Многие компании обращаются в коммерческие SOC или выстраивают собственные SOC. В SOC выстроены процессы по определению приоритетов и критичности уязвимостей в ИТ-активах.
Если же необходимо в рамках отдела информационной безопасности решать задачи по снижению рисков, связанных с уязвимыми активами, то важно выработать четкий регламент по исправлению уязвимостей. Он должен включать: инвентаризацию инфраструктуры, процесс классификации уязвимостей, процесс приоритизации уязвимостей, процесс устранения уязвимостей, а также мониторинг и контроль всех перечисленных процессов. При этом важно максимально автоматизировать все этапы.
Приоритизация уязвимостей – важнейшая часть процесса VM, которая должна быть автоматизирована, а также дополнена такими данными как бизнес-ценность актива, наличие эксплойта, специальных вендорских метрик по уязвимости. Мы в своем решении используем ряд таких метрик и данных.
В организации должна быть внедрена VM-система, на базе которой можно будет агрегировать данные об ИТ-инфраструктуре из различных источников. Для выявления наиболее критичных уязвимостей необходимо выстроить такой процесс, в ходе которого ключевым моментом станет создание ресурсно-сервисной модели активов с точной оценкой их критичности. После чего необходимо настроить точную приоритизацию уязвимостей, чтобы в первую очередь устранялись самые опасные из них.
Мы рекомендуем выстраивать свои ИT-инфраструктуры таким образом, чтобы установка обновлений безопасности происходила максимально безболезненно. Кроме того, важно в первую очередь устранять трендовые уязвимости на ключевых и целевых ИT-активах организации. Следует настраивать ИТ-активы в соответствии с рекомендациями по безопасной настройке, чтобы усложнить злоумышленникам эксплуатацию уязвимостей. Об этом мы рассказываем на практикуме по управлению уязвимостями.
С этим можно справиться только грамотно применяя риск-ориентированный подход, основанный на хорошем понимании защищаемой инфраструктуры и критичности активов, знании вероятных векторов атак и хорошем сканере уязвимостей с постоянно обновляемой базой уязвимостей, обогащенной данными о возможности эксплуатации.
Во-первых, регулярно обновляйте активы. Это снимет большое количество проблем с уязвимостями. Главное – помнить про тестирование обновлений перед распространением. Во-вторых, проводите учет ПО в инфраструктуре и старайтесь сдерживать его рост. В идеале стоит выработать ограниченный набор разрешенного ПО – это также снизит количество уязвимостей и упростит их устранение. Если вышесказанное не помогло – прорабатывайте приоритизацию и сроки устранения уязвимостей с фокусом на периметр и критические активы.
Прежде всего необходимо сформировать корпоративную политику управления уязвимостями. За основу можно взять, например, публикацию NIST SP 800–40, в соответствии с которой жизненный цикл управления уязвимостями состоит из этапов обнаружения и учета активов, планирования (оценка опасности уязвимости, выбор метода обработки уязвимости), реализации выбранного метода (установка патчей, отключение уязвимого сервиса, изменение конфигурации актива, внедрение компенсирующих мер), проверки эффективности предпринятых действий (патч или безопасная конфигурация корректно применены), дальнейшего непрерывного мониторинга (что конфигурация не изменится, а патч не будет удален случайно или намеренно). Важно также получать данные об уязвимостях из различных источников (реестры БДУ ФСТЭК, MITRE CVE, NIST NVD, Exploit-DB, AttackerKB, бюллетени безопасности регуляторов и вендоров), обогащать информацию по уязвимостям TI-данными, приоритизировать уязвимости (например, используя метрики CVSS v.4.0, EPSS, CISA KEV, CISA SSVC, следую рекомендациям документа "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" ФСТЭК России).