Коли виправлень недостатньо: як механізм сценаріїв vRx усуває прогалину у виправленні помилок

Методи відновлення та їх практичне застосування

vRx надає три різні шляхи усунення вразливостей у Windows, macOS і Linux:
● Native Patching (vPatch) обробляє стандартний випадок, ідентифікуючи відсутні виправлення в 10 000+ програмах і версіях ОС, а потім розгортаючи їх за розкладом. Це автоматизований шлях великого обсягу, який охоплює більшість CVE.
● Patchless Protection (vShield) діє як компенсаційний контроль, коли патч не існує або не може бути застосований. Він обертає законні виконувані файли програми на рівні пам’яті, обмежуючи доступ до конфіденційного простору пам’яті API. Це з’єднує вікно між розкриттям і доступністю виправлень без зміни системних файлів або необхідності перезапуску.
● Scripting (vScript) стосується всього, що виходить за межі цих двох категорій уразливостей, для усунення яких потрібні певні зміни конфігурації, модифікації реєстру, операції на рівні файлу або спеціальна логіка. Тут працює механізм сценаріїв.
Ці три методи доповнюють один одного. Середовище може використовувативсі три одночасно, застосовуючи потрібний метод на основі того, що вимагає кожен CVE.

Що насправді робить механізм сценаріїв

Механізм сценаріїв vRx виконує сценарії в PowerShell, Bash і Batch у керованих кінцевих точках за допомогою операційних систем Windows, Mac і Linux. Він підтримує як попередньо створені сценарії з підібраної бібліотеки, так і спеціальні сценарії, написані вашою командою.
Функціонально він обробляє такі операції, як:
● Зміна ключів реєстру Windows для вимкнення вразливих протоколів або функцій
● Пошук та оновлення вразливих JAR-файлів (шаблон відновлення Log4j, який знаходить кожен екземпляр вразливої бібліотеки, вбудованої в різні системи)
● Видалення або заміна вразливих компонентів без видалення основної програми
● Закриття певних портів або вимкнення служб, виявлених CVE
● Застосування конфігурацій посилення, що виходять за рамки того, що розглядається патчем постачальника
● Створення точок відновлення системи перед виконанням змін
● Видалення та повторна інсталяція певних версій програмного забезпечення з платформи
● Запуск сценаріїв виявлення, які перевіряють системи на наявність неправильних конфігурацій або відхилень політик
● Застосування режиму обмеженої мови PowerShell або вимкнення застарілої версії PowerShell версії 2.0 на кінцевих точках
Скрипти можна виконувати вручну, після затвердження, або повністю автоматизовано за допомогою правил на основі політик, пов'язаних з рівнем ризику, типом активу, вимогами до відповідності або періодами обслуговування.
Кожне виконання скрипта реєструється та відстежується. Платформа фіксує, які вразливості були усунені, як і коли, створюючи журнал аудиту для звітності про відповідність.

Звідки беруться сценарії

Бібліотека скриптів у vRx заповнюється з трьох різних каналів:

● Дослідницька команда Vicarius створює сценарії виявлення та усунення наслідків для поширених CVE. Коли виявляється гучна вразливість, внутрішня команда створює та публікує перевірені сценарії, які клієнти vRx можуть безпосередньо розгортати. Вони охоплюють як x_detection (визначення наявності вразливості), так і x_remediation (застосування виправлення).
● Користувачі vsocietyвід Vicarius — це відкрита платформа для дослідників та аналітиків безпеки. Експерти публікують нові скрипти, включаючи аналіз CVE, оцінку вразливостей та код виправлення, який Vicarius перевіряє, перш ніж зробити його доступним на панелі інструментів vRx. Спільнота зросла до понад 4000 активних учасників, які роблять свій внесок у такі категорії, як x_detection, x_remediation, x_ops, аналіз CVE та аналіз експлойтів.
● vuln_GPT — це механізм на основі LLM, спеціально навчений для створення скриптів виправлення вразливостей програмного забезпечення. Він може створювати скрипти, які закривають порти, видаляють файли, вимикають протоколи або застосовують компенсуючі дії керування, що служать тимчасовими виправленнями, поки розробляється або тестується патч постачальника. Усі скрипти, згенеровані vuln_GPT, проходять етап перевірки перед публікацією на комерційній платформі. Механізм підтримує цільові системи Windows, Linux та macOS і доступний безкоштовно у vsociety.  
Ця модель з трьома джерелами означає, що бібліотека скриптів не є статичною. Вона постійно оновлюється завдяки внутрішнім дослідженням, внескам спільноти та контенту, створеному штучним інтелектом, із додатковим рівнем перевірки перед розгортанням у робочому середовищі.  
Забезпечення відповідності. Аудит систем на відповідність базовим рівням безпеки, перевіряючи відповідність конфігурацій організаційним або нормативним вимогам, є функцією сценаріїв виявлення. Коли виявляється відхилення, сценарії виправлення повертають системи до відповідності.

Як це інтегрується в робочий процес

Механізм створення сценаріїв не є окремим інструментом. Він працює в рамках ширшої архітектури виправлення помилок vRx:
Вразливість виявляється за допомогою механізму сканування vRx. Пріоритетність визначається за допомогою контекстної оцінки ризиків, яка враховує критичність активів, можливість використання та вплив на бізнес, а не лише CVSS. Якщо вразливість відповідає патчу, її обробляє вбудоване виправлення. Якщо патч недоступний або непридатний, платформа пропонує сценарії та захист без патчів як альтернативні шляхи виправлення.
Для створення сценаріїв оператор може вибрати з попередньо створеної бібліотеки, розгорнути сценарій, згенерований vuln_GPT, або завантажити власний сценарій. Виконання може бути негайним або запланованим. Автоматизація на основі політик дозволяє сценаріям запускатися автоматично за виконання певних умов, наприклад, автоматично виправляючи будь-які критичні випадки CVE, пов'язані з конфігурацією, на кінцевих точках виробництва протягом наступного періоду обслуговування.
Усі дії відображаються на інформаційних панелях vRx, оновлюючи статус виправлення, оцінки ризиків та стан відповідності вимогам у режимі реального часу. Інтеграція з SIEM передає ці дані в загальний процес роботи служби безпеки.