Контакты
Подписка 2025
Статьи по информационной безопасности

Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей

Андрей Селиванов, 21/04/25

Промышленный сектор остается одной из самых уязвимых отраслей для кибератак.

Автор: Андрей Селиванов, продакт-менеджер R-Vision

Атаки на производственные мощности могут приводить к остановке производства, утечке данных и значительным финансовым и репутационным потерям. В таких условиях управление уязвимостями при помощи систем класса VM (Vulnerability Management) становится критически важным элементом стратегии кибербезопасности. Полноценное VM-решение позволяет выявлять, приоритизировать и устранять уязвимости в ИТ-инфраструктуре, снижая риски и минимизируя влияние человеческого фактора.

В 2024 г. в R-Vision обратился крупный промышленный холдинг с запросом на внедрение системы управления уязвимостями. Цель – автоматизировать и централизовать процесс VM в шести филиалах, каждый из которых – крупный завод. В инфраструктуре холдинга около 25 тыс. хостов: серверы, сетевое оборудование, рабочие станции и другие устройства. Управлением ИБ занимается центральная команда из двенадцати специалистов, которые работают совместно с ИТ-администраторами в каждом филиале.

До внедрения R-Vision VM [1] управление уязвимостями преимущественно велось в ручном режиме с использованием сканера стороннего вендора. Сканер собирал сведения с нескольких тысяч хостов в каждом филиале и передавал их специалистам по ИБ. Данные обрабатывались вручную, приоритизировались и передавались в ИТ-департамент. После устранения уязвимостей проводилось повторное сканирование, а результаты вручную сопоставлялись с предыдущими отчетами. Процесс был трудоемким, а также подверженным ошибкам из-за человеческого фактора, – все это снижало эффективность контроля безопасности.

Выбор решения

Команда ИБ понимала, что нужен инструмент для автоматизации и централизации процесса. После тестирования нескольких решений, выбор пал на R-Vision VM – систему, которая показала стабильную работу, соответствие требованиям организации, и обеспечивала полный цикл управления уязвимостями: от выявления до автоматического контроля устранения.

Реализация проекта

Основная цель проекта – централизовать и автоматизировать процесс выявления, приоритизации и устранения уязвимостей в масштабах всей ИТ-инфраструктуры холдинга. Для этого потребовалось выстроить несколько ключевых процессов, охватывающих все этапы управления уязвимостями:

  • Интеграция системы R-Vision VM со всеми ИТ- и ИБ-системами холдинга.
  • Сбор и анализ данных о каждом активе во всех филиалах.
  • Настройка регулярного и оперативного сканирования ИТ-инфраструктуры на уязвимости с использованием встроенного сканера R-Vision VM.
  • Приоритизация уязвимостей на основе их критичности и значимости активов.
  • Двусторонняя интеграция с системой Service Desk (Jira) для отправки в нее автоматически созданных задач на устранение уязвимостей.
  • Контроль выполнения задач и автоматическая проверка устранения уязвимостей.

В ходе проекта особое внимание уделили интеграции R-Vision VM с существующими ИТ- и ИБ-системами холдинга, включая CMDB (собственная разработка заказчика), Kaspersky Security Center, Microsoft Active Directory и Microsoft SCCM (System Center Configuration Manager). Это позволило получить полную картину по всем активам и уязвимостям – как в центральном офисе, так и в филиалах.

Собранные данные использовались для автоматического формирования ресурсно-сервисной модели активов, где учитывались различные факторы: тип оборудования, ОС, прикладное ПО, физическое расположение, состояние поддержки и уровень критичности для бизнес-процессов. Это позволило оценить влияние каждого актива на ключевые бизнес-процессы, что стало основой для последующей точной приоритизации уязвимостей.

Далее специалисты настроили регулярное сканирование всех хостов на предмет наличия известных уязвимостей, включая трендовые, которые могут быть в ближайшее время использованы злоумышленниками для получения несанкционированного доступа или нарушения работы систем. В R-Vision VM используются продвинутые алгоритмы сканирования, позволяющие оперативно выявлять уязвимости в зарубежных и отечественных ОС, ПО, сетевом оборудовании и базах данных.

После выявления всех уязвимостей в R-Vision VM была настроена автоматическая приоритизация на основе собственной формулы. В расчет входят базовые характеристики уязвимости (оценка CVSS, наличие эксплойта и др.), а также критичность актива или группы активов. Это позволило быстро определить, на каких уязвимостях и активах необходимо сосредоточиться в первую очередь.

