Управление уязвимостями с помощью Wazuh open source XDR

Организациям сложно отслеживать уязвимости из-за большого их количества, которые обнаруживаются ежедневно. По данным CVE Details, с января по октябрь 2022 года было обнаружено более 19 000 уязвимостей. Эти уязвимости описаны в общедоступном списке, который называется Общие уязвимости и уязвимости (CVE).

Уязвимость - это слабость, ошибка или изъян в системе, которые делают ее открытой для использования злоумышленниками. Некоторые известные уязвимости включают Log4Shell, Follina и Spring4Shell.

Субъекты угроз используют эксплойты для компрометации уязвимых конечных точек. Эксплойты - это команды, программное обеспечение или сценарии, которые используют уязвимости для взлома конечной точки и ставят под угрозу конфиденциальность, целостность или доступность данных. В случае Follina, уязвимости удаленного выполнения кода (RCE), успешный эксплойт предоставляет злоумышленнику полный контроль над компьютером.

Из-за постоянно растущих уязвимостей и рисков, которые они представляют для организаций, необходимо внедрить систему управления уязвимостями.

Необходимость управления уязвимостями

Управление уязвимостями включает в себя выявление, классификацию, устранение и смягчение уязвимостей. Решения для управления уязвимостями активно сканируют устройства в сети и выявляют в них слабые места. Они также классифицируют эти уязвимости по степени серьезности и предоставляют шаги по исправлению. Эти шаги по исправлению могут варьироваться от обновлений программного обеспечения до изменения паролей и конфигурации по умолчанию. Тем самым предотвращая нарушения безопасности, которые могут возникнуть, если эти уязвимости будут использованы. Наличие системы управления уязвимостями имеет несколько преимуществ. К ним относятся:

• Выявление и исправление уязвимостей. Программа управления уязвимостями позволяет организациям знать уязвимости, которым они подвержены. При этом могут быть созданы адекватные планы для исправления уязвимостей до того, как их воспользуются злоумышленники.
• Улучшение состояния безопасности: уязвимые компоненты увеличивают поверхность атаки инфраструктуры организации. Поэтому важно выявлять и устранять уязвимости для улучшения состояния безопасности организации.
• Соответствие нормативным требованиям: Программа управления уязвимостями необходима для соответствия нормативным требованиям, таким как PCI DSS, HIPAA или GDPR. Это также позволяет организации предоставлять отчеты, необходимые во время аудита безопасности.
• Оценка рисков: программа управления уязвимостями позволит вам определить приоритеты уязвимостей на основе факторов риска. Например, можно выделить больше ресурсов для устранения легко используемой уязвимости, которая приводит к инциденту с вымогателями.

Как Wazuh может помочь

Wazuh - это бесплатная унифицированная платформа XDR и SIEM с открытым исходным кодом. Он защищает рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах.

Платформа Wazuh использует модель сервера / агента:

• Центральные компоненты Wazuh состоят из сервера Wazuh, индексатора Wazuh и панели мониторинга Wazuh. Эти компоненты анализируют данные о безопасности, полученные от агентов. Они поддерживают локальное развертывание и могут быть развернуты в облаке с помощью облачного решения Wazuh.
• Агент Wazuh - это облегченная программа, которая устанавливается на конечных точках. Агенты собирают данные о событиях безопасности с отслеживаемых конечных точек и пересылают эти события на сервер Wazuh, где выполняется анализ журналов, корреляция и оповещение.

Решение Wazuh также поддерживает безагентный мониторинг. Это можно использовать для таких устройств, как маршрутизаторы, брандмауэры, коммутаторы и конечные точки, на которых не может быть установлен агент Wazuh.

Wazuh обладает рядом возможностей, которые помогают организациям любого размера защищать свои активы от угроз безопасности. Возможности Wazuh по управлению уязвимостями включают оценку конфигурации безопасности (SCA) и обнаружение уязвимостей.

Оценка конфигурации безопасности (SCA)

Оценка конфигурации системы безопасности и ее усиление являются эффективными способами сокращения поверхности атаки организации. Возможности Wazuh SCA получают доступ к системным конфигурациям и генерируют предупреждения, когда эти конфигурации не соответствуют определенным политикам защищенной системы.

Политики SCA, входящие в комплект поставки Wazuh, можно использовать для проверки соответствия критериям Центра интернет-безопасности (CIS). Контрольные показатели CIS - это базовые параметры конфигурации, лучшие практики и рекомендации, которые обеспечивают безопасную настройку системы.

Эти политики SCA написаны на языке YAML, который легко понять. Пользователи также могут создавать новые политики или изменять существующие политики в соответствии со своими требованиями.

Рис. 1. Панель мониторинга Wazuh, показывающая результат проверки SCA на устройстве Windows

Результат проверки SCA на панели управления Wazuh предоставляет информацию о проверенной конфигурации и рекомендации по повышению надежности системы. Благодаря возможностям SCA организации могут проверять неправильные конфигурации в своей инфраструктуре, устранять их и обеспечивать соответствие различным нормативным рамкам (PCI DSS, GDPR и NIST).

Обнаружение уязвимостей Wazuh

Wazuh помогает пользователям получить представление о безопасности конечных точек в своей среде с помощью модуля обнаружения уязвимостей. Этот модуль позволяет обнаруживать уязвимости в операционной системе и приложениях, установленных на конечных точках, контролируемых Wazuh.

Обнаружение уязвимостей осуществляется посредством встроенной интеграции Wazuh с внешними каналами уязвимостей, индексируемыми Canonical, Debian, Red Hat, Arch Linux, Amazon Linux Advisories Security (ALAS), Microsoft и Национальной базой данных уязвимостей (NVD).

Агенты Wazuh извлекают данные инвентаризации программного обеспечения из контролируемых конечных точек и отправляют эту информацию на сервер Wazuh. Данные инвентаризации программного обеспечения сопоставляются с базами данных CVE, хранящимися на сервере Wazuh, для выявления известного уязвимого программного обеспечения.

Рис. 2. Панель мониторинга Wazuh, показывающая результат сканирования обнаружения уязвимостей на устройстве Ubuntu

Результат проверки на обнаружение уязвимостей включает запись CVE, описание, уровень серьезности и состояние уязвимости, что предполагает возможные шаги по исправлению.

Заключение

Программы управления уязвимостями помогают обеспечить безопасность инфраструктуры вашей организации, обнаруживая уязвимости до того, как они будут использованы, обеспечивая при этом соответствие нормативным требованиям. Это позволяет выявлять и устранять известные уязвимости, которые могут поставить под угрозу целостность компьютерных систем и хранящейся на них информации.

Благодаря более чем 10 миллионам загрузок в год и надежной поддержке сообщества, Wazuh выделяется как бесплатный инструмент с открытым исходным кодом с возможностями SIEM и XDR. Это бесплатное решение, которое хорошо интегрируется со сторонними решениями и технологиями. Чтобы развернуть Wazuh и изучить варианты использования, связанные с управлением уязвимостями, ознакомьтесь с документацией Wazuh.