам по информационной безопасности и ИТ-специалистам возможность постоянного мониторинга и совместной работы по устранению уязвимостей уровня конфигурации.
Организация управления уязвимостями конфигураций ПО
X-Config выстраивает рабочий процесс по управлению конфигурациями системного и прикладного ПО на основе политик ИБ через гибкое профилирование стандартов безопасного конфигурирования, проверяет ресурсы, контролирует фактическое закрытие уязвимостей и формирует отчёты. Повторные проверки помогают удостовериться, что выставленные настройки ПО стали безопасными. Система выполняет оценку обнаруженных уязвимостей и приоритизирует их в зависимости от уровня критической значимости конкретной настройки: высокого, среднего или низкого.
Инвентаризация ресурсов сети
Система проводит инвентаризацию защищаемых машин, в рамках которой определяются тип аппаратного обеспечения, операционная система (платформа), установленное ПО, обновления, открытые на прослушивание сетевые порты.
Перед инвентаризацией выполняется сбор IP-адресов для выявления новых хостов в сети и их автоматического добавления в реестр ресурсов.
Далее выполняется формирование задач на инвентаризацию. Все задачи могут выполняться по расписанию, доступны соответствующие настройки.
Формирование корпоративных политик безопасного конфигурирования
Механизм профилирования позволяет вносить изменения в готовые стандарты в соответствии со внутренними политиками организации. Система предоставляет набор готовых стандартов безопасного конфигурирования, а оператор на базе этих стандартов создаёт профили, настраивает их и привязывает к нужным ресурсам сети.
В ходе профилирования оператор может изменять целевые значения каждой из контролируемых настроек безопасности, исключать неактуальные требования, а также менять уровень критической значимости каждой настройки.
После утверждения профиля он становится частью политики ИБ и может использоваться в регулярных проверках по расписанию.
Профили и стандарты могут быть выгружены из системы в формат Microsoft Word для поддержки внутреннего документооборота организации, эксплуатирующей решение.
Обеспечение соответствия требованиям и лучшим практикам конфигурации ПО
Система отслеживает соответствие ресурсов внутренним корпоративным политикам, требованиям регуляторов, а также лучшим общепризнанным практикам безопасного конфигурирования. При этом проверка может быть выполнена в том числе и для тех хостов, которые недоступны серверу X-Config по сети. Для этого реализованы «офлайн-задачи», в ходе выполнения которых роль сетевого коллектора играет один из сотрудников эксплуатирующей организации, вручную передающий проверочные скрипты и результаты их выполнения между сервером X-Config и недоступным хостом. Такой подход может быть полезен для контроля конфигураций устройств в изолированных сетях (например, для сегмента АСУ ТП) или при слабом / нестабильном канале связи с удалёнными филиалами.
Система отчётности благодаря гибкой настройке позволяет как увидеть общий статус безопасности конфигураций, так и спуститься по критически важным направлениям до самого низкого уровня (вплоть до конкретного параметра на выбранном хосте). X-Config обобщает результаты проверки в различных разрезах (по категориям, по стандартам или по ресурсам), что помогает ответственному сотруднику проводить анализ в нужном ему формате. Документы можно выгрузить в формат Microsoft Word, например для внутренней отчётности.
Приоритизация несоответствий по степени критической значимости
Система автоматически расставляет приоритеты для ликвидации выявленных уязвимостей и отслеживает их устранение.
В текущей версии X-Config 1.10 отчёты передаются от подразделения ИБ в подразделение ИТ для дальнейшей работы по безопасной настройке ресурсов. При этом за счёт распределения невыполненных требований по трём уровням критической значимости имеется возможность отфильтровать наиболее важные несоответствия и привести их к эталонным значениям в первую очередь. Ролевая модель X-Config предполагает доступ ИТ-специалистов к веб-отчётности.
Оптимизация для применения в крупных разветвлённых инфраструктурах
X-Config имеет хорошую масштабируемость. В настоящий момент в рамках одной инсталляции протестированы обслуживание до 10 тыс. хостов, а также выполнение задач на проверку и работа с отчётами в объёме до 3 тыс. хостов.