Устранение и контроль

Одним из ключевых запросов ИБ-команды холдинга было создание полностью автоматизированного процесса контроля устранения уязвимостей с минимальным участием человека, при этом должна быть обеспечена высокая точность и оперативность обработки данных (см. рис. 1).

ris1_new_w
Рис. 1. Процесс контроля устранения уязвимостей

После выявления и приоритизации уязвимостей в R-Vision VM автоматически создается задача на их устранение. Задача формируется на основании заранее заданных критериев. Например, если уязвимость с рейтингом выше 9 (критический) обнаружена на устройстве из группы критичных ИТ-активов, задача автоматически создается и передается в Jira вместе со списком всех затронутых хостов. Для задачи устанавливаются сроки выполнения и SLA для ИТ-подразделения (см. рис. 2).

ris2-Apr-21-2025-03-21-32-9473-PM
Рис. 2. Пример отображения задачи в интерфейсе

После завершения работ ИТ-специалисты переводят задачу в Jira в статус "требуется проверка" и отправляют в систему отчет об устранении. На этом этапе в R-Vision VM автоматически создается задача на пересканирование с указанием IP-адресов соответствующих хостов. Результаты пересканирования поступают обратно в систему.

Если уязвимости успешно устранены, соответствующие задачи автоматически закрываются. Далее система сверяет список устраненных уязвимостей с первоначальным перечнем. Если все уязвимости закрыты, задача в Jira и R-Vision VM автоматически переводится в статус "закрыта".

Если же какие-либо уязвимости остались неустраненными, в задачу в Jira добавляется уведомление с их списком. Задача переоткрывается и процесс повторяется: данные обновляются, запускается очередное пересканирование, и уязвимости закрываются, после успешного устранения.

Если при запуске пересканирования один или несколько хостов недоступны, система автоматически фиксирует это и продолжает попытки до тех пор, пока все хосты не станут доступны, либо не закончится число попыток пересканирования. После успешного сканирования выполняется сверка результатов. Если хосты остаются недоступными, то задача переоткрывается.

В R-Vision VM предусмотрены и другие сценарии:

  • Если устранить уязвимость невозможно (например, отсутствует патч или присутствуют технологические ограничения), то в системе есть возможность зафиксировать ее как "принятый риск" и установить срок для повторной проверки.
  • Если уязвимость оказалась ложным срабатыванием, то ей можно присвоить соответствующий статус, чтобы в дальнейшем она не учитывалась при оценке.

Результаты внедрения R-Vision VM

Получение актуальных данных об активах. Система собирает и обновляет информацию о состоянии всех хостов во всех филиалах в течение 7–8 часов (в каждом филиале установлен свой коллектор). Ранее этот процесс занимал несколько дней.

Регулярное сканирование на уязвимости. Система автоматически сканирует около 5 тыс. хостов за 8 часов одним коллектором. При необходимости запускается внеочередное сканирование для проверки критических угроз.

Точная приоритизация уязвимостей. Приоритизация строится на основе критичности актива, рейтинга CVSS и других атрибутов, что позволяет сосредоточиться на устранении наиболее опасных уязвимостей и сократить время реакции на критические инциденты.

Контроль устранения уязвимостей. Система автоматически создает задачи на устранение уязвимостей, отслеживает их статус и запускает пересканирование после выполнения работ.

Сокращение рутинных операций. Автоматизация обработки данных, создания задач и контроля их устранения позволила сократить время выполнения ежедневных рутинных операций на 90% по сравнению с предыдущим процессом.

Прозрачность взаимодействия между ИТ и ИБ. Интеграция с Service Desk и автоматическое обновление статусов задач упростили контроль за устранением уязвимостей и повысили согласованность между ИТ и ИБ.

Снижение рисков. Быстрое выявление и устранение критических уязвимостей позволило уменьшить вероятность успешных атак на инфраструктуру.

Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.

  1. https://www.rvision.ru/products/vm 

ООО «Р-Вижн». ИНН 7712023924. Erid2SDnjdYeWpM
Темы:R-VisionУправление уязвимостями (Vulnerability Management)R-Vision VMЖурнал "Информационная безопасность" №1, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре
    Андрей Никонов, главный аналитик, “Фродекс”
    Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.
  • Бэклог невыполненных исправлений и рекомендации, как с ним бороться
    Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты.
  • Цена ошибки: почему важно качественно детектировать уязвимости
    Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies
    Не сканер детектирует уязвимости в ИT-инфраструктуре организации с помощью специалиста, а специалист по управлению уязвимостями (VM-специалист) детектирует уязвимости с помощью сканера. Сканер – это просто инструмент. Выбор решения, достаточно хорошо выполняющего заявленные функции по детектированию уязвимостей, – одна из главных задач VM-специалиста и вышестоящего менеджмента. Если эксперт, который проводит анализ решений, отнесется к этой задаче с небрежностью, то запросто может попасть в неприятную ситуацию – пропустить критически опасную уязвимость в инфраструктуре, эксплуатация которой приведет к недопустимому для организации событию.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Рынок услуг управления уязвимостями в России: контроль поверхности атак
    Максим Ежов, руководитель отдела непрерывного мониторинга безопасности Angara Security
    Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций. Однако в условиях стремительно меняющегося киберландшафта, ухода зарубежных поставщиков и перехода на отечественные решения процесс управления уязвимостями в России приобретает ряд уникальных особенностей.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"