Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре

Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.

Автор: Андрей Никонов, главный аналитик, “Фродекс”

Системы управления уязвимостями (VM) традиционно воспринимаются ИБ-сообществом как сканеры уязвимостей в инфраструктуре. В дополнение к этому VM-решения предоставляют набор описательного функционала, который позволяет выводить графики, генерировать разнообразные отчеты, чтобы в конечном итоге работать с выявленными уязвимостями в удобном формате. Зачастую к таким системам предъявляется требование по выдаче рекомендаций по устранению уязвимостей – то есть инструкции для оператора, описывающей действия по нейтрализации найденной уязвимости. Но несмотря на это, от системы управления уязвимостями никто не ожидает фактического управления уязвимостями в полном смысле этого слова.

В итоге с помощью подобных систем фактически реализуется учет выявляемых уязвимостей, который включает текстовые описания, оценки опасности и рекомендации по их устранению. Это создает иллюзию контроля над уязвимостями, но на практике не всегда приводит к их устранению. Важно отметить, что в жизненном цикле управления уязвимостями (см. рис. 1) присутствует этап устранения найденных уязвимостей, который подробно описан в методическом документе ФСТЭК России "Руководство по организации процесса управления уязвимостями в органе (организации)" [1] от 17.05.2023. Этот этап является неотъемлемой частью процесса управления уязвимостями, и VM-системы должны поддерживать необходимые для этого инструменты.

Рис. 1. Жизненный цикл управления уязвимостями

С технической точки зрения устранение инфраструктурных уязвимостей может быть реализовано двумя основными способами:

1. Обновление уязвимого программного обеспечения (ПО). Если для ПО, в котором была выявлена уязвимость, существует более новая версия, устраняющая данную уязвимость, то можно произвести обновление. Это наиболее эффективный способ окончательного устранения уязвимости, так как обновление ПО устраняет саму уязвимость, а не просто снижает вероятность ее эксплуатации. Важно отметить, что обновления могут включать не только исправления безопасности, но и новые функции, улучшения производительности и исправления ошибок, что делает их важными для общего функционирования системы.
2. Применение компенсирующих мер. Этот подход используется в тех случаях, когда у уязвимого ПО нет новой версии, или по определенным причинам невозможно произвести обновление. Компенсирующие меры представляют собой ряд организационно-технических мероприятий, направленных на снижение вероятности эксплуатации уязвимости или на снижение ущерба от ее эксплуатации. Эти меры могут касаться как целевого уязвимого актива, так и других активов инфраструктуры, например межсетевых экранов. Однако стоит отметить, что применение компенсирующих мер не устраняет уязвимость, а лишь снижает вероятность ее эксплуатации при текущей настройке конфигурации актива и инфраструктуры. Поддерживать безопасную конфигурацию в течение длительного времени – задача крайне сложная, особенно с учетом постоянных изменений в инфраструктуре и необходимости компенсировать новые возникающие уязвимости. Важно также понимать, что применение компенсирующих мер требует постоянного мониторинга и оценки их эффективности. Это может включать в себя регулярные проверки конфигураций, аудит безопасности и тестирование на проникновение, чтобы убедиться, что меры действительно снижают риски. В противном случае организация может оказаться в ситуации, когда уязвимость остается незащищенной, несмотря на принятые меры.

Автоматизированное обновление

Управление обновлениями в составе VM-решения может автоматизировать процесс устранения уязвимостей путем распространения патчей по инфраструктуре. Необходимо понимать, что это процесс изменения программной конфигурации активов – а значит он должен быть надежным, безопасным и контролируемым.

Прежде всего, система должна предоставлять информацию об обновлениях ПО. Это может быть обновление пакета дистрибутива Linux, обновление прикладной программы под Windows, патч безопасности операционной системы (KB) и так далее. Информация об обновлении должна содержать исчерпывающие данные о том, что содержится в обновлении, кто его поставляет, сведения о его размере и контрольные суммы. Эти сведения позволяют операторам выполнить дополнительные проверки целостности перед применением обновлений.

Тестирование обновлений

Если обновление является актуальным для целевой инфраструктуры, система управления уязвимостями должна сохранить его для последующего распространения. Однако перед обновлением целевых активов необходимо протестировать скачанный файл. Для этого можно воспользоваться методическим документом ФСТЭК России "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" [2] от 28.10.2022. Важно развернуть обновление в тестовой среде, проверить его безопасность, а также работоспособность. Как правило, здесь проверяется совместимость обновления с окружением и зависимостями, что позволяет избежать потенциальных проблем при его внедрении.

Распространение обновлений

После успешной проверки обновления можно приступать к его распространению в инфраструктуре. Следует отметить, что для возможности автоматической установки обновлений через систему управления уязвимостями на целевой актив необходимо будет инсталлировать агент – утилиту VM-решения. Он возьмет на себя процесс установки обновления, подробное логирование и контроль каждого этапа. Важно, чтобы распространение проверенного обновления в инфраструктуре с помощью системы управления уязвимостями не оказывало негативного влияния на сеть и активы инфраструктуры. Система должна контролировать процесс доставки обновлений до целевых активов, а также контролировать процесс установки обновлений. Некоторые обновления могут требовать перезагрузку, и VM-система должна это учитывать.

Откат обновлений

Кроме того, важно, чтобы система управления уязвимостями обеспечивала возможность отката обновлений в случае возникновения проблем после их установки. Это важно для поддержания стабильности и работоспособности инфраструктуры. В случае, если обновление вызывает сбои или несовместимости, возможность быстрого отката позволяет минимизировать время простоя и снизить риски, связанные с эксплуатацией уязвимого ПО.

Стоит также отметить, что системы управления уязвимостями должны быть интегрированы с другими инструментами и процессами в организации, включая системы мониторинга, управления инцидентами и управления изменениями. Такая интеграция позволяет создать более комплексный подход к управлению безопасностью, где устранение уязвимостей становится частью общего процесса управления рисками. Например, при обнаружении уязвимости система может автоматически инициировать процесс изменения, который включает в себя тестирование, утверждение и развертывание обновлений.

Патч-менеджмент в платформе Vulns.io Enterprise VM

Таким образом, система управления уязвимостями должна предлагать пользователям механизмы устранения уязвимостей, в том числе обновление уязвимого ПО. При выборе решения следует обращать внимание на продукты с представленным функционалом, который обеспечивает не только выявление уязвимостей, но и их эффективное устранение.

Например, платформа Vulns.io Enterprise VM [3] предоставляет централизованный интерфейс для полного цикла работы с уязвимостями: от обнаружения уязвимого программного обеспечения до установки соответствующих обновлений.

В едином окне пользователь получает актуальный список уязвимого ПО в инфраструктуре, информацию о доступных обновлениях и возможность управлять их установкой напрямую из системы. Поддерживается как ручной, так и автоматизированный подход к обновлению: установка может выполняться точечно для отдельных активов или масштабно – на группы хостов.

В зависимости от критичности активов и политики безопасности, обновления могут применяться незамедлительно либо в запланированные окна обслуживания. Система позволяет обновлять как отдельные компоненты, так и всё ПО на активе целиком.

В конечном итоге успешное управление уязвимостями требует комплексного подхода, который включает в себя не только технологии, но и процессы, людей и культуру безопасности в организации. Рассмотрение проблематики именно в таком ракурсе позволяет значительно повысить уровень защиты информационных активов и снизить риски, связанные с киберугрозами.

1. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g
2. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g
3. https://vulns.io/ 

ООО «СМАРТАП». ИНН 278169000. Erid2SDnjcA9Juj