Контакты
Подписка 2025
Статьи по информационной безопасности

Бэклог невыполненных исправлений и рекомендации, как с ним бороться

Редакция журнала "Информационная безопасность", 14/04/25

Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты.

ris4-Apr-14-2025-03-17-12-3473-PM

Вадим Матвиенко, Газинформсервис

Многие компании обращаются в коммерческие SOC или выстраивают собственные SOC. В SOC выстроены процессы по определению приоритетов и критичности уязвимостей в ИТ-активах.

Если же необходимо в рамках отдела информационной безопасности решать задачи по снижению рисков, связанных с уязвимыми активами, то важно выработать четкий регламент по исправлению уязвимостей. Он должен включать: инвентаризацию инфраструктуры, процесс классификации уязвимостей, процесс приоритизации уязвимостей, процесс устранения уязвимостей, а также мониторинг и контроль всех перечисленных процессов. При этом важно максимально автоматизировать все этапы.

Сергей Кукарский, ScanFactory

Приоритизация уязвимостей – важнейшая часть процесса VM, которая должна быть автоматизирована, а также дополнена такими данными как бизнес-ценность актива, наличие эксплойта, специальных вендорских метрик по уязвимости. Мы в своем решении используем ряд таких метрик и данных.

Андрей Селиванов, R-Vision

В организации должна быть внедрена VM-система, на базе которой можно будет агрегировать данные об ИТ-инфраструктуре из различных источников. Для выявления наиболее критичных уязвимостей необходимо выстроить такой процесс, в ходе которого ключевым моментом станет создание ресурсно-сервисной модели активов с точной оценкой их критичности. После чего необходимо настроить точную приоритизацию уязвимостей, чтобы в первую очередь устранялись самые опасные из них.

Александр Леонов, Positive Technologies

Мы рекомендуем выстраивать свои ИT-инфраструктуры таким образом, чтобы установка обновлений безопасности происходила максимально безболезненно. Кроме того, важно в первую очередь устранять трендовые уязвимости на ключевых и целевых ИT-активах организации. Следует настраивать ИТ-активы в соответствии с рекомендациями по безопасной настройке, чтобы усложнить злоумышленникам эксплуатацию уязвимостей. Об этом мы рассказываем на практикуме по управлению уязвимостями.

Александр Дорофеев, Эшелон Технологии

С этим можно справиться только грамотно применяя риск-ориентированный подход, основанный на хорошем понимании защищаемой инфраструктуры и критичности активов, знании вероятных векторов атак и хорошем сканере уязвимостей с постоянно обновляемой базой уязвимостей, обогащенной данными о возможности эксплуатации.

Андрей Никонов, Фродекс

Во-первых, регулярно обновляйте активы. Это снимет большое количество проблем с уязвимостями. Главное – помнить про тестирование обновлений перед распространением. Во-вторых, проводите учет ПО в инфраструктуре и старайтесь сдерживать его рост. В идеале стоит выработать ограниченный набор разрешенного ПО – это также снизит количество уязвимостей и упростит их устранение. Если вышесказанное не помогло – прорабатывайте приоритизацию и сроки устранения уязвимостей с фокусом на периметр и критические активы.

Роман Овчинников, Security Vision

Прежде всего необходимо сформировать корпоративную политику управления уязвимостями. За основу можно взять, например, публикацию NIST SP 800–40, в соответствии с которой жизненный цикл управления уязвимостями состоит из этапов обнаружения и учета активов, планирования (оценка опасности уязвимости, выбор метода обработки уязвимости), реализации выбранного метода (установка патчей, отключение уязвимого сервиса, изменение конфигурации актива, внедрение компенсирующих мер), проверки эффективности предпринятых действий (патч или безопасная конфигурация корректно применены), дальнейшего непрерывного мониторинга (что конфигурация не изменится, а патч не будет удален случайно или намеренно). Важно также получать данные об уязвимостях из различных источников (реестры БДУ ФСТЭК, MITRE CVE, NIST NVD, Exploit-DB, AttackerKB, бюллетени безопасности регуляторов и вендоров), обогащать информацию по уязвимостям TI-данными, приоритизировать уязвимости (например, используя метрики CVSS v.4.0, EPSS, CISA KEV, CISA SSVC, следую рекомендациям документа "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" ФСТЭК России).
Темы:Управление уязвимостями (Vulnerability Management)Журнал "Информационная безопасность" №1, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Идеальный портфель сканеров: универсальность, специализация или баланс?
    Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устройства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявленные уязвимости в них несут критические риски. Есть те, кто пересматривает портфель сканеров и оставляет пару универсальных решений, другие же используют несколько узкоспециализированных. 
  • Сканер-ВС 7 Enterprise: анализ безопасности конфигурации никогда не был таким простым
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    В новой версии Сканер-ВС 7 реализована функция углубленного анализа конфигураций и гибкого управления шаблонами аудита. Выпуск превью-версии состоялся в первой половине апреля 2025 г.
  • Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей
    Андрей Селиванов, продукт-менеджер R-Vision VM
    Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
  • Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре
    Андрей Никонов, главный аналитик, “Фродекс”
    Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.
  • Цена ошибки: почему важно качественно детектировать уязвимости
    Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies
    Не сканер детектирует уязвимости в ИT-инфраструктуре организации с помощью специалиста, а специалист по управлению уязвимостями (VM-специалист) детектирует уязвимости с помощью сканера. Сканер – это просто инструмент. Выбор решения, достаточно хорошо выполняющего заявленные функции по детектированию уязвимостей, – одна из главных задач VM-специалиста и вышестоящего менеджмента. Если эксперт, который проводит анализ решений, отнесется к этой задаче с небрежностью, то запросто может попасть в неприятную ситуацию – пропустить критически опасную уязвимость в инфраструктуре, эксплуатация которой приведет к недопустимому для организации событию.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"