Контакты
Подписка 2026

Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?

Редакция журнала "Информационная безопасность", 10/06/24

Традиционные методы управления уязвимостями (Vulnerability Management) долгое время были основой защиты ИТ-инфраструктуры, позволяя своевременно выявлять и устранять слабые места в системах. Однако с распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность управление уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.

ris3

Эксперты:

  • Николай КазанцевCEO SECURITM
  • Николай Лишкедиректор центра кибербезопасности АО “Эшелон Технологии”
  • Андрей Никоновглавный аналитик, “Фродекс”
  • Павел Поповлидер практики продуктов для управления уязвимостями, Positive Technologies
  • Константин Саматовчлен Правления Ассоциации руководителей служб информационной безопасности
  • Андрей Селивановпродукт-менеджер R-Vision VM
  • Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
  • Дмитрий Овчинниковглавный специалист отдела комплексных систем защиты информации, “Газинформсервис”
  • Роман Овчинниковруководитель отдела исполнения Security Vision
  • Сергей Уздемирзаместитель генерального директора “АЛТЭКС-СОФТ” по ИТ

Андрей Никонов, Фродекс:

Принципы безопасной разработки основываются на опыте инцидентов с уязвимостями в приложениях. То есть всегда сначала находились и эксплуатировались уязвимости, а затем разработка менялась так, чтобы избегать их появления как можно раньше (shift left). И вряд ли это изменится в будущем – VM всегда будет подсказывать, как создавать более безопасное ПО. Кроме того, есть угрозы, которые не зависят от разработчиков, например ошибки конфигурирования систем и приложений.

Роман Овчинников, Security Vision:

Современные процессы безопасной разработки надежно связаны с устранением уязвимостей и не исключают друг друга. За счет гибкой интеграции ИТ-решений и процессов ИБ можно достигнуть настоящей эффективности и создать экосистему, в которой решения будут дополнять друг друга. Поэтому актуальность применения VM не только не теряется, но глубже встраивается в DevSecOps.

Павел Попов, Positive Technologies:

Нет, так как безопасная разработка не может полностью закрыть появление новых уязвимостей в продуктах. Если была найдена новая уязвимость, а клиент не обновился на последнюю версию ПО, то необходима система, которая покажет эти уязвимости в конкретной версии продуктов. Кроме того, если относить конфигурационное несоответствие к процессу Vulnerability Management, то проверка по compliance control не закрывается безопасной разработкой.

Андрей Селиванов, R-Vision:

Безопасная разработка (DevSecOps) направлена на устранение уязвимостей еще на этапе разработки ПО, однако она не является гарантом обеспечения полноценной защиты. Злоумышленники непрерывно ищут новые уязвимости в популярном и широко распространенном ПО. Поэтому необходимо обеспечивать дополнительную защиту при помощи VM-систем, которые служат для обнаружения и устранения уязвимостей, помогая службам ИБ и ИТ снизить риски по их эксплуатации до минимума. Таким образом, наряду с DevSecOps внедренный процесс VM усиливает защиту от вероятных атак, которые могут повлечь за собой потери для бизнеса.

Константин Саматов, АРСИБ:

Нет, не потеряет. Следует учитывать, что, несмотря на большую пользу РБПО, полностью исключить наличие уязвимостей в исходном коде невозможно. Часть уязвимостей может появиться уже непосредственно в процессе эксплуатации информационного ресурса. Многие приложения используют сторонние компоненты, которые не всегда удается проанализировать разработчикам программного обеспечения. Ну и самое главное, управление уязвимостями не ограничивается только разработкой кода, оно также включает в себя оценку и защиту конфигураций и других сущностей.

Дмитрий Овчинников, Газинформсервис:

Продукты подобного класса никогда не потеряют своей актуальности. Человеку свойственно ошибаться, потому ошибки в ПО и ОС всегда были и будут. По мере того как сложность разрабатываемых программных продуктов растет, вероятность наличия в них уязвимостей тоже возрастает. Процесс налаживания безопасной разработки просто позволяет держать процент ошибок в допустимых пределах, но полностью не устраняет факторы их появления.

