Обновленный MaxPatrol VM на базе Linux может сканировать Windows

Новые возможности MaxPatrol VM 2.1 направлены на автоматизацию обновления данных и повышение эффективности сканирования 

Благодаря новой функции хранения информации об уязвимостях в MaxPatrol VM 2.1 ускорилась ее доставка. Теперь можно использовать API для адаптации системы под конкретные задачи сканирования, анализировать устаревшие версии Windows с помощью коллектора¹, установленного на Linux, а также настраивать гибкое расписание для запуска заданий.

По данным «Коммерсанта», несмотря на уход Microsoft из России и требования Указа Президента РФ от 30.03.2022 № 166, доля Windows в инфраструктуре частных компаний до сих пор достигает 99%, а государственных — 50%. Этим компаниям важно оставаться защищенными в период импортозамещения. Поэтому в MaxPatrol VM 2.1 появился коллектор для Linux, который позволяет сканировать Windows (даже устаревшие версии) в режимах аудита и пентеста. На данный момент MaxPatrol VM 2.1 — единственный отечественный продукт, в котором есть такая возможность.

В MaxPatrol VM 2.1 реализована также новая модель хранения данных: автоматическое обновление информации осуществляется напрямую через PT Management and Configuration² без использования других компонентов. Это позволило в несколько раз увеличить скорость доставки информации об уязвимостях, в том числе трендовых³.

Обновленный MaxPatrol VM проводит сканирование в ускоренном режиме, скорость сканирования будет пропорциональна количеству добавленных коллекторов. Если при создании или изменении задачи выбрать несколько коллекторов, то подзадачи распределяются между ними. Чем больше коллекторов будет, тем меньше нагрузки придется на каждый из них. 

Кроме того, в продукте расширились параметры запуска задач на сканирование. Теперь в MaxPatrol VM можно задать дату, время и периодичность в виде строки Сron — это общемировой формат представления времени, который позволяет установить значение для выполнения заданий. Если возникнет необходимость временно разгрузить сеть, задачу на сканирование можно будет поставить на паузу; это еще одно преимущество новой версии. При повторном запуске анализ начнется с тех активов, на которых был приостановлен. Функция доступна в интерфейсе и через запрос к API. Открытый программный интерфейс можно использовать и для других задач: это позволит безопасно улучшить продукт и настроить его под конкретные потребности.

Внедрение агента MaxPatrol EDR — еще одно значимое обновление. Совместное использование продуктов поможет снизить нагрузку на сетевой сканер MaxPatrol VM, сократить задержки при повторном сканировании и обеспечить оперативную обратную связь об устранении уязвимостей. Это в числе прочего позволит получать актуальную информацию с устройств удаленных сотрудников, которые не всегда бывают подключены к сети компании во время сканирования. Агент MaxPatrol EDR автоматически проведет анализ, как только устройства появятся в сети, и направит результаты в MaxPatrol VM.

1. Коллектор (ранее назывался «агент») — программа, которая взаимодействует с другими компонентами системы, выполняя задания пользователей. Слово «коллектор» используется во всех официальных документах, справочных и информационных материалах начиная с версии 2.0. 
2. Компонент для интеграции продуктов Positive Technologies и управления учетными записями пользователей.
3. Трендовыми называются уязвимости, которые злоумышленники активно используют в атаках или с высокой вероятностью будут использовать в ближайшее время. Их нужно быстро устранять (или принимать компенсирующие меры).