Идея выделить ИБ-специалистов, занимающихся VM, в отдельную структурную единицу оправдана в случае большой ИТ-инфраструктуры и наличия выделенных специалистов.
Создание VOC имеет ценность для крупных организаций с большими ИТ-инфраструктурами, где важна слаженная работа, прозрачность процессов и понятные критерии эффективности. Уже сейчас мы видим тенденцию, что в компаниях Enterprise-сегмента появляются отдельные подразделения по работе с уязвимостями – со временем это может вырасти в полноценный VOC со своей командой, стандартами и методологией.
Непонятно, чем концепция VOC как инструмента по централизованному управлению уязвимостями отличается от решений класса VM, которые предназначены для автоматизации процесса управления уязвимостями: есть и агрегация результатов сканирования, и механизмы настройки приоритизации, и инструменты по устранению уязвимостей, в том числе организационные (например, автоматизация взаимодействия ИТ- и ИБ-департаментов). На российском рынке есть продукты с описанными возможностями, и они позиционируются как VM-решения.
VOС можно определять как структурное подразделение организации, специалисты которого реализуют VM-процесс, используя одно или несколько VM-решений для управления уязвимостями. Выделение VOC на одном уровне с SOC – неплохая идея. Основная задача SOC – детектирование инцидентов и реагирование на них. В VOC же можно собрать всё, что касается проактивной безопасности: выявление, приоритизацию и устранение всевозможных уязвимостей, технический compliance, контроль состояния средств защиты информации и средств анализа защищенности.
Видим со стороны нашей команды ценность такого подхода, ведь ежедневно базы данных угроз пополняются, инструменты по детектированию получают обновления и процесс VM должен сам по себе также должен находиться под управлением команды узкоспециализированных ИБ-специалистов. Уязвимости необходимо верифицировать, делать переоценку критичности после работы автоматического сканера, направлять задачи на патчинг и контролировать их ход. Все это позволяет компаниям защищаться от недопустимых событий, однако 0-day уязвимости также никто не отменял.
VOC – это платформа для проактивной работы с уязвимостями, которая позволяет интегрироваться с системами управления ИТ-активами, приоритизировать уязвимости, планировать установку патчей и контролировать выполнение работ. Для CISO это удобный инструмент управления работами по устранению уязвимостей, а также возможность получить полное представление о ситуации на стратегическом уровне. Российские компании готовы к технической реализации данного решения. Однако для успешного внедрения у заказчиков необходимо решить вопросы быстрой интеграции с ИТ-активами, а также критически важным.
Создание VOC подразумевает переход от чисто технического восприятия уязвимостей к риск-ориентированному управлению уязвимостями с непрерывным обнаружением уязвимостей, обогащением данных по ним, с оценкой влияния уязвимостей на бизнес-процессы и дальнейшей приоритизацией устранения уязвимостей на основе скоринга рисков их эксплуатации. Выделенный VOC-центр позволяет поднять приоритет процесс управления уязвимостями на стратегический уровень в компании, на котором ускоряется выделение ресурсов и упрощается привлечение сотрудников смежных подразделений (риск-менеджеров, владельцев бизнес-систем) для выбора способа обработки уязвимостей (принятие, избежание, минимизация). Установка обновлений безопасности и контроль их применения в рамках процесса управления уязвимостями также будет выполняться с повышенным приоритетом за счет высокого положения VOC в иерархии компании.
В настоящий момент в большинстве российских компаний управлением уязвимостями занимаются выделенные рабочие группы ИТ-/ИБ-сотрудников, в каких-то случаях – корпоративные SOC-центры, где-то управление поверхностью атак и уязвимостями на периметре отдано на аутсорс MSS-провайдерам. Отечественные организации, вероятно, смогут массово перейти к концепции выделенных VOC-центров в среднесрочной перспективе (один–два года).