Масштабирование достигается посредством реализации в X-Config следующей функциональности.
Во-первых, это сеть коллекторов, собирающих информацию с обслуживаемых ресурсов. Каждый коллектор имеет возможность запускать любое количество потоков сбора (по умолчанию — до пяти параллельно опрашиваемых хостов). Коллекторы объединяются в группы, которые, в свою очередь, назначаются на работу в своей зоне ответственности (одна или несколько подсетей). Оператору системы доступна установка дополнительных коллекторов и их групп.
Во-вторых, в системе реализована функциональность по объединению ресурсов сети в динамические группы, состав которых может определяться как оператором вручную, так и через механизм фильтрации по различным параметрам. Группы ресурсов используются при назначении различных профилей стандартов безопасного конфигурирования, при управлении параметрами авторизации системы на хостах в сети, а также во многих других функциональных ветках решения. Это позволяет не только выстроить процесс контроля безопасности конфигураций наиболее оптимально, учитывая все нюансы и неоднородность инфраструктуры, но и существенно сократить трудозатраты на поддержание рабочей модели в актуальном состоянии. В частности, появление нового хоста в сети не потребует дополнительных операций в X-Config для постановки его на контроль, поскольку этот хост благодаря настроенным фильтрам автоматически попадёт в нужную динамическую группу и к нему будут применены все необходимые политики.
Наконец, оптимизированная подсистема веб-отчётности позволяет эффективно работать с отчётами после проверки нескольких тысяч хостов с использованием динамической фильтрации во всех доступных представлениях информации.
Выводы
Компания Spacebit активно развивает свои решения. С момента выхода предыдущего обзора продукт X-Config существенно продвинулся вперёд. Вендор планирует на ближайший год дальнейшее развитие функциональности продукта:
- автоматизацию применения настроек безопасности;
- совершенствование системы отчётности;
- существенный рост количества поставляемых стандартов безопасной конфигурации.
Все продукты компании Spacebit объединяет идея автоматизации рутинных процессов ИБ, что позволяет высвободить рабочее время специалистов для решения более приоритетных задач, связанных с повышением защищённости инфраструктур. С помощью гибкого профилирования стандартов можно учесть неоднородность инфраструктуры и применять к различным наборам активов различные перечни уточнённых требований.
Система полезна для компаний различного масштаба, предусмотрен контроль конфигураций устройств, которые изолированы от общей сети. Например, в случае АСУ ТП достаточно выделить сотрудника, который будет отвечать за запуск скриптов, собирающих информацию с обособленных подсетей. Далее эти данные подгружаются в систему и в общий отчёт по организации.
Достоинства:
- помощь в обеспечении соответствия требованиям регуляторов по теме контроля безопасности конфигураций ПО;
- полноценный процесс управления безопасностью конфигураций программного обеспечения с разделением зон ответственности между службами ИБ и ИТ;
- проработанная экспертами расширяемая библиотека стандартов безопасного конфигурирования с информацией по каждой настройке;
- гибкое профилирование стандартов под особенности конкретной инфраструктуры заказчика;
- ролевая модель взаимодействия, включающая в себя роли администратора системы, офицеров ИБ и ИТ-специалистов;
- вертикальная и горизонтальная масштабируемость с поддержкой до 10 тыс. ресурсов в рамках одной инсталляции и проверок до 3 тыс. ресурсов в рамках одной задачи на проверку;
- нет необходимости устанавливать на хосты дополнительное программное обеспечение;
- интеграция с другими средствами защиты информации и средствами мониторинга.
Недостатки:
- система служит для выявления только уязвимостей конфигураций программного обеспечения, не предоставляя информации об известных уязвимостях в коде ПО;
- на сегодняшний день большинство стандартов безопасного конфигурирования X-Config описывают те или иные операционные системы, к охвату прочего ПО вендор только приступает;
- напрашивается поддержка сетевого оборудования и других цифровых активов, которая запланирована на ближайшие релизы.
Источник: https://www.anti-malware.ru/reviews/X-Config-1-10
