Мониторинг рабочих станций в контексте информационной безопасности — это не про загрузку CPU и свободное место на диске. Это про ответ на вопрос: «Защищена ли каждая машина в сети?» Установлен ли антивирус? Актуальны ли его базы? Какое ПО стоит на АРМ бухгалтера и есть ли у этого ПО известные уязвимости? Не подключил ли кто-нибудь личный USB-модем? Без ответов на эти вопросы невозможно управлять рисками и выполнять требования приказов ФСТЭК №117, №21 и №239. Эта статья — практическое руководство: что отслеживать, как выбрать подход и зачем автоматизировать мониторинг рабочих станций.
Что отслеживает мониторинг рабочих станций для ИБ
Операционная система и обновления
Базовый уровень — знать, какая ОС установлена на каждом АРМ: тип (Windows, Linux, macOS), версия, билд, пакет обновлений. Windows 7 без поддержки — критический риск. Windows 10 без обновления KB5034441 — уязвимость BitLocker. Astra Linux SE без патча 2024-12 — уязвимость эскалации привилегий. Без мониторинга ИБ-специалист узнаёт об устаревших ОС, когда уже поздно — при инциденте или проверке ФСТЭК.
Кроме версии ОС, критично отслеживать статус обновлений. Приказ ФСТЭК требует оперативного устранения уязвимостей — а уязвимости закрываются патчами. Агент фиксирует: дату последнего обновления ОС, перечень неустановленных критических обновлений, историю перезагрузок (обновление применено, но перезагрузка отложена на три недели — уязвимость всё ещё активна).
Установленное ПО: санкционированное и нет
Каждая программа на рабочей станции — потенциальный вектор атаки. Мониторинг собирает полный список установленного ПО с версиями и сопоставляет его с двумя перечнями:
- Белый список — разрешённое ПО организации. Всё, что не в списке, — «теневое ИТ», требующее разбирательства.
- БДУ ФСТЭК — база данных угроз и уязвимостей. Если установленная версия программы имеет запись в БДУ, АРМ под угрозой.
В организации с 300 рабочими станциями агент обнаруживает в среднем 15-20% АРМ с неавторизованным ПО. Чаще всего это TeamViewer, AnyDesk, личные облачные клиенты, торрент-клиенты — каждая такая программа является потенциальным каналом утечки.
Средства защиты информации
Мониторинг контролирует не только наличие СЗИ, но и их работоспособность:
- Антивирус: установлен? Запущен? Актуальны ли базы? Когда последний раз обновлялся? Типичная проблема: антивирус установлен, но служба остановлена пользователем или конфликтующим ПО.
- Межсетевой экран ОС: включён? Правила не изменены?
- Средства шифрования: BitLocker / LUKS активен? Диск зашифрован?
- СКЗИ: КриптоПро CSP установлен? Какой версии? Сертификат ФСБ действителен?
Конфигурация безопасности
Настройки ОС, влияющие на безопасность:
- Парольная политика: минимальная длина, сложность, срок действия. Если на АРМ настроен пароль из 4 символов без срока действия — это нарушение политики ИБ.
- Блокировка экрана: включена ли автоблокировка через 5-15 минут бездействия?
- USB-порты: разрешено ли подключение внешних накопителей?
- Автозапуск: отключён ли автозапуск со съёмных носителей?
- Учётные записи: есть ли неиспользуемые локальные учётки с правами администратора?
- Удалённый доступ: включён ли RDP? Ограничен ли список пользователей, которым разрешено подключение?
Каждая из этих настроек — потенциальная точка входа для злоумышленника. Проверить их вручную на 300 АРМ — задача на неделю. Агент проверяет автоматически и сигнализирует об отклонениях от эталонной конфигурации. Эталон задаётся один раз — дальше система сравнивает текущее состояние каждого АРМ с утверждённой политикой безопасности организации.
