Контакты
Подписка 2025
Статьи по информационной безопасности

Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре

Андрей Никонов, 15/04/25

Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.

Автор: Андрей Никонов, главный аналитик, “Фродекс”

Системы управления уязвимостями (VM) традиционно воспринимаются ИБ-сообществом как сканеры уязвимостей в инфраструктуре. В дополнение к этому VM-решения предоставляют набор описательного функционала, который позволяет выводить графики, генерировать разнообразные отчеты, чтобы в конечном итоге работать с выявленными уязвимостями в удобном формате. Зачастую к таким системам предъявляется требование по выдаче рекомендаций по устранению уязвимостей – то есть инструкции для оператора, описывающей действия по нейтрализации найденной уязвимости. Но несмотря на это, от системы управления уязвимостями никто не ожидает фактического управления уязвимостями в полном смысле этого слова.

В итоге с помощью подобных систем фактически реализуется учет выявляемых уязвимостей, который включает текстовые описания, оценки опасности и рекомендации по их устранению. Это создает иллюзию контроля над уязвимостями, но на практике не всегда приводит к их устранению. Важно отметить, что в жизненном цикле управления уязвимостями (см. рис. 1) присутствует этап устранения найденных уязвимостей, который подробно описан в методическом документе ФСТЭК России "Руководство по организации процесса управления уязвимостями в органе (организации)" [1] от 17.05.2023. Этот этап является неотъемлемой частью процесса управления уязвимостями, и VM-системы должны поддерживать необходимые для этого инструменты.

ris1-Apr-15-2025-03-20-55-5424-PM
Рис. 1. Жизненный цикл управления уязвимостями

С технической точки зрения устранение инфраструктурных уязвимостей может быть реализовано двумя основными способами:

  1. Обновление уязвимого программного обеспечения (ПО). Если для ПО, в котором была выявлена уязвимость, существует более новая версия, устраняющая данную уязвимость, то можно произвести обновление. Это наиболее эффективный способ окончательного устранения уязвимости, так как обновление ПО устраняет саму уязвимость, а не просто снижает вероятность ее эксплуатации. Важно отметить, что обновления могут включать не только исправления безопасности, но и новые функции, улучшения производительности и исправления ошибок, что делает их важными для общего функционирования системы.
  2. Применение компенсирующих мер. Этот подход используется в тех случаях, когда у уязвимого ПО нет новой версии, или по определенным причинам невозможно произвести обновление. Компенсирующие меры представляют собой ряд организационно-технических мероприятий, направленных на снижение вероятности эксплуатации уязвимости или на снижение ущерба от ее эксплуатации. Эти меры могут касаться как целевого уязвимого актива, так и других активов инфраструктуры, например межсетевых экранов. Однако стоит отметить, что применение компенсирующих мер не устраняет уязвимость, а лишь снижает вероятность ее эксплуатации при текущей настройке конфигурации актива и инфраструктуры. Поддерживать безопасную конфигурацию в течение длительного времени – задача крайне сложная, особенно с учетом постоянных изменений в инфраструктуре и необходимости компенсировать новые возникающие уязвимости. Важно также понимать, что применение компенсирующих мер требует постоянного мониторинга и оценки их эффективности. Это может включать в себя регулярные проверки конфигураций, аудит безопасности и тестирование на проникновение, чтобы убедиться, что меры действительно снижают риски. В противном случае организация может оказаться в ситуации, когда уязвимость остается незащищенной, несмотря на принятые меры.

Автоматизированное обновление

Управление обновлениями в составе VM-решения может автоматизировать процесс устранения уязвимостей путем распространения патчей по инфраструктуре. Необходимо понимать, что это процесс изменения программной конфигурации активов – а значит он должен быть надежным, безопасным и контролируемым.

Прежде всего, система должна предоставлять информацию об обновлениях ПО. Это может быть обновление пакета дистрибутива Linux, обновление прикладной программы под Windows, патч безопасности операционной системы (KB) и так далее. Информация об обновлении должна содержать исчерпывающие данные о том, что содержится в обновлении, кто его поставляет, сведения о его размере и контрольные суммы. Эти сведения позволяют операторам выполнить дополнительные проверки целостности перед применением обновлений.

Тестирование обновлений

Если обновление является актуальным для целевой инфраструктуры, система управления уязвимостями должна сохранить его для последующего распространения. Однако перед обновлением целевых активов необходимо протестировать скачанный файл. Для этого можно воспользоваться методическим документом ФСТЭК России "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" [2] от 28.10.2022. Важно развернуть обновление в тестовой среде, проверить его безопасность, а также работоспособность. Как правило, здесь проверяется совместимость обновления с окружением и зависимостями, что позволяет избежать потенциальных проблем при его внедрении.

