Российские системы управления уязвимостями: большое исследование по кибербезопасности
Эксплуатация уязвимостей продолжает оставаться одним из самых популярных и эффективных методов реализации кибератак. Причем зачастую эксплуатируются не 0-Day или 1-Day уязвимости, а даже те, которые были опубликованы несколько лет назад и для которых уже давно есть патчи.
Команда Cyber Media провела масштабное аналитическое исследование российских продуктов управления уязвимостями — темы, которая становится все более критичной в условиях текущих реалий.
Почему это исследование важно и интересно
Управление уязвимостями - один из базовых процессов кибербезопасности, который, тем не менее, осложнен организационной неразберихой в различных реестрах уязвимостей и тем, что в крупных компаниях может быть большое число инсталляций различного софта, который нельзя пропатчить вне согласованных технологических окон. Широкое использование Open Source с его сложными программными зависимостями также предъявляет всё больше требований к казалось бы простому и давно описанному процессу vulnerability management.
Вывод прост - без использования средств автоматизации будет очень сложно управлять всем зоопарком различного импортного и отечественного софта, учитывать экземпляры, контролировать версии, ставить обновления.
Участники исследования и методология
Уход зарубежных решений для управления уязвимостями не привел к появлению вакуума в данном сегменте ИБ. Производители известных сканеров и новые игроки VM-сегмента активно включились в процесс импортозамещения, поэтому сегодня мы можем наблюдать интересную конкурентную борьбу.
В сравнении приняли участие восемь российских продуктов управления уязвимостями:
MaxPatrol 8 от АО "Позитив Технолоджиз" — ветеран рынка с первым релизом в 2008 году, текущая версия 25.7
MaxPatrol VM от АО "Позитив Технолоджиз" — более современное решение с первым релизом в 2021 году, текущая версия 2.7
R-Vision VM от ООО "Р-Вижн" — текущая версия 5.4
RedCheck от АО "Алтэкс-Софт" — с государственной регистрацией от 12 декабря 2013 года
ScanFactory VM от ООО "СКАНФЭКТОРИ" — относительно новый игрок с 2022 года
ScanOVAL — разработчик АО "Алтэкс-Софт", правообладатель ФАУ "ГНИИИ ПТЗИ ФСТЭК России", первый релиз в 2018 году
Security Vision VM от ООО "Интеллектуальная безопасность" — с первым релизом в 2015 году, текущая версия 5
Сканер-ВС 7 от АО "НПО "Эшелон" — новейшая версия с датой релиза в октябре 2024 года
Методология оценки включала в себя разработку перечня основных критериев, которые были сформированы авторами обзора на основе анализа открытых источников с информацией о характеристиках продуктов, по результатам обратной связи от заказчиков указанных решений, а также руководствуясь экспертизой авторов. Вендорам рассылались опросники с перечнем основных критериев по их продуктам для заполнения, при этом формат некоторых вопросов предполагал развернутые ответы.
Кроме ответов от вендоров, производился опрос выделенных вендорами экспертов по продуктам, проводилась оценка характеристик и функционала решений на live-демонстрациях.
Ключевые различия и особенности продуктов
Исследование показало значительные различия в подходах к решению задач управления уязвимостями между российскими вендорами. Некоторые решения сфокусированы исключительно на безагентском сканировании, другие поддерживают агентские и безагентские режимы работы.
Интересно отметить архитектурные решения: от монолитных систем с использованием SQLite до сложных распределенных архитектур с использованием Docker-контейнеров, PostgreSQL и RabbitMQ. ScanFactory VM использует контейнеры под управлением Kubernetes, в решении объединены 21 сканер, включая несколько коммерческих сканеров и Open Source инструменты Nuclei, Nmap, Brute и другие.
По уровню интеграций лидирует Security Vision VM, поддерживающий интеграцию со множеством систем — от SIEM-решений до Service Desk и CMDB. Среди заказчиков этого решения такие крупные компании как Сбербанк России, Альфа-Банк, Тинькофф Банк, Норильский Никель, Северсталь, X5 Group, Магнит, ФСО России и многие другие.
Сертификация и соответствие требованиям
Важным фактором для российского рынка является наличие сертификатов ФСТЭК России. Срок действия сертификата ФСТЭК России на MaxPatrol 8 закончился 08.07.2024, информации о повторной сертификации не имеется, в то время как MaxPatrol VM имеет актуальный сертификат соответствия № 3734 от 15.11.2023.
R-Vision VM и RedCheck также обладают действующими сертификатами ФСТЭК 4 УД. Security Vision VM имеет заключение 8 Центра ФСБ России и сертификат соответствия ФСТЭК России № 4574 от 02.09.2022.
Техническая поддержка и экосистема
Уровень технической поддержки варьируется от базовой поддержки в рабочие часы до премиальной круглосуточной поддержки. "Позитив Технолоджиз" предоставляет обращение в техническую поддержку круглосуточно через единый портал вендора, время реакции на критические запросы до 4 часов в режиме техподдержки и до 1 часа для техподдержки уровня premium.
Интересно, что ScanOVAL предоставляется "как есть".
Модели лицензирования
Подходы к лицензированию также различаются: от традиционного лицензирования по количеству узлов до более гибких моделей. Security Vision VM предусматривает временные и бессрочные лицензии с метриками по количеству коннекторов, IP-адресов, поддержке мультиарендности для MSSP провайдеров.
Исследование показало, что российский рынок систем управления уязвимостями активно развивается и предлагает разнообразные решения для различных потребностей бизнеса — от небольших компаний до крупных корпораций и государственных организаций. Каждый продукт имеет свои сильные стороны: одни фокусируются на простоте развертывания, другие — на глубине функционала и интеграций.
В условиях импортозамещения российские решения демонстрируют способность не только заменить ушедшие зарубежные аналоги, но и предложить уникальную функциональность, адаптированную под специфику российского рынка и требования регуляторов.
C полным аналитическим исследованием с подробными таблицами сравнения всех критериев желающие могут ознакомиться на сайте Cyber Media.