Уязвимости инфраструктуры

Ошибки разработки сторонних «коробочных» решений

В коде сторонних систем

Ошибки настроек штатных механизмов защиты

В конфигурациях систем

В коде своих систем

Ошибки при разработке внутри организации или на заказ

Их много! Требования лучших практик ИБ:
— Windows Server - >400
— *nix - >200
— Сетевое оборудование и СУБД- >100
— Прикладное ПО – десятки и сотни

≥ 50% от общего количества уязвимостей инфраструктуры

Нет универсальных средств устранения

Позволяют эксплуатировать другие типы уязвимостей и развивать атаки

«Features», а не «Bugs»: нет баз уязвимостей, новостей, метрик

PCI DSS

SWIFT

ISO 27*

ГОСТ Р 57580

Любые другие технические требования

Внутренние политики

Несоответствие PCI DSS: штрафы: от 10 до 200 тыс. USD, приостановка работ с картами

Отсутствие актуального статуса соответствия в любой момент времени

Сюрпризы на внешних
и внутренних аудитах

Невыполнение 1 из 300+ требований PCI DSS ведет к несоответствию всей организации

Отвлечение от работы
IT-специалистов во время аудитов

0,5-2 дня для каждого администратора

Несоответствие PCI DSS: штрафы: от 10 до 200 тыс. USD, приостановка работ с картами

Штрафы за невыполнение
требований

IncSecurity Couch

Платформа управления параметрами безопасности ИТ-ресурсов

Совместная работа
и разделение задач

Лучшие мировые
практики «из коробки»

Проверка
и отслеживание
изменений

Настройка

Управление уязвимостями
и соответствием
без Couch

Чтобы иметь актуальную информацию о статусе защищенности и соответствия инфраструктуры, такой контроль должен выполняться периодически, хотя бы раз в месяц

При несоответствии –повторить пункты 4-7.

Повторное сканирование каждого хоста, для которого производилась настройка

Выделяет и согласовывает время, подключается к каждой затронутой системе, производит настройку

Каждый администратор анализирует требование, изучает маны вендора, гуглит и пр., формирует команды настройки, проводит тесты

Между ИТ и ИБ завязывается диалог: суть требования, источник, необходимость устранения, сроки …

Анализирует, приоритезирует, выделяет недостатки по каждому типу компонентов, создает тикеты или пишет письма

Для каждого хоста получает ~ 500-1000 страниц отчетов (слои ОС, СУБД, ПО)

Сотрудник ИБ сканирует всю инфраструктуру

Управление уязвимостями
и соответствием с Couch

Информационная безопасность

IT - специалисты

могут получать информацию о статусе напрямую из системы

и многие другие представители бизнеса

Управление процессом и контроль отклонений

Аудиторы

Риск-менеджеры

Руководители

Гибкое встраивание задач по безопасной настройке
в рабочий график и технологические окна

Нет рутинных взаимодействий,
ожиданий и отчетов

Быстрая настройка с готовым проверенным инструментарием

Оперативная проверка актуального статуса по кнопке или расписанию

Полная информация по «своим» системам и недостаткам в любой момент времени

Ключевые особенности Couch

— настройка в соответствии с применяемыми политиками систем «с нуля»

— выгрузка скриптов и команд настроек для конкретных требований в одно действие

— по клику в интерфейсе в режиме онлайн

Настройка

— выгрузка отчетов для внешних пользователей и иных целей в популярных форматах

— возможность поделиться ссылкой на любые объекты или результаты в системе в тикете, мессенджере, почте

— полная информация в интерфейсе системы с гибко настраиваемым доступом

— разделение всего процесса управления конфигурациями на микрозадачи для каждого сотрудника

Совместная работа и отсутствие необходимости в рутинных отчетах

— критичные системы с запретом подключений

— отсутствие сетевого доступа

Проверка и настройка систем, которые не подключены к Couch

— не только ИБ: проверка и настройка любых параметров на всех подключенных ресурсах

— тестирование добавляемых проверок на «лету»

— отсутствие необходимости изучения специфичных языков или синтаксисов

— добавление проверок в одной форме интерфейса

Простое добавление собственных проверок

Возможность в принципе реализовать процесс управления безопасностью конфигураций
на больших инфраструктурах (1000+ хостов), не ограничиваясь только критичными уязвимостями

Весь процесс может быть построен на базе
одного единственного инструмента

Драматическое снижение требуемых ресурсов подразделения ИБ для управления процессом и администрирования системы – 1-2 часа в день

Сокращение времени ИТ-подразделения в 3 и более раз
на обработку одного требования ИБ

Стоимость реализации процесса управления безопасностью конфигураций, включая стоимость Couch, администрирования и поддержки – в 3-10+ раз дешевле альтернатив

Полностью российская разработка без open source
под капотом, есть в реестре отечественного ПО

Оперативная прямая вендорская поддержка с крутой
экспертизой, доработки, интеграция и др.

Альтернативы

Сканеры
уязвимостей

Требуют больших ресурсов для дополнительной автоматизации на реализацию процесса

Не позволяют настраивать

Инструмент «безопасника»

Оставляют один-на-один с тысячами страниц отчетов

Nessus, Qualys, MaxPatrol, Rapid7…

Исторически дополнительный функционал к классическому сканеру

Системы
оркестрации

Требуют установки агентов или имеют ограничения по подключениям и поддерживаем типам систем

Сложные и замкнутые экосистемы

Не являются инструментом контроля

Puppet, Chef, Ansible, Salt…

Требуют больших и «дорогих» человеческих ресурсов на разработку и сопровождение

Универсальные решения

Ограниченные возможности

Архаичный интерфейс

Сложное освоение

Дополнительный к основному функционал

TripWire …

Высокая стоимость (5-10 и более раз)

Клиенты

Couch – полностью готовое, активно развивающееся решение, разрабатываемое с 2015 года. Среди клиентов: