Привет, Хабр!
Меня зовут Александр Коробко, я занимаюсь продуктовым маркетингом в Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Семёном Костромичевым — он отвечает за развитие технологии управления активами aka Asset Management.
Представьте ситуацию: вы — безопасник, и вам нужно следить за тем, чтобы в инфраструктуре компании не было уязвимостей, которые могут использовать хакеры. Но недостатков безопасности может быть много, со всеми справится нереально, поэтому необходимо выбрать самые критичные и начать с их. Например, один из них — критическая уязвимость в ОС на ноутбуке кого-то из коллег, а вы не знаете, кому именно он принадлежит ноутбук. Смотрите в Excel, а там сотрудник уволился полгода назад, железо передали стажеру, но в базу не внесли. Знакомо?
Или вы — сетевик, и вам нужно срочно понять, какие хосты торчат наружу через нестандартные порты. Данных нет, схемы на стене устарели, а новую инфраструктуру в филиале подняли уже три месяца назад.
Это называется «слепые зоны». Без полной картины — ваша инфраструктура превращается в темную комнату. Хакер в ней ориентируется по фонарику, а вы спотыкаетесь о собственные стулья. Под катом расскажем, как включить свет и наконец увидеть все свои активы.
Почему ИТ и ИБ не могут поделить активы
Когда мы начинали развивать технологию Asset Management, то поломали немало копий внутри команды. Приглашали клиентов, общались с комьюнити и выяснили одну простую вещь: ИТ и ИБ смотрят на активы настолько по-разному, что иногда кажется — они говорят о разных вещах.
Для ИТ-подразделения актив — это единица учета. Им важно знать, когда оборудование купили, кому выдали, когда заканчивается гарантия и как списать железо без проблем для бюджета. Программное обеспечение для них — это лицензии. Сколько купили, сколько установили, где пора продлевать подписку.
Для специалиста по информационной безопасности тот же самый сервер выглядит иначе. Его волнует не амортизация, а сколько из портов торчит наружу и не появилась ли там новая критическая уязвимость. Если в ИТ увидят изменение конфигурации и просто зафиксируют факт, то безопасник сразу проверит: не открыли ли доступ посторонним и не торчат ли наружу лишние сервисы.
Что объединяет айтишников и безопасников
Казалось бы — полное расхождение интересов. Но если копнуть глубже, находятся вещи, которые важны обеим командам.
IP- и MAC-адреса — база, без которой не работает никто. Состав программного обеспечения и его версии: ИТ нужно знать для инвентаризации, ИБ — для поиска уязвимостей. Конфигурационные файлы: сетевики хранят их, чтобы быстро развернуть типовую настройку в филиале, а безопасники проверяют, нет ли там открытых паролей или дефолтных учеток.
Учетные записи на активах, привязка к владельцам и сервисам, аппаратное обеспечение, признаки виртуализации — всё это данные, без которых невозможно выстроить прозрачную защиту.
И вот тут возникает главная проблема. Мало кто из вендоров умеет собирать все эти параметры в одном месте, да еще и автоматически связывать их друг с другом. Обычно это зоопарк из Excel, CMDB от разных производителей и самописных скриптов. А в результате — тот самый CISO, который не может назвать точное количество хостов с Windows.
Мировые тренды: идеальные рецепты Gartner vs наша суровая реальность
Хорошо, с внутренней кухней разобрались. Но как на процесс управления активами смотрят глобально? Попробуем разобраться, есть ли там единое понимание или у западных компаний такой же зоопарк из Excel и CMDB.
Подход Gartner. Пять шагов к управлению киберугрозами от Gartner
Аналитики Gartner представили свою методологию непрерывного управления киберугрозами CTEM — Continuous Threat Exposure Management. Это проактивный подход к усилению защищенности инфраструктуры. Его задача — не просто фиксировать уязвимости, а управлять площадью атаки, учитывая все недостатки инфраструктуры, и выстраивать стратегию защиты, которая учитывает как принятие тех или иных мер влияет на безопасность критически важных бизнес-процессов.
Процесс CTEM состоит из пяти этапов:
Определение (Scoping). На этом этапе вы отвечаете на вопрос: «Что для бизнеса действительно критично?». Определяете ключевые активы (серверы, приложения, данные) и бизнес‑процессы, которые нельзя потерять. Согласовываете с бизнесом, какие зоны нужно проверять и как часто, чтобы не тратить силы на всё подряд.