Николай Лишке, Эшелон Технологии:

Во-первых, не все организации – разработчики, не всем нужен AppSec и DevSecOps. Во-вторых, как может потерять актуальность один из компонентов с внедрением комплекса мероприятий, направленных на повышение защиты? VM является неотъемлемой частью, а возможно даже и базой для построения последующих мероприятий по обеспечению защищенной разработки.

Мы не можем говорить о процессе безопасной разработки до тех пор, пока у нас не обновлены первичные инструменты разработки: GitLab, Nexus, Kubernetes.

Сергей Уздемир, АЛТЭКС-СОФТ:

Нет, не потеряет, одно не исключает другого. Работает принцип "доверяй, но проверяй". Более того, внедрение процессов безопасной разработки в условиях все возрастающей сложности и количества заимствованного (встроенного) кода и ПО не всегда приводит к уменьшению количества уязвимостей и их критичности, а скорее, является критерием качества процессов реагирования разработчиком на выявляемые ошибки и уязвимости, например насколько быстро они устраняются в обновлениях безопасности.

Николай Степанов, F.A.C.C.T.:

Пока системы пишут люди, люди будут делать ошибки. VM – это защита от таких ошибок.

Темы:Круглый столЖурнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • 1С перемещается в контур ИБ. Круглый стол экспертов
    Переход с иностранных ERP на 1С принес в продакшен крупные, глубоко доработанные системы, от которых напрямую зависят финансовые, кадровые и производственные процессы. При этом во многих организациях 1С по-прежнему остается на периферии внимания ИБ. Мы предложили экспертам обсудить, как меняется роль 1С в инфраструктуре, какие риски накапливаются и что в ближайшие годы придется пересматривать в подходах к ее безопасности и надежности.
  • Что мы сегодня понимаем под защищенностью АСУ ТП? Круглый стол экспертов
    Разговор о кибербезопасности АСУ ТП уверенно смещается с уровня технологий и мер на уровень интерпретаций и границ. Что считать защищенностью, где проходят зоны ответственности, какие допущения остаются незамеченными – эти вопросы все чаще оказываются важнее конкретных СЗИ. Именно их мы вынесли в фокус обсуждения.
  • Тень атаки на песке. Круглый стол экспертов
    Песочницу часто воспринимают как "запустили – посмотрели – решили". На практике все сложнее: поток объектов потенциально бесконечный, часть атак в ней не раскрывается, обходы стали нормой, а выбор между быстрым и глубоким анализом – это всегда компромисс. Где у динамического анализа реальные границы и какое место ему отвести рядом с EDR и поведенческой аналитикой – об этом мы и спросили экспертов.
  • От защиты сети к защите бренда
    Еще несколько лет назад инцидентом считалось то, что происходит внутри инфраструктуры. Сегодня многие атаки вообще ее не затрагивают, а разворачиваются вокруг бренда и клиентов. Мы обсудили с экспертами, как меняется понимание этих угроз и роль Digital Risk Protection.
  • Шесть тревожных сигналов из жизни ЦОДа. Круглый стол экспертов
    В инфраструктуре ЦОДов многие проблемы безопасности проявляются через обычные на первый взгляд ситуации. Но за такими эпизодами часто стоят системные архитектурные проблемы. Мы предложили экспертам разобрать несколько подобных сценариев и объяснить, какие риски и ошибки инфраструктуры они могут скрывать.
  • Падение курса биткоина и его последствия для ландшафта атак
    Падение курса биткоина в начале 2026 года, вероятно, поменяет экономику киберпреступности: снизится предсказуемость доходов, усложнится обналичка, вырастут операционные риски. Возможно, трансформируется не только набор тактик, но и сама структура киберпреступных группировок – их устойчивость, склонность к консолидации, переквалификации или выходу из игры. Не исключено и повышение рискованности атак с вытекающим ростом ошибок и потерь. Мы пригласили экспертов дать свой прогноз на ближайшие полгода – чтобы можно было сопоставить ожидания с тем, как ландшафт атак изменился на практике.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...