Подключённые устройства
Агент фиксирует подключение внешних устройств: USB-накопители, внешние жёсткие диски, USB-модемы, Wi-Fi адаптеры, принтеры. Для ИБ-специалиста критично знать: подключил ли сотрудник личный USB-модем (обход периметра сети) или USB-накопитель (возможный канал утечки). Система мониторинга фиксирует каждое подключение с датой, временем и идентификатором устройства.
Агентный vs безагентный мониторинг
Два принципиально разных подхода к сбору данных с рабочих станций. Выбор влияет на полноту информации, стоимость внедрения и применимость к ИБ-задачам.
| Критерий | Агентный | Безагентный (WMI/SSH) |
|---|---|---|
| Полнота данных | Полная: ОС, ПО, СЗИ, USB, конфигурация | Частичная: зависит от прав и протоколов |
| Частота обновления | Непрерывно или по расписанию (15-60 мин) | Только в момент опроса |
| Нагрузка на сеть | Минимальная (1-5 МБ/сутки, данные сжаты) | Высокая при массовом опросе |
| Работа за NAT / VPN | Да — агент инициирует соединение сам | Нет — сервер должен «видеть» машину |
| Удалённые сотрудники | Да — данные копятся офлайн, отправляются при подключении | Нет — машина недоступна вне сети |
| Установка | Требуется на каждый АРМ (GPO, SCCM, вручную) | Не требуется |
| Учётные записи | Не нужны (агент работает от SYSTEM) | Нужна учётка с правами администратора |
| Потребление ресурсов | < 50 МБ RAM, < 1% CPU | Ресурсы сервера опроса |
| Обнаружение изменений | Мгновенно (установка ПО, подключение USB) | Только при следующем опросе |
Когда агентный подход необходим
Для задач ИБ агентный подход предпочтителен в большинстве сценариев:
- Удалённые сотрудники — ноутбуки за пределами офиса невозможно опросить по WMI.
- Непрерывный контроль — изменения фиксируются сразу, а не раз в сутки.
- Филиальная сеть — агент работает через NAT без VPN, не требуя сложной настройки туннелей.
- Контроль USB — безагентный подход не отслеживает подключение устройств в реальном времени.
- Сверка с БДУ — агент собирает точные версии ПО, что критично для корректного сопоставления с уязвимостями.
Безагентный подход оправдан для сетевого оборудования (коммутаторы, маршрутизаторы) и серверов, которые всегда доступны в сети и не перемещаются между сегментами. Оптимальная стратегия — комбинированная: агенты на рабочих станциях и ноутбуках, безагентное сканирование для инфраструктуры.
Мониторинг для выполнения требований ФСТЭК
Приказы ФСТЭК №117/117 (ГИС), №21 (ИСПДн) и №239 (КИИ) требуют выполнения конкретных мер защиты. Мониторинг рабочих станций позволяет автоматически проверять выполнение ключевых мер на каждом АРМ.
УПД.2 — Управление учётными записями
Мера требует: контроль создания, активации, блокирования и уничтожения учётных записей. Агент выявляет:
- неиспользуемые учётные записи (не было входа более 90 дней)
- общие учётные записи (один логин на несколько человек)
- локальных администраторов (учётки с повышенными привилегиями без обоснования)
АВЗ.1 — Антивирусная защита
Мера требует: применение средств антивирусной защиты. Агент проверяет на каждом АРМ:
- установлен ли антивирус
- запущена ли служба защиты
- дата последнего обновления баз (если более 3 дней — предупреждение, более 7 — критично)
- результаты последнего сканирования
В организации с 300 АРМ агент обнаруживает в среднем 15-20% машин с устаревшими базами антивируса. Причины: ноутбук был в командировке, обновление заблокировано прокси-сервером, служба обновления отключена.
ОЦЛ.1 — Контроль целостности ПО
Мера требует: контроль целостности программного обеспечения. Агент фиксирует:
- установку и удаление программ
- изменение исполняемых файлов
- модификацию системных библиотек
АНЗ.1 — Выявление уязвимостей
Мера требует: выявление, анализ и оперативное устранение уязвимостей. Агент обеспечивает:
- автоматическую сверку установленного ПО с БДУ ФСТЭК
- приоритизацию уязвимостей по CVSS
- контроль устранения (повторная проверка после обновления)
Автоматизируйте проверку мер ФСТЭК. Запросите демо КиберОснова и посмотрите, как агент проверяет выполнение требований на каждом АРМ.