Инвентаризация (Discovery). Важно понять, что есть в инфраструктуре и где могут быть потенциальные источники угроз. После этого вы «рисуете карту» своей цифровой поверхности и ищете недостатки. Находите все активы: серверы, облачные ресурсы, домены, приложения, учётные записи, интеграции, даже «теневые» сервисы. Собираете уязвимости, открытые порты, небезопасные настройки и прочее.
Приоритизация (Prioritization). Оцениваем угрозы в связке с бизнес-контекстом. На этом этапе вы отвечаете на вопрос: “что интересно злоумышленникам в первую очередь и что будет страшнее для бизнеса?”. Сортируете найденные источники угроз по риску, учитывая влияние на бизнес и вероятности эксплуатации. Отбираете несколько самых опасных проблем, а не пытаетесь закрыть всё сразу.
Валидация (Validation). Проверяем гипотезы эксплуатации на практике. Используйте моделирование путей атак (Attack Path Modeling), пентесты, автопентесты (BAS - Breach and Attack Simulation) и подобное, чтобы убедиться можно ли реально пройти путь атаки до критичного актива. Проверьте, сработают ли ваши средства защиты и мониторинг, если угрозу действительно попробовать использовать.
Реализация (Mobilization). Важно переводить все в конкретные действия и ответственность, а не просто отчеты. Назначайте задачи: кто проведет установку патча, кто меняет настройки, кто обновляет софт. На этом этапе вы внедряете или донастраиваете контрмеры, упрощаете процессы исправления и сразу готовитесь к новому циклу проверок, потому что CTEM — это непрерывный процесс.
Почему это важно для российских компаний
Часто можно услышать: западные методики — это про другую реальность, у нас свои вводные, санкции, регуляторы, импортозамещение. Но есть нюанс. Когда злоумышленник готовит атаку, он не смотрит на гео��рафию и не делает скидку на сложности перехода с Windows на Linux. Инструменты хакеров универсальны. Техники разведки, горизонтального перемещения и закрепления в сети — всё это работает одинаково в любой стране.
Практика последних лет показывает: инциденты случаются не там, где стоят слабые сканеры, а там, где есть слепые зоны. А слепые зоны — это всегда про активы, которые вы не видите.
Цифры и факты. Исследование Positive Technologies
Мы не стали гадать, как обстоят дела с управлением активами в реальных компаниях. В конце 2024 года опросили более 130 организаций из разных отраслей. Это не только ИТ-интеграторы и сервис-провайдеры, для которых управление активами — профильный бизнес. Среди респондентов были промышленность, ритейл, транспорт, энергетика, финансы, то есть практически все отрасли современной экономики. Спрашивали про приоритеты, инструменты и боли, и цифры получились весьма показательные.
Кто занимается активами, а кто забил
Только 16% опрошенных честно сказали: мы этим не занимаемся, процесс не выстроен, нас все устраивает. Остальные 84% так или иначе ведут учёт активов. Кто-то ищет подходящие инструменты, кто-то уже пользуется готовыми решениями, кто-то собирает стек из открытых продуктов. Однако довольны результатом лишь единицы.
Парадокс инвентаризации
Меньше 15% респондентов заявили, что получают полную и актуальную информацию по всем своим активам. Обратите внимание: 84% занимаются, но только 15% могут сказать, что у них порядок — разрыв колоссальный.
56% опрошенных используют для управления активами набор разрозненных инструментов. Берут функциональность из ИТ-систем, что-то добавляют из ИБ-решений, где-то допиливают скриптами. Готовых коммерческих продуктов, которые закрывают все сценарии сразу, на рынке мало. Мы в Positive Technologies видим это как возможность и активно вкладываемся в развитие технологии.
Кто видит почти все свои активы
Ещё один срез — доля компаний, которым удалось организовать управление более чем на 90% активов. Таких оказалось всего 4%. Остальные либо закрывают часть инфраструктуры, либо постоянно живут с ощущением, что где-то за периметром остались белые пятна.
Основная масса опрошенных организаций закрывает от 60 до 80% узлов корпоративной сети. 20% респондентов выбрали стратегию фокуса на ключевых активах. Они считают: если самые критичные системы под контролем, для нормального уровня защиты этого достаточно.
Что считают самым важным
Мы спросили респондентов, какие активы для них в приоритете. Ожидаемо на первом месте оказались не отдельные хосты, а информационные системы в сборе. ERP-контуры, банковские системы, складская логистика — вот что большинство реально держит в фокусе. Серверы и конечные устройства сотрудников — посередине. Хотя именно они меняются быстрее всего и создают основную массу головной боли. Базы данных — отдельная категория, за которой пристально следят компании. Веб-приложения и сетевые устройства — следом в списке приоритетов.