Распространение обновлений

После успешной проверки обновления можно приступать к его распространению в инфраструктуре. Следует отметить, что для возможности автоматической установки обновлений через систему управления уязвимостями на целевой актив необходимо будет инсталлировать агент – утилиту VM-решения. Он возьмет на себя процесс установки обновления, подробное логирование и контроль каждого этапа. Важно, чтобы распространение проверенного обновления в инфраструктуре с помощью системы управления уязвимостями не оказывало негативного влияния на сеть и активы инфраструктуры. Система должна контролировать процесс доставки обновлений до целевых активов, а также контролировать процесс установки обновлений. Некоторые обновления могут требовать перезагрузку, и VM-система должна это учитывать.

Откат обновлений

Кроме того, важно, чтобы система управления уязвимостями обеспечивала возможность отката обновлений в случае возникновения проблем после их установки. Это важно для поддержания стабильности и работоспособности инфраструктуры. В случае, если обновление вызывает сбои или несовместимости, возможность быстрого отката позволяет минимизировать время простоя и снизить риски, связанные с эксплуатацией уязвимого ПО.

Стоит также отметить, что системы управления уязвимостями должны быть интегрированы с другими инструментами и процессами в организации, включая системы мониторинга, управления инцидентами и управления изменениями. Такая интеграция позволяет создать более комплексный подход к управлению безопасностью, где устранение уязвимостей становится частью общего процесса управления рисками. Например, при обнаружении уязвимости система может автоматически инициировать процесс изменения, который включает в себя тестирование, утверждение и развертывание обновлений.

Патч-менеджмент в платформе Vulns.io Enterprise VM

Таким образом, система управления уязвимостями должна предлагать пользователям механизмы устранения уязвимостей, в том числе обновление уязвимого ПО. При выборе решения следует обращать внимание на продукты с представленным функционалом, который обеспечивает не только выявление уязвимостей, но и их эффективное устранение.

Например, платформа Vulns.io Enterprise VM [3] предоставляет централизованный интерфейс для полного цикла работы с уязвимостями: от обнаружения уязвимого программного обеспечения до установки соответствующих обновлений.

В едином окне пользователь получает актуальный список уязвимого ПО в инфраструктуре, информацию о доступных обновлениях и возможность управлять их установкой напрямую из системы. Поддерживается как ручной, так и автоматизированный подход к обновлению: установка может выполняться точечно для отдельных активов или масштабно – на группы хостов.

В зависимости от критичности активов и политики безопасности, обновления могут применяться незамедлительно либо в запланированные окна обслуживания. Система позволяет обновлять как отдельные компоненты, так и всё ПО на активе целиком.

В конечном итоге успешное управление уязвимостями требует комплексного подхода, который включает в себя не только технологии, но и процессы, людей и культуру безопасности в организации. Рассмотрение проблематики именно в таком ракурсе позволяет значительно повысить уровень защиты информационных активов и снизить риски, связанные с киберугрозами.

  1. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g
  2. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g
  3. https://vulns.io/ 

ООО «СМАРТАП». ИНН 278169000. Erid2SDnjcA9Juj
Темы:ФродексУправление уязвимостями (Vulnerability Management)Журнал "Информационная безопасность" №1, 2025Vulns.ioПатч-менеджемент

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей
    Андрей Селиванов, продукт-менеджер R-Vision VM
    Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
  • Бэклог невыполненных исправлений и рекомендации, как с ним бороться
    Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты.
  • Цена ошибки: почему важно качественно детектировать уязвимости
    Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies
    Не сканер детектирует уязвимости в ИT-инфраструктуре организации с помощью специалиста, а специалист по управлению уязвимостями (VM-специалист) детектирует уязвимости с помощью сканера. Сканер – это просто инструмент. Выбор решения, достаточно хорошо выполняющего заявленные функции по детектированию уязвимостей, – одна из главных задач VM-специалиста и вышестоящего менеджмента. Если эксперт, который проводит анализ решений, отнесется к этой задаче с небрежностью, то запросто может попасть в неприятную ситуацию – пропустить критически опасную уязвимость в инфраструктуре, эксплуатация которой приведет к недопустимому для организации событию.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Рынок услуг управления уязвимостями в России: контроль поверхности атак
    Максим Ежов, руководитель отдела непрерывного мониторинга безопасности Angara Security
    Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций. Однако в условиях стремительно меняющегося киберландшафта, ухода зарубежных поставщиков и перехода на отечественные решения процесс управления уязвимостями в России приобретает ряд уникальных особенностей.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"