Сверка с БДУ ФСТЭК: как это работает
Банк данных угроз ФСТЭК (БДУ) содержит более 60 000 записей об уязвимостях в программном обеспечении. Для ИБ-специалиста задача — сопоставить ПО, установленное на рабочих станциях, с записями в БДУ. Вручную это невыполнимо: 50 программ на АРМ, 300 АРМ в организации = 15 000 проверок.
Этапы автоматической сверки
Шаг 1: Сбор данных. Агент собирает полный список установленного ПО с точными версиями. Не «КриптоПро CSP», а «КриптоПро CSP 5.0.12000 R2».
Шаг 2: Нормализация. Разные АРМ могут показывать одну и ту же программу по-разному. Система нормализует названия: «CryptoPro CSP 5.0 R2 Build 12000» и «КриптоПро CSP версия 5.0.12000» — одно и то же ПО.
Шаг 3: Сопоставление с БДУ. Нормализованные записи сверяются с базой уязвимостей ФСТЭК. Система находит совпадения по наименованию вендора, продукта и диапазону уязвимых версий.
Шаг 4: Формирование отчёта. Результат — перечень уязвимостей для каждого АРМ: идентификатор БДУ, уровень критичности (CVSS), описание, рекомендация (обновить до версии X, установить патч Y).
Шаг 5: Контроль устранения. После обновления ПО агент автоматически повторяет проверку и закрывает запись об уязвимости, если новая версия не входит в перечень уязвимых.
Почему важна именно БДУ ФСТЭК
Регуляторы в России (ФСТЭК, ФСБ) ориентируются на БДУ, а не на NVD (NIST) или CVE/MITRE. При проверке ФСТЭК спросят именно про уязвимости из БДУ. КиберОснова использует БДУ ФСТЭК как основной источник, что соответствует требованиям 187-ФЗ и подзаконных актов. БДУ содержит уязвимости, специфичные для российского ПО (КриптоПро, VipNet, Dallas Lock, Secret Net), которых нет в NVD. Для организаций, использующих отечественные СЗИ и СКЗИ, сверка только с CVE/NVD недостаточна.
Обзор подходов к мониторингу рабочих станций
На рынке есть несколько классов решений, которые так или иначе мониторят рабочие станции. Они решают разные задачи — важно понимать различия.
ИТ-мониторинг: Zabbix, Nagios, PRTG
Что делают: отслеживают доступность и производительность — пинг, загрузку CPU/RAM/диска, статус сервисов, сетевой трафик. Триггеры настраиваются на пороговые значения: «диск заполнен на 90%», «сервис не отвечает 5 минут», «сетевой интерфейс перегружен».
Для ИБ: не подходят как система мониторинга рабочих станций в контексте безопасности. Zabbix покажет, что на АРМ загрузка CPU 95%, но не скажет, что это из-за майнера. Не сверяют ПО с БДУ, не контролируют СЗИ, не проверяют парольную политику. Нет понятия «уязвимость» — только «метрика вышла за порог».
Microsoft SCCM / Intune
Что делают: управление конфигурациями, распространение ПО, инвентаризация в экосистеме Microsoft.
Для ИБ: частично подходят для инвентаризации ПО, но не имеют ИБ-контекста: нет сверки с БДУ ФСТЭК, нет учёта сертификатов ФСТЭК/ФСБ на СЗИ. Работают только с Windows. Высокая стоимость лицензирования и сложность настройки для задач безопасности.
Kaspersky Security Center
Что делает: централизованное управление антивирусной защитой + базовая инвентаризация ПО и оборудования.
Для ИБ: хорош для контроля антивируса, но ограничен как система мониторинга рабочих станций: инвентаризация ПО — побочная функция, нет сверки с БДУ ФСТЭК, нет контроля выполнения мер из приказов ФСТЭК, нет комплаенс-отчётности, привязан к экосистеме Kaspersky.