Почему не получается дотянуть до 100%
Первая и главная причина — незаинтересованность смежников. Никто не приносит безопасникам и ИТ-специалистам данные на блюдечке: когда в эксплуатацию вводят новый сервис, владельцы системы не бегут заполнять CMDB. В итоге львиную часть информации приходится «выбивать» руками.
Вторая проблема — зоопарк из баз данных. В ход идут Excel, OpenSource-решения для инвентаризации, CMDB от разных вендоров и самописные скрипты. Структуры этих баз не совпадают, поэтому смержить данные в единую платформу без потери качества — та ещё головная боль. Мы в своих продуктах используем запатентованную технологию слияния данных, которая учитывает порядка 3000 параметров. Только так можно гарантировать, что виртуалка с плавающим IP не превратится в две записи, а списанный сервер не будет вечно болтаться в базе как действующий.
Третья сложность — классификация. Мало найти устройство, надо понять, что это такое. Тестовый стенд или прод? Рабочая станция или сервер? Где владелец, какой уровень критичности? Без ответов на эти вопросы актив превращается в балласт. Записи об оборудовании, которое уже выведено из эксплуатации, продолжают висеть в системах и отнимают ресурсы на обработку. Не все коммерческие решения позволяют гибко навешивать теги и автоматически вычищать такие «мёртвые души».
Asset Management как фундамент защиты
Мы разобрались с проблемами и цифрами. Теперь главное: зачем всё это вообще нужно? Пройдемся по нескольким основным сценариям.
Vulnerability Management
Классический сканер уязвимостей просто выдает список дыр. Критичных, средних, низких. И что дальше? Патчить всё подряд нельзя — завалите прод. Патчить выборочно — рискованно.
Здесь в игру вступает Asset Management. Система знает, что конкретный хост — это тестовый стенд для разработки. А вот этот — домен-контроллер, через который ходят все учётки компании. Получается, что если уязвимость в 7 баллов по шкале CVSS на стенде может подождать, а та же семерка на контроллере домена — повод будить админов ночью. Таким образом без контекста приоритизация превращается в лотерею.
Некоторые продукты, например наш MaxPatrol VM, работают через динамические группы. Как только у актива появляются определённые признаки (например, роль Domain Controller или наличие критичных данных), он автоматически получает повышенный приоритет. Уязвимости на нём подсвечиваются красным, сроки закрытия поджимаются, контроль ужесточается.
Но это не единственный плюс: например, ты просканировал инфраструктуру месяц назад, на всех серверах стоит какая-то версия софта. Вендор выпускает бюллетень — оказывается, в этой версии критическая дыра. Обычный сканер скажет: «Пересканируй всё заново». Если же он построен на базе Asset Management, как тот же MaxPatrol VM, ничего пересканировать не надо. Поскольку данные об активах уже есть, система просто накладывает свежий пакет экспертизы на существующую базу и показывает: вот эти твои сервера теперь уязвимы.
Exposure Management
В комплексном управлении киберугрозами (Exposure Management) ключевую роль играет актуальная и полная информация об активах и их связях. Если вы не знаете, какие именно системы у вас есть, где они находятся, какие данные обрабатывают и как связаны между собой, любая инициатива по повышению защищённости превращается в упражнение «вслепую». Неполный инвентарь означает «невидимые» узлы, через которые злоумышленник может пройти к важным системам, а устаревшие данные лишают смысла расстановку приоритетов: вы будете чинить то, что уже не так важно, и пропускать реальные угрозы.
Однако одного списка активов недостаточно: важно понимать связности между ними и строить маршруты возможных атак. Именно сочетание уязвимостей, конфигураций, сетевых правил, прав доступа и пользовательских действий формирует путь от первоначальной точки взлома до критичных систем и данных. Когда вы видите не просто набор недостатков, а цепочку «вход → промежуточные опорные точки → целевой актив», у вас появляется возможность управлять риском системно: разрывать маршруты в нескольких ключевых узлах и тем самым значительно снижать вероятность серьёзного инцидента при минимальных усилиях и бюджете.
MaxPatrol Carbon как раз использует полные данные об активах и их связях, чтобы построить цифровую модель инфраструктуры и рассчитать возможные маршруты атак к бизнес‑критичным системам. На основе этой модели продукт показывает, через какие конкретно шаги злоумышленник может дойти до критически важных целевых систем, и предлагает меры с наилучшим соотношением эффект/затраты: какие уязвимости закрыть, где изменить права, как повысить сегментацию сеть. За счёт полных и актуальных данных об активах MaxPatrol Carbon позволяет отслеживать, как принимаемые меры меняют количество и опасность маршрутов атак, делая усиление защищённости непрерывным процессом, а не разовым упражнением.
