📋 Конфигурация расписания сканирования

# Ежеквартальное сканирование с помощью OpenVAS
# Создание задачи на регулярное сканирование
create_task name="Quarterly-Internal-Scan"
config="Full and fast"
target="internal-network"
schedule="0 0 1 */3 *"  # 1 число каждого 3-го месяца
scanner="openvas"
# Дополнительное частое сканирование критических систем
create_task name="Monthly-Critical-Scan"
config="Full and fast"
target="critical-servers"
schedule="0 0 1 * *"  # 1 число каждого месяца
scanner="openvas"
# Настройка уведомлений
create_alert name="High-Severity-Found"
condition="severity > 6.0"
method="SMTP"
recipients="soc-team@company.local"

🔧 Интеграция с системами мониторинга

• Автоматическая отправка отчетов в SIEM-систему
• Интеграция с тикетными системами (Jira, Redmine)
• Уведомления в мессенджеры (Telegram, Mattermost)
• Синхронизация с CMDB для актуальности активов

🛡️ Практические рекомендации

• Время выполнения: Планируйте сканирование на ночные часы для минимизации воздействия на бизнес-процессы
• Учетные данные: Используйте отдельные учетные записи с минимально необходимыми привилегиями
• Сетевые настройки: Настройте белые списки в системах защиты для IP-адресов сканера
• Резервное копирование: Перед сканированием критических систем выполняйте бэкапы

📊 Метрики эффективности

• Количество обнаруженных уязвимостей
• Время от обнаружения до устранения
• Процент ложных срабатываний
• Покрытие сканированием активов

🎯 Матрица приоритизации уязвимостей

🔍 Алгоритм анализа результатов

# Автоматическая обработка отчетов OpenVAS
#!/bin/bash
REPORT_FILE="$1"
CRITICAL_COUNT=$(grep -c "cvss_base_vector.*AV:N/AC:L/Au:N/C:C/I:C/A:C" "$REPORT_FILE")
HIGH_COUNT=$(grep -c "cvss_base_vector.*AV:N/AC:L/Au:N/C:C/I:C/A:C|AV:N/AC:L/Au:N/C:C/I:N/A:N" "$REPORT_FILE")
if [ "$CRITICAL_COUNT" -gt 0 ]; then
    echo "Обнаружены критические уязвимости: $CRITICAL_COUNT"
    send_alert "Критические уязвимости обнаружены" "$CRITICAL_COUNT"
fi
# Генерация отчета для руководства
generate_executive_report() {
    total_vulns=$(get_total_vulns)
    risk_score=$(calculate_risk_score)
    trend=$(compare_with_previous_scan)
    echo "Общий уровень риска: $risk_score, тенденция: $trend"
}

📈 Критерии приоритизации

• CVSS v3.1: Базовая оценка серьезности уязвимости
• Контекст системы: Критичность актива для бизнеса
• Доступность эксплойтов: Наличие публичных PoC
• Сложность эксплуатации: Требуемые навыки атакующего
• Воздействие на бизнес: Потенциальные финансовые потери

📋 Формула расчета приоритета

Приоритет = (CVSS × 0.4) + (КритичностьАктива × 0.3) + (НаличиеЭксплойта × 0.2) + (БизнесВоздействие × 0.1)

🔄 Процесс верификации

• Автоматическая проверка ложных срабатываний
• Ручная верификация критических уязвимостей
• Тестирование в изолированной среде
• Валидация исправлений после устранения

🔄 Интеграция с SIEM-системами

# Интеграция OpenVAS с ELK Stack
# Конфигурация Logstash для обработки отчетов
input {
  file {
    path => "/var/lib/openvas/plugins/reports/*.xml"
    start_position => "beginning"
    sincedb_path => "/dev/null"
  }
}
filter {
  xml {
    source => "message"
    target => "vulnerability"
    remove_namespaces => true
  }
  mutate {
    add_field => {
      "[@metadata][vuln_severity]" => "%{[vulnerability][threat]}"
      "[@metadata][host_ip]" => "%{[vulnerability][host]}"
    }
  }
  if [@metadata][vuln_severity] == "High" or [@metadata][vuln_severity] == "Critical" {
    mutate { add_tag => ["urgent_attention"] }
  }
}
output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]
    index => "vulnerability-scans-%{+YYYY.MM.dd}"
  }
  # Отправка уведомлений для критических уязвимостей
  if "urgent_attention" in [tags] {
    email {
      to => "soc-team@company.local"
      subject => "Критическая уязвимость обнаружена: %{[vulnerability][name]}"
      body => "Уязвимость: %{[vulnerability][name]}nХост: %{[@metadata][host_ip]}nУровень: %{[@metadata][vuln_severity]}"
    }
  }
}

🎫 Интеграция с тикетными системами

• Автоматическое создание заявок для устранения уязвимостей
• Назначение ответственных по отделам
• Отслеживание сроков исправления
• Эскалация при нарушении SLA

📊 Дашборды и отчетность

• Оперативные дашборды: Реальное время отображения состояния защищенности
• Ежеквартальные отчеты: Для руководства и регуляторов
• Трендовый анализ: Динамика изменения количества уязвимостей
• Сравнительные отчеты: Анализ эффективности мер защиты

🔐 Интеграция с GRC-системами

• Сопоставление уязвимостей с требованиями регуляторов
• Автоматическая оценка соответствия
• Формирование доказательной базы для аудитов
• Управление исключениями и отклонениями

📈 KPI и метрики

• MTTD (Mean Time To Detect) — среднее время обнаружения
• MTTR (Mean Time To Remediate) — среднее время устранения
• Coverage — процент охвата активов сканированием
• Risk Score — интегральная оценка уровня риска

🏛️ Соответствие требованиям ФСТЭК

📝 Обязательная отчетность

• Ежеквартальный отчет о проведении сканирования: Содержит статистику обнаруженных уязвимостей и меры по их устранению
• Акт о проведении оценки уязвимостей: Формальный документ для предоставления регуляторам
• Отчет о выполнении плана устранения уязвимостей: Демонстрирует прогресс в улучшении защищенности
• Статистика соответствия требованиям: Процент систем, соответствующих политикам безопасности

📊 Шаблон отчета для руководства

• Общее количество сканированных систем: 150
• Процент охвата: 95%
• Обнаружено уязвимостей: 42
• Критических: 3 (устранено: 2)
• Высокого уровня: 12 (устранено: 8)
• Средний уровень риска: 6.2/10
• Тенденция: Улучшение на 15% с прошлого квартала

⚖️ Юридические аспекты

• Соблюдение лицензионных соглашений используемого ПО
• Получение разрешений на сканирование производственных систем
• Обеспечение конфиденциальности результатов сканирования
• Соблюдение требований к персональным данным при сканировании

🛡️ Рекомендации по документированию

• Ведение реестра сканирований с датами и результатами
• Документирование methodology сканирования
• Сохранение доказательств устранения уязвимостей
• Ведение журнала исключений и обоснований