Сканеры уязвимостей: MaxPatrol, RedCheck
Что делают: периодическое сканирование сети, выявление уязвимостей по CVE/БДУ.
Для ИБ: хороши для разовых проверок, но это не непрерывный мониторинг. Сканирование 300 АРМ занимает часы, нагружает сеть. Между сканированиями — слепая зона.
SGRC КиберОснова: ИБ-мониторинг + комплаенс
Что делает: непрерывный сбор данных через агент, автоматическая сверка с БДУ ФСТЭК, контроль СЗИ и СКЗИ, проверка выполнения мер из приказов ФСТЭК, инвентаризация ПО и оборудования.
Отличие: одно из немногих решений, которое объединяет инвентаризацию, мониторинг безопасности и комплаенс в одной системе. Типичный набор «без SGRC»: Zabbix для ИТ-мониторинга + сканер уязвимостей для АНЗ.1 + Excel для учёта СЗИ + отдельная система для комплаенса. Четыре инструмента, четыре интерфейса, ручная склейка данных. КиберОснова заменяет этот набор одной платформой с единой базой активов. Программы для инвентаризации отдельно, сканеры уязвимостей отдельно, система комплаенса отдельно — или всё в одной платформе.
Типичные проблемы и решения
Теневое ИТ: сотрудники ставят неавторизованное ПО
Проблема: пользователь установил AnyDesk «для удобства». Через него злоумышленник получил удалённый доступ к корпоративной сети.
Решение: агент фиксирует каждую установку ПО и сравнивает с белым списком. Уведомление ИБ-специалисту приходит в течение часа. Альтернатива — блокировка установки через групповые политики, но это ломает рабочие процессы. Мониторинг позволяет действовать точечно: разрешить бухгалтеру установить обновление 1С, но отреагировать на появление торрент-клиента.
Ноутбуки вне корпоративной сети
Проблема: сотрудник уехал в командировку на две недели. Безагентный мониторинг не видит его ноутбук. За это время базы антивируса устарели, обновления ОС не установлены.
Решение: агент КиберОснова продолжает собирать данные офлайн и отправляет их при первом подключении к интернету. ИБ-специалист видит полную историю: когда устарели базы, какое ПО было установлено в командировке, подключались ли внешние устройства.
BYOD: личные устройства сотрудников
Проблема: сотрудник подключает личный ноутбук к корпоративной сети. На нём нет антивируса, ОС не обновлялась, установлены торренты.
Решение: агент мониторинга при первом обнаружении нового устройства в сети формирует карточку актива. ИБ-специалист получает уведомление о неизвестном устройстве и принимает решение: установить агент и контролировать, или изолировать в гостевой сегмент сети. Политика BYOD должна быть формализована: какие требования предъявляются к личным устройствам (антивирус, обновления, шифрование диска), какие данные разрешено обрабатывать, какие сегменты сети доступны.
Устаревшие ОС без поддержки
Проблема: в организации 20 АРМ с Windows 7, потому что «на них работает специализированное ПО, которое не поддерживает Windows 10».
Решение: агент выявляет все АРМ с неподдерживаемыми ОС и формирует отчёт с перечнем уязвимостей. Это становится аргументом для руководства: обновить ПО или применить компенсирующие меры (изоляция сегмента, дополнительные СЗИ). Мониторинг превращает абстрактный риск в конкретные цифры: «20 АРМ с Windows 7, на каждом в среднем 47 неустранённых уязвимостей, из них 12 с CVSS >= 9.0».
Обнаружьте теневое ИТ и устаревшие ОС автоматически. Запросите демо и протестируйте агент КиберОснова на своей инфраструктуре.