Incident Management
Представим, что у нас случился инцидент. Сработало правило, детект, подозрение. Нужно принимать меры: изолировать хост, отозвать сессию, заблокировать учётку.
И тут начинается квест… Кому принадлежит этот ноутбук? Смотрим в Excel — видим прошлогоднюю запись, сотрудник уже уволен, железо передали другому, но в базу не внесли. Идём выяснять по цепочке, теряем драгоценные часы на реагирование, а атакующий тем временем спокойно двигается дальше по сети. Нормальный Asset Management закрывает этот вопрос на корню. Система знает не только IP и MAC, но и владельца, контакты, местоположение, историю изменений. Без лишней беготни и звонков.
Второй важный момент — контроль самих средств защиты информации (СЗИ). При инциденте критически важно понимать, какие СЗИ установлены на атакованном активе. Стоит там система Endpoint Detection and Response или нет? Есть агент или работаем вслепую? Это знание определяет тактику реагирования. Либо отключаем хост физически, либо даём команду агенту на карантин.
Облака и контейнеры
Пожалуй, самый больной вопрос последних лет. Инфраструктура уходит в облака, приложения пакуются в контейнеры, при этом виртуальная машина может жить несколько часов, а контейнер — несколько минут.
Традиционные сканеры сходят с ума — не успевают опр��шивать активы, плодят дубликаты, теряют изменения. А злоумышленники как раз любят такие динамичные среды, ведь там проще затеряться. На сегодняшний день идеального коробочного решения для контейнеров и облаков нет. Но подход понятен.
В облачной инфраструктуре можно установить тот же MaxPatrol VM и сканировать её как часть внутреннего контура. Да, там своя специфика с динамическими адресами, но базовый учёт активов получить реально.
С контейнерами сложнее. В исследовании, про которое мы рассказывали выше, около 40 респондентов отметили контейнеры как критически важные активы. Тут правильная стратегия — интеграция со специализированными средствами защиты контейнерных сред. Например, в MaxPatrol VM поддерживаются докер-контейнеры, а для защиты рантайма и работы с кубером можно использовать PT Container Security . Они в реальном времени видят, что там происходит с подами и образами, а Asset Management-система забирает эти данные и встраивает в общую картину.
АСУ ТП и IoT
Промышленные предприятия — отдельная вселенная. Там другая культура эксплуатации, другие приоритеты и, главное, другое железо. Контроллеры, программируемые логические интегральные схемы, датчики, старые рабочие станции с операционными системами в статусе end-of-life, которые уже не обновляются вендором. И всё это должно работать, потому что остановка производства приводит к миллиардным убыткам. При этом порядка 10% атак сегодня направлены именно на промышленный сектор — большие холдинги регулярно обращаются к нам с этой болью.
Тренд на сближение ИТ и АСУ ТП идёт тяжело. Слишком разная специфика, слишком высокие требования к отказоустойчивости. Но цель от этого не меняется: промышленный контур должен быть виден в той же системе управления активами, что и корпоративные сети.
Как Asset Management работает в реальных продуктах
Сценарии могут звучать сколь угодно красиво, но грош им цена, если все это не работает на практике. Поговорим, какие задачи закрывает Asset Management и как встраивается в реальные продукты.
Инвентаризация и контроль софта
Самая распространенная проблема: понять, что вообще есть в сети. Какие хосты поднялись, какое ПО установили, не появился ли Shadow IT — софт и сервисы, которые сотрудники ставят без ведома ИТ-отдела. Мессенджеры, файлообменники, облачные хранилища. И сразу возникает второй вопрос: как эти хосты друг с другом связаны.
Избавляемся от слепых зон
Технология Asset Management обнаруживает новые узлы, определяет состав программного обеспечения, версии, лицензии и автоматически раскладывает всё по группам и категориям. Дальше в дело вступает классификация: вы назначаете активам приоритеты, навешиваете теги, распределяете по критичности.
Особый сценарий — Shadow IT, когда система видит программы, которых не должно быть на корпоративных устройствах. Межсетевой экран может пропустить зашифрованный трафик, но сам факт наличия приложения на хосте Asset Management не пропустит. И главное — привязка к уязвимостям: система не просто показывает софт, а сразу говорит, где версия с дырой, где пора обновляться, а где софт лишний и его пора убрать. Так, например, это работает у нас в MaxPatrol VM.
