Какая функциональность будет востребована в системах Vulnerability Management
Редакция журнала "Информационная безопасность", 22/05/24
Редакция журнала "Информационная безопасность" задала экспертам два вопроса про развитие VM-решений в России: "Какая новая функциональность будет востребована в системах Vulnerability Management в ближайшие 2–3 года?" и "Есть ли тренд на слияние VM с другими классами ИБ-систем?".
Роман Овчинников, Security Vision:
Этот тренд уже прошел пик своей актуальности и подтверждается статистикой: формирование экосистем из решений одного вендора дополняется платформенным подходом.
В рамках расширения функционала можно ожидать востребованность интеграции решений VM с процессами управления активами и инвентаризацией, комплаенса и оценки рисков, реагирования на инциденты и др.
Андрей Селиванов, R-Vision:
В будущем будет востребовано привлечение технологий ИИ к обработке и приоритизации уязвимостей в ИТ-инфраструктурах с большим количеством активов. Результатами такой обработки могут быть наиболее точно установленные уровни критичности уязвимости, вычисленные вероятности эксплуатации уязвимости, основанные на уже имеющихся данных об уязвимости и текущей конфигурации ИТ-инфраструктуры.
В настоящее время активно прослеживается тренд на создание экосистем, в числе которых и системы класса VM. Например, связка решений VM и TIP дает возможность обогащать данные об уязвимостях сведениями из различных источников об угрозах. Такой комплекс систем будет выявлять попытки проникновения в системы, обнаруживать целенаправленные атаки на ранних этапах и позволит быть в курсе актуальных угроз. А сочетание решений VM и XDR помогает в обнаружении уязвимостей и автоматическом реагировании на них непосредственно на конечных устройствах.
Сергей Уздемир, АЛТЭКС-СОФТ:
Самая востребованная функция VM лежит не в плоскости VM как такового, а на уровень ниже – в области возможно более корректного и полного детектирования уязвимостей. Идея реализации VM-решения без сканера с базой уязвимостей несостоятельна. Поэтому наиболее востребованная функция VM-средств – это оценка применимости и критичности уязвимостей и их переопределение "на земле" в конкретных системах заказчиков, приоритизация устранения и оценка защищенности активов на ее основе.
Тренд на слияние VM-решений с другими системами в настоящее время не наблюдается, хотя можно говорить о более тесной интеграции с SCM, SIEM, PM.
Александр Дорофеев, Эшелон Технологии:
VM-продукты будут обрастать аналитическими функциями, позволяющими ИБ-специалистам максимально быстро приоритизировать уязвимости в зависимости как от внешних факторов (CVSS, EPSS, наличие эксплойтов и т.п.), так и внутренних (доступность хоста из Интернета, критичность актива и т.п.). Возможности интеграции с внешними системами, такими как трекеры задач, SIEM, конечно, будут расширяться.
Дмитрий Овчинников, Газинформсервис:
По мере роста количества объектов защиты и усложнения корпоративных сетей, роста систем ИБ, применяемых для защиты, ключевым фактором будет являться возможность автоматизации, возможность встраивания процесса VM в другие системы ИБ. Кроме того, не надо забывать об удобстве использования. Возможно, в будущем это будет просто модулем в SOAR, но не все компании готовы тратить свой бюджет на подобные корпоративные игрушки. Поэтому для средних и небольших компаний продукт класса VM будет еще долго популярен. Возможно, самый успешный продукт перейдет в статус Open Source и будет доступен для всех, но такая модель распространения не всегда себя оправдывает для продуктов в части ИБ.
Андрей Никонов, Фродекс:
Могу озвучить функциональность, которая востребована уже сейчас:
- автоматизация устранения уязвимостей;
- глобальная база данных проверенных обновлений, поддерживаемая множеством VM-вендоров и регулятором;
- рекомендательные системы, помогающие выполнять компенсирующие меры.
Что касается слияния, то VM – это процесс, который довольно сложно встроить в ИБ-системы других классов. Такие попытки будут со стороны вендоров экосистем ИБ, но насколько они будут успешны, покажет время.
Павел Попов, Positive Technologies:
- ML – когда продукт сам подсказывает, куда смотреть, на чем делать акцент и как правильно работать с VM-системой.
- 100%-е покрытие ключевых, целевых и периметровых систем пользователей в разрезе поиска уязвимостей.
- Возможность ручного патч-менеджмента и работа ИТи ИБ-специалистов в одном продукте.
Есть тренд на слияние с теми классами ИБ-систем, которые будут развиваться в следующих направлениях:
- Появление автопилотов. Они объединяют несколько классов ИБ-решений в один большой продукт, который поможет закрыть большинство атак, направленных на инфраструктуру.
- Интеграция с SIEM, EDR, Container Security и инструментами для поиска уязвимостей в исходном коде.
Константин Саматов, АРСИБ:
Решения Vulnerability Management в процессе функционирования собирают много сопутствующей информации (например, данные о конфигурации), которая может быть использована в иных системах. Поэтому запрос со стороны заказчика на возможность применения решений Vulnerability Management в других системах есть. Однако имеющиеся на рынке решения, как правило (по крайней мере, я пока не видел других), не позволяют автоматизировать обмен информацией с другими классами ИБ-систем.
Николай Казанцев, SECURITM:
- Агрегация. Инфраструктура, периметр, код, веб-приложения, облака – везде уязвимости. И чем больше размывается ИТ-ландшафт компании, тем важнее становятся инструменты для агрегации сведений об уязвимостях из различных источников (сканеров).
- Обогащение и приоритизация. Уязвимостей бесконечно много, все не устранить. Нужно выбирать, и поэтому потребность в обогащении результатов работы сканеров, позволяющая ответить на вопрос "Что действительно важно?" будет только расти. Автоматическое обогащение как из внешней среды, так и из внутренней инфраструктуры компании, например, сведениями об ИТ-активах и инфраструктуре, позволяющими оценить реальные и маловероятные цепочки атак.
Владимир Иванов, Сканфэктори:
Управление уязвимостями – один из основных процессов в ИБ, на мой взгляд, не нуждается в серьезных изменениях, а лишь в автоматизации. На сегодняшний день вмешательство человека необходимо на каждом этапе – при поиске активов, сканировании уязвимостей, приоритизации результатов, создании человекопонятных рекомендаций, создании заявок на устранение, контроле устранения, отчетности. Думаю, в ближайшие годы мы увидим включение искусственного интеллекта на каждом этапе.
Николай Степанов, F.A.C.C.T.:
Мы видим, что сейчас VM пытаются решить две свои главные проблемы:
- автоматическую актуализацию активов, сливаясь с другими решениями типа ASM;
- узкий диапазон, пытаясь добавить в своей продукт различные проблемы, которые не являются уязвимостями (утечки, фишинг и т.п.).