5 шагов внедрения мониторинга рабочих станций
Шаг 1: Определить зоны мониторинга
Составить перечень сегментов сети: рабочие станции офиса, ноутбуки удалённых сотрудников, серверы, АРМ в филиалах. Определить приоритеты: сначала — АРМ, работающие с ПДн и КИИ, затем — остальные. Определить, какие данные нужны: минимум (ОС + ПО + антивирус) или полный набор (+ USB, + конфигурация, + пользователи). Составить карту сегментов с количеством АРМ в каждом — это определит объём работ и последовательность пилотирования.
Шаг 2: Выбрать метод сбора данных
Для рабочих станций и ноутбуков — агентный подход. Для серверов — агентный или безагентный (зависит от политики организации). Для сетевого оборудования — безагентный (SNMP). Оценить совместимость агента с используемыми ОС: Windows, Linux (Astra Linux, РЕД ОС, ALT Linux), macOS.
Шаг 3: Развернуть агент
Способы установки: через GPO (Active Directory), через SCCM/Intune, через SSH (Linux), вручную (пилотная группа). Начать с пилотной группы — 20-30 АРМ. Убедиться, что агент корректно собирает данные, не конфликтует с СЗИ, не влияет на производительность. Автоматизация инвентаризации начинается именно с пилота.
Шаг 4: Настроить сверку с БДУ ФСТЭК
Подключить модуль сверки с БДУ. Настроить частоту проверки (рекомендуется: ежедневно для критичных АРМ, еженедельно для остальных). Определить пороги критичности: CVSS >= 7.0 — немедленное уведомление, CVSS >= 4.0 — еженедельный отчёт. Назначить ответственных за устранение уязвимостей.
Шаг 5: Интегрировать с процессом управления уязвимостями
Мониторинг — не самоцель. Данные агента должны запускать процесс: обнаружена уязвимость -> создана задача -> установлено обновление -> повторная проверка -> закрытие. КиберОснова интегрирует мониторинг с модулем управления уязвимостями и комплаенс-контролем. Результат — замкнутый цикл: от обнаружения до устранения с документированием для проверок ФСТЭК.
Важно определить SLA на устранение: критические уязвимости (CVSS >= 9.0) — 24 часа, высокие (CVSS 7.0-8.9) — 7 дней, средние (CVSS 4.0-6.9) — 30 дней. Агент автоматически контролирует соблюдение SLA и эскалирует просроченные задачи. Подробнее о процессе инвентаризации ИТ-активов — в отдельном руководстве.
Мониторинг рабочих станций — часть комплексного процесса инвентаризации оборудования. Данные мониторинга используются для учёта средств защиты информации — агент автоматически обнаруживает установленные СЗИ и контролирует их версии и сертификаты.
Заключение
Мониторинг рабочих станций для ИБ — это не Zabbix и не DLP. Это непрерывный контроль состояния каждого АРМ: какое ПО установлено, есть ли уязвимости, работают ли средства защиты, соблюдается ли политика безопасности. Без автоматического мониторинга ИБ-специалист работает вслепую — и узнаёт о проблемах из акта проверки ФСТЭК или из расследования инцидента. При этом ручной обход 300 рабочих станций с чек-листом занимает 2-3 недели, и к моменту завершения данные по первым АРМ уже устарели.
Три ключевых вывода:
- Агентный подход — предпочтителен для ИБ-задач: непрерывный сбор данных, работа за NAT, контроль USB, офлайн-режим.
- Сверка с БДУ ФСТЭК — обязательна для выполнения АНЗ.1 и работы по 187-ФЗ. Автоматизация экономит сотни часов ручных проверок.
- ИБ-контекст — отличает мониторинг в SGRC от ИТ-мониторинга. Не «сколько свободного места на диске», а «сколько АРМ с критическими уязвимостями». Не «какой uptime у сервера», а «соответствует ли АРМ требованиям приказа ФСТЭК №21».
Запросите демо КиберОснова — посмотрите, как агент собирает данные с рабочих станций, автоматически сверяет установленное ПО с БДУ ФСТЭК и формирует отчёт о выполнении мер из приказов ФСТЭК №117, №21 и №239. Развёртывание пилота на 20-30 АРМ — от одного рабочего дня.