Сетевая топология в динамике
Вторую боль — связи между активами — в Excel не отразишь, в Visio нарисуешь один раз и забудешь, а сеть тем временем живёт своей жизнью. Технология Asset Management строит динамический граф связей: собирает ARP-таблицы , таблицы маршрутизации и ACL, смотрит сетевые интерфейсы, анализирует, кто с кем разговаривает. На выходе получается понятная картинка достижимости активов на основе маршрутизации и ACL-листов. Видно не просто устройства, а какие функции они выполняют, через какие интерфейсы соединены, какие адреса используют. Сегменты можно подписывать, назначать им роли, делать карту понятной не только сетевикам, но и безопасникам. Админы видят реальную схему вместо устаревших чертежей, а безопасники — потенциальные пути горизонтального перемещения злоумышленника. Такая топология также реализована в нашем MaxPatrol VM.
Контроль настроек и соответствие политикам
Хотите знать, применился ли патч на всех серверах или развернулась ли групповая политика как задумали? Обычными средствами это проверяется долго и, так скажем, не без проблем. Модуль MaxPatrol Host Compliance Control (MaxPatrol HCC) решает эту задачу: он проверяет конфигурации активов на соответствие заданным стандартам.
Для ИТ-подразделений это способ контролировать раскатку обновлений. Например, в очередной вторник Microsoft выпустили патч, через MaxPatrol HCC проверяете, на каких хостах он встал, а на каких нет, и сразу видите проблемные активы. То же самое с групповыми полити��ами: раскатили новую настройку, а MaxPatrol HCC показывает, где она применилась, а где нет и почему. Для безопасников это контроль за тем, чтобы не было дефолтных паролей, открытых портов и лишних сервисов. HCC умеет не только находить нарушения, но и давать готовые команды для исправления.
Ещё один сценарий — импортозамещение. Многие компании сейчас плавно переходят с Windows на Linux, и технология asset management строит диаграммы: сколько хостов осталось на старой ОС, сколько уже переехало, где процесс застрял. И контроль лицензий: если лицензия на 500 машин, а софт уже стоит на 470 — вы спокойно планируете закупку, без авралов и срочных конкурсов.
Моделирование атак на реальных данных
Пожалуй, самый хардкорный кейс. Вы собрали активы, знаете их конфигурации, видите связи, нашли уязвимости. Дальше вопрос: а как это всё скомбинировать и понять, где злоумышленник пройдёт быстрее всего? Тут в игру вступает наш MaxPatrol Carbon, который строит маршруты атак на основе данных об активах.
Он учитывает не только уязвимости, но и конфигурации, политики доступа, сетевые экраны, избыточные привилегии. На выходе получается карта, на которой видно: вот здесь хакер зайдёт, здесь закрепится, а вот отсюда утащит данные. Человеку такое в голове держать нереально — слишком много переменных, слишком сложная математика. А машина с этим справляется за секунды.
Asset Management — «базовый минимум» для проактивной защиты
Мы начали этот текст с простой мысли: нельзя защитить то, чего не видишь. Провели несколько часов с цифрами, кейсами и аналитикой, чтобы ответить на главный вопрос — что делать, если в инфраструктуре полно слепых зон.
Управление активами — это не про заполнение Excel и не про галочку для аудитора. Это тот самый «базовый минимум», без которого любые вложения в средства защиты работают вполсилы. Цифры исследования подтверждают, что этот процесс выстроен лишь у единиц. Остальные полагаются на разнообразный (часто не сочетаемый) набор инструментов, мержат данные руками и молятся, чтобы хакеры не нашли ту самую слепую зону раньше, чем они.
Хорошая новость в том, что технологии давно позволяют жить иначе. Наша технология PT Asset Management — это не скучная инвентаризация, а связующее звено между всеми системами защиты. Мониторинг инцидентов, управление уязвимостями, контроль конфигураций, моделирование атак — все эти процессы опираются на единый источник данных об активах. Просто работающая картина мира, в которой безопасник точно знает, что защищает, а ИТ-специалист — чем управляет.
Чтобы разобраться в теме глубже, ловите ссылку на экспертное руководство. Там пошагово, без воды, про то, как выстраивать процесс управления активами в MaxPatrol VM и подготовить инфраструктуру к моделированию атак. Ну а с целью понять, насколько качественно настроен аудит и соответствуют ли активы политикам сбора событий, можно воспользоваться автоматическими скриптами. А в следующих статьях детально разберём аудит сетевых устройств, систем виртуализации и доменов — оставайтесь на связи, будет интересно.
Александр Коробко
Руководитель направления продуктового маркетинга по безопасности инфраструктуры, Positive Technologies
Семен Костромичев
Лидер практики продуктов для управления активами, Positive Technologies
